Tempest Security
Jul 16 · 3 min read

O time de consultoria da Tempest encontrou recentemente uma falha no Advanced Threat Protection (ATP) da Microsoft, serviço em nuvem integrado a diversas plataformas da empresa com a função de filtrar mensagens de e-mail em busca de ameaças como spam, malware e phishing via links ou anexos. A vulnerabilidade permite burlar o serviço tornando possível a entrega de arquivos do Office com macros maliciosas.

Ataques baseados em macros maliciosas existem há muito tempo, pois o abuso desse mecanismo, geralmente associado à exploração de outras vulnerabilidades no software e a táticas de engenharia social, muitas vezes representa uma forma fácil e rápida para tomar o controle do alvo.

Técnicas como esta são usadas tanto em ataques simplórios quanto em campanhas complexas, conduzidas por agentes com longa lista de ataques. Por exemplo, nos últimos meses foram relatados ataques baseados em macros em campanhas com o trojan bancário Emotet, em ações de espionagem do APT iraniano MuddyWater, em grandes roubos de ativos financeiros conduzidos pelo grupo FIN7, além de ataques com forte orientação política conduzido pelo APT-28. Trata-se de uma forma de violação da segurança bastante corriqueira cujo combate depende muito do usuário, mas também de soluções que antecipem ataques.

Uma das plataformas criadas com o objetivo de reduzir o risco de ataques desse tipo é o Advanced Threat Protection da Microsoft. Segundo a documentação do fabricante, trata-se de uma solução em nuvem que analisa links e anexos e os compara com 6.5 trilhões de sinais por dia, coletados de diversos outros produtos e serviços da fabricante, resultando em um índice de detecção de malware de 99,9%.

APTs, ou Advanced Persistent Threats, são concebidos com o objetivo de se aproveitarem de falhas humanas e de sistemas para permanecerem muito tempo no ambiente alvo e de lá extraírem informação de interesse do atacante. Faz parte das atividades do nosso time de consultores simular estes ataques, identificando formas de proteção. Em trabalhos como estes, artefatos maliciosos são gerados com diferentes formações ou estruturas e enviados de várias maneiras. Recentemente, foi descoberta uma maneira de enviar malware baseado em macro burlando o Advanced Threat Protection.

Para isso, foi gerado um arquivo self-extract de um DOC malicioso usando o WinRAR, entretanto há outras maneiras de fazer isso. O resultado do self-extract é um arquivo executável (.exe) o qual é comumente bloqueado por diversos antivírus, inclusive o ATP; no entanto, ao ser renomeado para ZIP, este executável burla a solução da Microsoft, permitindo que a ameaça chegue até o usuário, que pode ativar a macro.

Demonstração do ataque — Video by Tempest

A Microsoft foi informada sobre o problema em 16 de abril de 2019. Ocorreram tratativas entre os consultores e a fabricante nos dias 17 e 19 do mesmo mês; no dia 25 a empresa confirmou que a exploração pode ocorrer e permitiu a divulgação do problema, mas informou que não disponibilizará correções para o caso.

É recomendável que as organizações adotem meios adicionais de proteção como o treinamento e conscientização de usuários sobre ataques desse tipo, indo além das ferramentas de segurança.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade