Cuidado com este novo e perigoso golpe do Microsoft Phrase, alertaram os usuários do Place of business
[ad_1]
Os cibercriminosos encontraram um novo buraco na Microsoft Phrase (abre em nova aba) documentos que lhes permitem distribuir malware (abre em nova aba)os pesquisadores estão dizendo.
Descoberto pelo especialista em segurança cibernética Kevin Beaumont e apelidado de “Follina”, o buraco aproveita um utilitário do Home windows chamado msdt.exe, projetado para executar diferentes pacotes de solução de problemas no Home windows.
De acordo com o relatório, quando a vítima baixa o arquivo do Phrase como arma, ela nem precisa executá-lo, visualizá-lo no Home windows Explorer é suficiente para que a ferramenta seja abusada (embora tenha que ser um arquivo RTF).
Ao abusar desse utilitário, os invasores podem dizer ao endpoint de destino para chamar um arquivo HTML, a partir de uma URL remota. Os invasores escolheram os formatos xml[.]com, provavelmente tentando se esconder atrás do domínio openxmlformats.org de aparência semelhante, embora legítimo, usado na maioria dos documentos do Phrase, sugerem os pesquisadores.
Reconhecendo a ameaça
O arquivo HTML contém muito “lixo”, o que ofusca seu verdadeiro propósito – um script que baixa e executa uma carga útil.
O relatório não diz quase nada sobre a carga útil actual, por isso é difícil determinar o fim do jogo do agente da ameaça. Ele diz que a cadeia completa de eventos relacionados às amostras divulgadas ainda não é conhecida.
Após a publicação das descobertas, a Microsoft reconheceu a ameaça, dizendo que existe uma vulnerabilidade de execução remota de código “quando o MSDT é chamado usando o protocolo de URL de um aplicativo de chamada, como o Phrase”.
“Um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada. O invasor pode então instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário.”
Enquanto alguns antivírus (abre em nova aba) softwares, como Sophos, já são capazes de detectar esse ataque, a Micorosft também lançou um método de mitigação, que inclui desabilitar o protocolo de URL MSDT.
Embora isso impeça que os solucionadores de problemas sejam iniciados como hyperlinks, eles ainda podem ser acessados usando o aplicativo Obter ajuda e nas configurações do sistema. Para ativar essa solução alternativa, os administradores precisam fazer o seguinte:
Execute o urged de comando como administrador.
Para fazer backup da chave de registro, execute o comando “reg export HKEY_CLASSES_ROOTms-msdt filename“
Execute o comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
[ad_2]
Fonte da Notícia
:strip_icc()/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2021/u/e/AQCoKIT26WmvHpzeyZYg/2021-10-13t150658z-1871442630-rc239q9rfhu5-rtrmadp-3-facebook-harassment.jpg "Fb lança ferramenta para coibir desinformação em seus grupos | Tecnologia")