Microsoft lança patches para 0day do Excel usado em ataques, e pede aos usuários de Mac que esperem
Durante a “Patch Tuesday” deste mês, a Microsoft corrigiu uma vulnerabilidade de dia zero do Excel explorada em liberdade por agentes de ameaças.
Zero dias, conforme definido pela Microsoft, são bugs divulgados publicamente sem atualizações de segurança oficiais.
A vulnerabilidade, rastreada como CVE-2021-42292, é um desvio de recurso de segurança de alta gravidade que invasores não autenticados podem explorar localmente em ataques de baixa complexidade que não requerem interação do usuário.
A Microsoft também corrigiu uma segunda falha de segurança do Excel usada durante o concurso de hacking da Tianfu Cup no mês passado, um bug de execução remota de código rastreado como CVE-2021-40442 e explorável por atacantes não autenticados.
Felizmente, a Microsoft diz que o painel de visualização do Windows Explorer não é um vetor de ataque para os dois bugs.
Isso significa que a exploração bem-sucedida exige a abertura completa dos arquivos do Excel criados com códigos maliciosos, em vez de apenas clicar para selecioná-los.
Usuários de Mac pediram para esperar por um patch
Embora Redmond tenha lançado atualizações de segurança para sistemas que executam o Microsoft 365 Apps for Enterprise e versões do Windows do Microsoft Office e Microsoft Excel, ele falhou ao corrigir as vulnerabilidades no macOS.
Os clientes Mac que executam versões macOS do Microsoft Office e da Microsoft foram informados de que teriam que esperar um pouco mais pelos patches CVE-2021-42292.
“A atualização de segurança para o Microsoft Office 2019 para Mac e Microsoft Office LTSC para Mac 2021 não está disponível imediatamente”, disse a Microsoft. “As atualizações serão lançadas o mais rápido possível e, quando estiverem disponíveis, os clientes serão notificados por meio de uma revisão dessas informações CVE.”
Os dois bugs foram descobertos por pesquisadores de segurança com o Microsoft Threat Intelligence Center.
A Microsoft também alertou os administradores na terça feira para corrigir imediatamente uma vulnerabilidade de alta gravidade do Exchange Server rastreada como CVE-2021-42321 e impactar os servidores locais que executam o Exchange Server 2016 e o Exchange Server 2019.
Conforme explicado nos avisos de segurança de ontem, a exploração bem-sucedida pode permitir que invasores autenticados executem códigos remotamente em servidores vulneráveis.
