Ataques ao MS Office persistem mesmo anos após patches

Mais da metade dos ataques contra aplicativos do Microsoft Office durante os seis primeiros meses deste ano foram contra aplicativos que não tiveram suas falhas consertadas em mais de cinco anos após a liberação da correção (patche) pela Microsoft.Em seu relatório semestral Security Intelligence Report, liberado nesta segunda, a Microsoft disse que 55.5% dos ataques contra aplicativos do Office como o Word, Excel e PowerPoint tentavam explorar instalações que náo receberam updates desde junho de 2004.

"A maioria destes ataqques afetaram usuários do Office 2003 que não aplicaram sequer um service pack (conjunto de atualizações) desde o lançamento da suíte, em outubro de 2003", diz o relatório. "Usuários que não mantêm tanto o Office como o Windows atualizados com os service packs e com os updates de segurança estão com enorme risco de ataques."

Os dados, que a companhia coleta de milhões de máquinas com Windows ao redor do mundo, também mostram que os donos desses PCs fizeram updates do sistema operacional, mas ignoraram o Office.

Dado a tendência atual de ataques contra aplicativos ser bem maior do que contra o sistema operacional, é uma questão problemática. A Microsoft também disse que as vulnerabilidades alvejadas pelos atacantes são antigas. Mas da metade dos ataques mirou em bugs que foram consertados em 2006.

O mais significante desses é a famosa vulnerabilidade MS06-027, uma falha de execução remota no Word que foi consertada em junho de 2006. O bug foi divulgado publicamente antes que patch estivesse disponível antes que houvesse um patch para ele.
Quando o conserto foi liberado, havia alguns ataques explorando a falha. Isso foi há quase três anos e meio e, por incrível que pareça, eles continuam por aí.