Previna a execução de código remoto, desabilitando agora mesmo o Equation Editor da Microsoft

Enquanto muitos de nós estão ansiosos para um descanço bem merecido, os ataques cibernéticos não param. No final de novembro, o Cobalt Cybercriminal Group aproveitou uma vulnerabilidade de 17 anos no Equation Editor do Microsoft Office, a exploração CVE-2017-11882.

O Cobalt Cyber ​​Criminal Group, que existe desde 2016 aproximadamente, tem como principal objetivo organizações financeiras, muitas vezes usando o phishing para quebrar redes. Embora os ataques anteriores de cobalto tenham explorado computadores em toda a Europa e Ásia, eles agora parecem estar ampliando suas operações visando usuários do Microsoft Office em todo o mundo.

Como o Cobalt explora essa vulnerabilidade

O Equation Editor do Microsoft Office permite aos usuários do Office criar e incorporar equações matemáticas em seus documentos. É uma ferramenta relativamente antiga disponível no Office 2007 e versões mais antigas. A exploração CVE-2017-11882 permite que os hackers executem a execução de código remoto usando o Equation Editor.

Pouco depois que a Microsoft lançou um patch para essa vulnerabilidade do Equation Editor, o ReversingLabs descobriu que o grupo de hacking Cobalt estava distribuindo um documento RTF (Rich Text Format) que explorava essa vulnerabilidade. Semelhante a outros ataques de execução de código remoto, uma vez baixados no computador de uma vítima, o arquivo contata um servidor C&C remoto para baixar uma série de três cargas úteis. A carga final no ataque do Equation Editor de Cobalt, chamado Coboo Striwa Backdoor, vem em formatos de 32 e 64 bits, o que significa que pode violar o sistema de qualquer vítima, independentemente da arquitetura do seu sistema.

Duas maneiras simples de se proteger dessa ameaça

A Microsoft sugere que os usuários desativem o Equation Editor para se manterem vigilantes contra essa violação potencial, esta é a sua primeira opção. Mas a desativação do Equation Editor tem suas próprias consequências, então a Microsoft forneceu instruções sobre a reativação do Equation Editor se você achar que você precisa disso. Se você tiver apenas alguns sistemas que você gostaria de proteger, seguir as instruções da Microsoft devem ser suficientes. No entanto, você precisará seguir a segunda opção se você tiver vários computadores afetados: usando uma ferramenta como o Desktop Central para resolver rapidamente esta vulnerabilidade em toda a empresa.

Em resposta à vulnerabilidade do Equation Editor, o Desktop Central adicionou um novo script ao seu modelo de script, “DisableEquisionEditorInOffice.bat“. A instalação deste script desativará o Equation Editor em toda a rede.

A Microsoft já abordou este problema em uma atualização de novembro de 2017, com as atualizações KB3162047, KB4011604, KB4011262, KB4011618 e KB4011262. Se você já atualizou seus sistemas com esses últimos patches da Microsoft, você deve estar seguro. Se ainda não instalou esses patches, o Desktop Central pode ajudá-lo a resolver esta vulnerabilidade imediatamente usando seu recurso de gerenciamento de patches.

Você pode instalar patches específicos dessa vulnerabilidade ao navegar para Patch Management >> Supported Patches >> Bulletin ID. Depois de procurar “MS17-NOV6“, selecione todos os boletins aplicáveis ​​e implemente-os em seus sistemas.

Se você ainda está resolvendo vulnerabilidades uma a uma, é hora de empregar uma solução de gerenciamento de endpoint para resolver ameaças a partir de uma localização central. Se as previsões dos pesquisadores de segurança estiverem corretas, as empresas podem esperar mais ataques cibernéticos em 2018.

Conheça o Desktop Central, a equipe ACSoftware seu Distribuidor e Revenda ManageEngine no Brasil terá o prazer em lhe auxiliar nos seus testes. Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário