Espiões russos e cibercriminosos estão explorando ativamente falhas de segurança ainda não corrigidas nos produtos Microsoft Windows e Office, de acordo com um alerta urgente da maior fabricante de software do mundo.
Em um movimento incomum, a Microsoft documentou “uma série de vulnerabilidades de execução remota de código” que afetam os usuários do Windows e do Office e confirmou que estava investigando vários relatórios de ataques direcionados de execução de código usando documentos do Microsoft Office.
Os profissionais de resposta de segurança de Redmond marcaram as falhas não corrigidas do Office com o CVE-2023-36884 identificador e deu a entender que um patch fora de banda pode ser lançado antes do Patch Tuesday do próximo mês.
Do boletim CVE-2023-36884:
“A Microsoft está investigando relatórios de uma série de vulnerabilidades de execução remota de código que afetam os produtos Windows e Office. A Microsoft está ciente de ataques direcionados que tentam explorar essas vulnerabilidades usando documentos do Microsoft Office especialmente criados.
Um invasor pode criar um documento do Microsoft Office especialmente criado que permita a execução remota de código no contexto da vítima. No entanto, um invasor teria que convencer a vítima a abrir o arquivo malicioso.
Após a conclusão desta investigação, a Microsoft tomará as medidas adequadas para ajudar a proteger nossos clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio de nosso processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora do ciclo, dependendo das necessidades do cliente.”
Em um blog separado, a equipe de inteligência de ameaças da Microsoft disse que sinalizou uma campanha de phishing com explorações de dia zero do Office visando entidades governamentais e de defesa na Europa e na América do Norte. “A campanha envolveu o abuso de CVE-2023-36884que incluía uma vulnerabilidade de execução remota de código explorada por meio de documentos do Microsoft Word, usando iscas relacionadas ao Congresso Mundial Ucraniano”, alertou a empresa.
O dia zero do Microsoft Office encabeça um monstro Patch Tuesday que vê o lançamento de patches para mais de 130 defeitos de segurança documentados no ecossistema do Microsoft Windows.
De acordo com dados da ZDIuma empresa que rastreia patches de software, nove das falhas são classificadas como ‘críticas’, a classificação de gravidade mais alta da Microsoft.
“Este volume de correções é o maior que vimos nos últimos anos”, observou ZDI, alertando que pelo menos cinco bugs estão listados na categoria “detectada por exploração”.
A fabricante de software Adobe também enviou patches urgentes para falhas de segurança nas linhas de produtos InDesign e ColdFusion.
O , disponível para Windows e macOS, corrige uma falha de execução de código de gravidade crítica e 11 bugs de segurança de memória adicionais que causam problemas de vazamento de memória. A Adobe deu crédito a Yonghui Han, do FortiGuard Labs da Fortinet, por relatar os bugs em particular.
Um segundo boletim de segurança também foi lançado com patches para um trio de defeitos de segurança que afetam as versões 2023, 2021 e 2018 do Adobe ColdFusion.
“Essas atualizações resolvem vulnerabilidades críticas e importantes que podem levar à execução arbitrária de códigos e desvio de recursos de segurança”, disse a Adobe, chamando atenção especial para CVE-2023-29300um bug de desserialização de dados não confiáveis com uma pontuação de gravidade CVSS de 9,8 em 10. No início deste ano, a Adobe divulgou “ataques limitados” explorando uma vulnerabilidade de dia zero do ColdFusion.