Neste post vamos falar sobre como a abertura de mensagens maliciosas pode infectar a sua máquina e qual é a importância da métrica de visualização nas campanhas do El Pescador. Abrir um e-mail de phishing pode ser tão prejudicial quanto clicar em um link malicioso ou abrir um anexo infectado por malware. Sei que esta afirmação pode parecer exagerada à primeira vista, mas não é.
A sofisticação dos ciberataques está crescendo de forma acelerada nos últimos anos e vem superando dia-a-dia as aplicações de segurança criadas para softwares e serviços de mensagens. Os clientes de e-mail, como o Microsoft Outlook, estão em constante busca de padrões de segurança mais rigorosos, mas as vulnerabilidades parecem estar se multiplicando.
Alguns malwares são capazes de comprometer uma máquina ou acessar informações sensíveis apenas com a abertura/visualização do e-mail, mesmo que não haja clique ou download de arquivos. Isso acontece porque determinados scripts maliciosos conseguem executar códigos arbitrários a partir do painel de pré-visualização do cliente de e-mail (Outlook).
Nos últimos anos, foi observado o aumento de vulnerabilidades críticas no Outlook, que permitem o ataque remoto por execução de código arbitrário. Então, se o seu Outlook não tiver todas as atualizações de segurança, é provável que você esteja vulnerável ao abrir um e-mail malicioso – mesmo que você não clique no link.
Analisando os CVE’s críticos dos últimos três anos – classificados com score acima 9.0 no CVE Mitre, observamos que o número de vulnerabilidades envolvendo o Microsoft Outlook cresceu consideravelmente. Muitas das falhas permitem execução de código remotamente. Somente no Patch Tuesday lançado no dia 13 de fevereiro deste ano, a Microsoft corrigiu 50 vulnerabilidades, sendo 14 consideradas críticas.
Fonte: CVE MITRE
Só este ano foram catalogadas uma série de vulnerabilidades críticas. Entre elas, há uma vulnerabilidade (CVE-2018-0852) que, se explorada, permite elevação de privilégio quando o Microsoft Outlook inicia o processamento de uma imagem. Para explorar a vulnerabilidade, o invasor pode enviar um e-mail com uma imagem maliciosa. Caso a vítima abra a mensagem e interprete a imagem, terá sua máquina comprometida.
Uma outra vulnerabilidade (CVE-2018-0850) permite escalação de privilégios e abre brecha para que o atacante force o Outlook a carregar mensagens maliciosas, originadas em um servidor remoto e, controle através do protocolo SMB que compromete a máquina mesmo sem que a mensagem tenha sido visualizada.
Ao receber um e-mail externo, que contém uma imagem, é necessário ter bastante cuidado antes de clicar em “exibir imagens”. É possível que seja uma imagem maliciosa, que explora algumas das vulnerabilidades listadas acima.
Alerta para exibir imagens ou conteúdo externos no outlook.
Nesse caso, a melhor conduta é não abrir a imagem e apenas clicar em “exibir imagens” se o e-mail tiver vindo de uma fonte confiável do seu ciclo de relacionamento e tiver certeza de que a mensagem não trata-se de um phishing. Portanto, evite clicar em “exibir imagens” quando não se tem certeza da veracidade desse e-mail.
A atualização dos patches de segurança elimina a vulnerabilidade, garantindo que o Outlook valide totalmente a formatação de e-mails recebidos antes de processar o conteúdo das mensagens.
É muito difícil manter programas e aplicativos 100% atualizados em relação a falhas de segurança, porque nunca se sabe quando uma nova vulnerabilidade será encontrada e, principalmente, quando ela será corrigida pelo fabricante. Com todas as ameaças atuais, como phishing, Ransomware, documentos maliciosos e anexos, a visualização de e-mails acaba passando despercebida enquanto vetor de ataque.
Como medida de segurança, é altamente recomendável que todas as atualizações sejam implementadas, tanto para outlook quanto para outros softwares, como browsers e seus plugins como Flash e Java.
Esta é a razão pela qual, em todas as campanhas do El Pescador, há o levantamento da métrica de Visualização de e-mails nas simulações de phishing. O objetivo é mensurar quais vítimas visualizaram a mensagem e, por isso, poderiam estar suscetíveis aos ataques descritos acima. Com a métrica de visualização, o gestor consegue perceber o quanto sua equipe está passível a ataques explorando as vulnerabilidades do cliente de e-mail.
A melhor forma de se manter seguro é adotar boas práticas de segurança. Uma delas, é capacitar os seus colaboradores quanto ao risco de phishing com os treinamentos da plataforma El Pescador.
