O time de consultoria da Tempest encontrou recentemente uma falha no Advanced Threat Protection (ATP) da Microsoft, serviço em nuvem integrado a diversas plataformas da empresa com a função de filtrar mensagens de e-mail em busca de ameaças como spam, malware e phishing via links ou anexos. A vulnerabilidade permite burlar o serviço tornando possível a entrega de arquivos do Office com macros maliciosas.

Ataques baseados em macros maliciosas existem há muito tempo, pois o abuso desse mecanismo, geralmente associado à exploração de outras vulnerabilidades no software e a táticas de engenharia social, muitas vezes representa uma forma fácil e rápida para tomar o controle do alvo.

Técnicas como esta são usadas tanto em ataques simplórios quanto em campanhas complexas, conduzidas por agentes com longa lista de ataques. Por exemplo, nos últimos meses foram relatados ataques baseados em macros em campanhas com o trojan bancário Emotet, em ações de espionagem do APT iraniano MuddyWater, em grandes roubos de ativos financeiros conduzidos pelo grupo FIN7, além de ataques com forte orientação política conduzido pelo APT-28. Trata-se de uma forma de violação da segurança bastante corriqueira cujo combate depende muito do usuário, mas também de soluções que antecipem ataques.

Uma das plataformas criadas com o objetivo de reduzir o risco de ataques desse tipo é o Advanced Threat Protection da Microsoft. Segundo a documentação do fabricante, trata-se de uma solução em nuvem que analisa links e anexos e os compara com 6.5 trilhões de sinais por dia, coletados de diversos outros produtos e serviços da fabricante, resultando em um índice de detecção de malware de 99,9%.

APTs, ou Advanced Persistent Threats, são concebidos com o objetivo de se aproveitarem de falhas humanas e de sistemas para permanecerem muito tempo no ambiente alvo e de lá extraírem informação de interesse do atacante. Faz parte das atividades do nosso time de consultores simular estes ataques, identificando formas de proteção. Em trabalhos como estes, artefatos maliciosos são gerados com diferentes formações ou estruturas e enviados de várias maneiras. Recentemente, foi descoberta uma maneira de enviar malware baseado em macro burlando o Advanced Threat Protection.

Para isso, foi gerado um arquivo self-extract de um DOC malicioso usando o WinRAR, entretanto há outras maneiras de fazer isso. O resultado do self-extract é um arquivo executável (.exe) o qual é comumente bloqueado por diversos antivírus, inclusive o ATP; no entanto, ao ser renomeado para ZIP, este executável burla a solução da Microsoft, permitindo que a ameaça chegue até o usuário, que pode ativar a macro.

Demonstração do ataque — Video by Tempest

A Microsoft foi informada sobre o problema em 16 de abril de 2019. Ocorreram tratativas entre os consultores e a fabricante nos dias 17 e 19 do mesmo mês; no dia 25 a empresa confirmou que a exploração pode ocorrer e permitiu a divulgação do problema, mas informou que não disponibilizará correções para o caso.

É recomendável que as organizações adotem meios adicionais de proteção como o treinamento e conscientização de usuários sobre ataques desse tipo, indo além das ferramentas de segurança.