Descobertas quatro vulnerabilidades no Microsoft Office

A Check Point Research identificou quatro vulnerabilidades de segurança visando produtos do Microsoft Office, incluindo o Excel e o Office Online. Se exploradas com sucesso, garantiriam ao atacante a capacidade de executar código em dispositivos alvo através de documentos maliciosos, como Word (.DOCX), Excel (.XLSX) e Outlook (.EML). As vulnerabilidades resultam de erros de análise no código antigo encontrados no Excel95, o que leva os investigadores a acreditar que as falhas de segurança existem há vários anos. 

A Check Point Research descobriu as vulnerabilidades ao analisar o MSGraph, uma componente que pode ser incorporada nos produtos da Microsoft Office para exibição de gráficos e tabelas. Os investigadores chegaram às vulnerabilidades através do “fuzzing”, uma técnica automatizada de teste de software que tenta encontrar erros de software que permitam ataques através da alimentação aleatória de dados inválidos e inesperados num dado programa informático, de forma a desvendar erros de código ou lacunas de segurança. Este método de atuação revelou funcionalidades vulneráveis no MSGraph que se concluiu serem utilizadas comummente em diferentes produtos do Microsoft Office, como o Excel, o Office Online Server e o Excel para OSX.

As vulnerabilidades encontradas podem ser incorporadas na maioria dos documentos Office, o que significa que existem múltiplos vetores de ataque. O mais simples passa pela vítima fazer download de um ficheiro Excel malicioso que pode chegar através de um link ou e-mail, a vítima abrir o ficheiro e a vulnerabilidade ser ativada.

“As vulnerabilidades encontradas afetam quase todo o ecossistema do Microsoft Office. É possível executar este tipo de ataque em praticamente qualquer software Office, incluindo Word, Outlook e outros. Uma das nossas primeiras descobertas foi que o código antigo continua a ser o elo mais fraco da cadeia de segurança, especialmente num software complexo como o Microsoft Office”, começa por dizer Yaniv Balmas, Head of Cyber Research da Check Point Software. “Apesar de termos encontrado apenas 4 vulnerabilidades na superfície de ataque da nossa investigação, é impossível dizer quantas destas estão ainda por revelar. Recomendo vivamente os utilizadores de Windows a atualizar imediatamente o seu software, visto existirem inúmeros vetores de ataque que podem ser utilizados por cibercriminosos”.

As conclusões da investigação da Check Point Research foram devidamente comunicadas à Microsoft, que lançou de imediato as patches de segurança para três vulnerabilidades: CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. A quarta patch, classificada como CVE-2021-31939, foi lançada a 8 de junho.