O último pacote de atualização de segurança da Microsoft, correspondente ao mês de setembro, foi lançado na última terça-feira (14) e corrige 66 vulnerabilidades em diferentes produtos da empresa. Entre os patches, destaca-se um que corrige a falha CVE-2021-40444, uma vulnerabilidade de execução remota de código zero-day no MSHTML, motor de renderização do Internet Explorer. A Microsoft confirmou recentemente que essa falha zero-day foi explorada em ataques de phishing usando documentos infectados do Office.

Antes da aplicação do patch, os usuários que abrirem um documento infectado do Office estarão seguros, desde que não saiam do modo de exibição protegido e habilitem a edição. De acordo com a explicação de Will Dorman, do centro de coordenação do CERT dos Estados Unidos, ao site BleepingComputer, infelizmente uma alta porcentagem de usuários costumam ignorar essa recomendação e habilitar a edição. Além disso, Dorman afirmou que "os ataques que exploram essa falha zero-day são mais perigosos que as macros, porque qualquer organização que optou por desativar ou limitar a execução de macros continuará exposta à execução de código arbitrário apenas abrindo um documento infectado do Office".

Aparentemente, em alguns dos ataques que tentam explorar essa vulnerabilidade, foi possível detectar a distribuição do Cobalstrike Beacon como payload, o que permite que os atacantes acessem o computador da vítima remotamente para roubar informações e mover-se lateralmente dentro da rede.

A correção dessa falha chegou em um bom momento, já que a confirmação da exploração no dia 7 de setembro foi acompanhada por medidas provisórias de mitigação até que a Microsoft liberasse o patch. As amostras que tentam explorar essa vulnerabilidade são detectadas pelas soluções ESET como DOC/TrojanDownloader.Agent.DIC y DOC/TrojanDownloader.Agent.DHY.

Outras vulnerabilidades corrigidas na atualização de setembro

Entre as falhas corrigidas nesse último pacote de atualizações, a CVE-2021-38647 é considerada a mais crítica. Com uma pontuação de 9,8 na escala de severidade, é uma falha de execução remota de código (RCE) que não requer autenticação e afeta o programa Open Management Infrastructure (OMI).

Duas outras vulnerabilidades corrigidas nesse último pacote foram: CVE-2021-26435 e CVE-2021-36967. A primeira é uma vulnerabilidade de corrupção de memória no motor de script do Windows que pontua 8,1 na escala CVSS, embora a interação do usuário seja necessária para que a falha possa ser desencadeada. No caso da CVE-2021-36967, trata-se de uma vulnerabilidade de escalonamento de privilégios no serviço Windows WLAN AutoConfig que recebeu uma pontuação de 8,0.

Para obter mais informações, veja os detalhes do pacote de atualização da Microsoft de setembro.