Vulnerabilidade no Office, CVE-2017-11882

Na IT Channel de esta semana é publicada a notícia de que foi descoberta uma vulnerabilidade no Microsoft Office: quando um utilizador abre um documento em formato RTF (Rich-Text Format) contendo um objeto do tipo Equação no Microsoft Office é provocada uma falha na aplicação.

Um agente malicioso pode aproveitar estas falhas para injetar um outro software que é executado com os privilégios do utilizador. Isto é, usam um documento RTF mal formatado para espalhar vírus. O documento pode ser disponibilizado num site online ou distribuído via email, com qualquer argúcia que leve o utilizador a tentar abri-lo.

As versões do Office afetadas são a 2007, 2010, 2013 e 2016. Já existem atualizações para corrigir esta falha.

A falha não é nova, e já foi publicada no ano passado em na CVE-2017-11882.

Particularmente grave é o facto de que as soluções antivírus não apanharam este vetor de ataque, tornando os seus efeitos particularmente devastadores.

O propósito do presente artigo não é o de duplicar o que poderão ler no atalho ao artigo original, e sim o de extrair lições.

Estes são os factos:

  • O software é complexo, com inúmeras funcionalidades a ser disponibilizadas cada dia para dar resposta a todo o tipo de necessidades dos utilizadores. A tecnologia por trás deste desenvolvimento está ela própria em permanente mudança e não é possível atingir qualquer nível de maturidade, tornando os erros e falhas no pão nosso de cada dia.
  • Os utilizadores podem ser enganados. Umas vezes porque as histórias contadas para nos levar a executar uma determinada ação são muito elaboradas e credíveis e outras porque são apanhadas com as guardas em baixo.
  • As soluções antivírus são elas próprias pacotes de software e, portanto, podem conter falhas. Também não conseguem detetar todas as possíveis situações e prever todos os possíveis caminhos dum ataque.

Como lidar com estas questões?

  • Tentar usar pacotes de software que tenham boa reputação e com um bom suporte por trás. Não é possível garantir que não terá falhas mas ao menos serão criadas correções quando sejam detetadas.
  • Os utilizadores devem receber formação periódica no uso de recursos informáticos. As formações servem para manter os utilizadores atualizados e alertas e para lhes dar uma oportunidade para exprimir as suas dúvidas.
  • Um sistema antivírus não é garantia de que não vai acontecer nada, mas é uma proteção imprescindível e sem a qual o número de falhas aumentaria substancialmente.
  • Dar os mínimos privilégios possíveis aos utilizadores e limitar os seus acessos. Normalmente os vírus são executados com os privilégios do utilizador: se um utilizador pode apagar ou modificar todos os ficheiros numa pasta, o vírus também pode.
  • Manter o sistema operativo e aplicações sempre atualizadas. Muitas das atualizações corrigem falhas detetadas e impedem que sejam usadas pelos vírus para se espalhar.
  • Eventualmente todas as medidas falharão. Quando isso acontecer, é preciso um bom plano de recuperação e cópias de segurança disponíveis, fiáveis e atuais.

Resumindo: esta e outras notícias vão aparecendo agora e no futuro, são parte do funcionamento normal das coisas. É importante manter os sistemas debaixo do olho, ajudar os utilizadores e planificar para os casos de desastre para garantir que um vírus possa deitar abaixo o nosso negócio.

Nós podemos ajudá-lo, contacte-nos.