CVE-2017-11882: Vulnerabilidade de Duas Décadas no Microsoft Office Ainda Ativamente Utilizada para Entrega de Malware
Índice:
Apesar de já ter sido corrigida há três anos, hackers supostamente dependem de uma antiga vulnerabilidade de execução remota de código no Microsoft Office (CVE-2017-11882) para infectar vítimas com malware. De acordo com a análise de ameaças relatório da HP Bromium, a falha é responsável por quase três quartos de todos os exploits utilizados no quarto trimestre de 2020.
Descrição CVE-2017-11882
CVE-2017-11882 é uma falha de corrupção de memória no Editor de Equações do Microsoft Office que permite execução remota de código em dispositivos vulneráveis. Hackers podem explorar a falha enganando os usuários para abrir um arquivo especialmente criado. Após a exploração bem-sucedida, os adversários obtêm a capacidade de executar código arbitrário no contexto de um usuário atual. Se o usuário estiver conectado com privilégios administrativos, os atacantes seriam capazes de assumir o controle total da instância alvo.
A vulnerabilidade foi introduzida no Microsoft Office há quase 20 anos e corrigida pelo fornecedor em 2017 com o lançamento do Patch Tuesday de novembro. No entanto, a remediação oficial nunca impediu os adversários de explorá-la ativamente na natureza. Desde 2017, a vulnerabilidade tem sido continuamente usada para entregar várias amostras de malware, incluindo Loki, FormBook, Pony, ZBOT, Ursnif, Agent Tesla e mais. A extrema popularidade dos exploits do Editor de Equações, incluindo CVE-2017-11882, decorre do fato de que os usuários do Microsoft Office muitas vezes não atualizam seus sistemas a tempo, deixando uma porta aberta para hackers.
Exploit CVE-2017-11882 à Solta
A investigação conjunta do Departamento de Segurança Interna, do FBI e do governo dos EUA coloca o CVE-2017-11882 na lista de falhas mais frequentemente usadas por atores de ameaça avançados em suas operações maliciosas. Segundo o relatório, hackers chineses, norte-coreanos e russos estão continuamente aproveitando a falha do Microsoft Office desde pelo menos 2016.
De acordo com a análise da HP Bromium, essa tendência apenas se intensificou em 2020, tornando o CVE-2017-11882 o maior exploit para o terceiro e quarto trimestres de 2020. Particularmente, no terceiro trimestre de 2020, a vulnerabilidade do Microsoft Office foi responsável por quase 90% dos exploits em uso. E durante o quarto trimestre de 2020, 74% de todos os ciberataques que exploram vulnerabilidades não corrigidas dependeram do CVE-2017-11882.
Detecção e Mitigação
Dada a extrema popularidade do CVE-2017-11882, os usuários são instados a atualizar seus serviços o mais rápido possível para se manterem seguros. Para detectar possíveis ciberataques explorando a vulnerabilidade contra seus sistemas, você pode baixar uma nova regra Sigma da comunidade do nosso ávido desenvolvedor Threat Bounty Aytek Aytemur:
https://tdm.socprime.com/tdm/info/vXBEcFu7I9p6/Zbvhg3gBcFeKcPZnWpvo
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Execução, Descoberta
Técnicas: Exploração para Execução no Cliente (T1203), Consulta de Registro (T1012), Descoberta de Informações do Sistema (T1082)
Além disso, você pode explorar a lista completa de detecções CVE-2017-1182 disponível no Threat Detection Marketplace. Fique atento ao nosso blog para mais atualizações.
Inscreva-se no Threat Detection Marketplace gratuitamente e acesse a primeira biblioteca de conteúdo SOC do setor, agregando mais de 100 mil regras de detecção e resposta mapeadas para a matriz MITRE ATT&CK e aplicáveis à sua solução de segurança em uso. Inspirado a desenvolver suas próprias regras Sigma? Junte-se ao nosso Programa Threat Bounty! Entusiasmado para aprimorar suas habilidades de caça a ameaças? Leia nosso Guia de Regras Sigma para iniciantes.
