Hackers do Fancy Bear, grupo russo, estão explorando uma vulnerabilidade DDE do Microsot Office, de acordo com pesquisadores da McAfee. O lado ruim disso é que, anteriormente, a Microsoft não considerou essa vulnerabilidade como um problema de segurança, então não pretende lançar um patch de atualização para corrigir a brecha.

Como o DDE é um recurso legítimo, os programas antivírus não realizam qualquer tipo de alerta

O DDE, Dynamic Data Exchange, é um recurso integrado do Microsoft Office. Se explorado por cibercriminosos, ele pode servir para a execução de códigos em dispositivos com Office sem a necessidade de ativação do Macros. Para o sistema, o protocolo DDE é um dos métodos usados pela Microsoft para permitir a troca de dados entre duas aplicações (programas) rodando ao mesmo tempo.
Entre os programas que usam o DDE — e podem ser explorados — estão o Word, o Excel, o Quattro Pro e o Visual Basic.

De acordo com a McAfee, o Fancy Bear já está realizando ataques via DDE. É interessante notar que muitos pesquisadores apontam o Fancy Bear, também conhecido como APT28, como um grupo patrocinado pelo governo da Rússia. O grupo, por meio de phishing, está explorando a vulnerabilidade em PCs de vítimas desde outubro deste ano.

Infelizmente, como o DDE é um recurso legítimo, como nota o Hacker News, os programas antivírus não realizam qualquer tipo de alerta quando ele é explorado — ou sobre qualquer ameaça.

Como se proteger

  • Neste caso, parece que não há como esperar um patch de atualização. Então, a dica é desabilitar o recurso DDE. Se você possui o Microsoft Word/Excel 2016, em “Opções”, “Avançado”, retire o check ao lado de “Update automatic links at open” (Atualize os links automáticos em aberto). Essa ação já deve prevenir alguma exploração, caso você acabe caindo em phishing.