A Microsoft divulgou um ataque zero-day não corrigido no Workplace que, se explorado com sucesso, pode resultar na divulgação não autorizada de informações confidenciais a agentes mal-intencionados.
A vulnerabilidade, rastreada como CVE-2024-38200 (pontuação CVSS: 7,5), foi descrita como uma falha de falsificação que afeta as seguintes versões do Workplace:
- Microsoft Workplace 2016 para edições de 32 bits e 64 bits
- Microsoft Workplace LTSC 2021 para edições de 32 bits e 64 bits
- Aplicativos do Microsoft 365 para empresas para sistemas de 32 e 64 bits
- Microsoft Workplace 2019 para edições de 32 bits e 64 bits
Os pesquisadores Jim Rush e Metin Yunus Kandemir foram os responsáveis pela descoberta e pelo relato da vulnerabilidade.
“Em um cenário de ataque baseado na internet, um invasor pode hospedar um web site (ou aproveitar um web site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente criado para explorar a vulnerabilidade”, disse a Microsoft em um comunicado.
“No entanto, um invasor não teria como forçar o usuário a visitar o web site. Em vez disso, um invasor teria que convencer o usuário a clicar em um hyperlink, normalmente por meio de um incentivo em um e-mail ou mensagem do On the spot Messenger, e então convencer o usuário a abrir o arquivo especialmente criado.”
Um patch formal para CVE-2024-38200 deve ser lançado em 13 de agosto como parte de suas atualizações mensais do Patch Tuesday, mas a gigante da tecnologia disse que identificou uma correção alternativa que habilitou por meio do Function Flighting em 30 de julho de 2024.
Ele também observou que, embora os clientes já estejam protegidos em todas as versões com suporte do Microsoft Workplace e do Microsoft 365, é essencial atualizar para a versão closing do patch quando ele estiver disponível em alguns dias para proteção best.
A Microsoft, que classificou a falha como “Exploração Menos Provável”, delineou ainda três estratégias de mitigação:
- Bloqueie a saída TCP 445/SMB da rede usando um firewall de perímetro, um firewall native e por meio de configurações de VPN para impedir o envio de mensagens de autenticação NTLM para compartilhamentos de arquivos remotos
A divulgação ocorre no momento em que a Microsoft afirma que está trabalhando para corrigir duas falhas de dia zero (CVE-2024-38202 e CVE-2024-21302) que podem ser exploradas para “desfazer o patch” de sistemas Home windows atualizados e reintroduzir vulnerabilidades antigas.
No início desta semana, o Elastic Safety Labs revelou uma variedade de métodos que os invasores podem utilizar para executar aplicativos maliciosos sem acionar os avisos do Home windows Sensible App Management e do SmartScreen, incluindo uma técnica chamada LNK stomping, que vem sendo explorada há mais de seis anos.
