A recente vulnerabilidade de desserialização de dados não confiáveis no Microsoft COM para Windows, identificada como CVE-2018-0824 com uma pontuação CVSS de 7,5, foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) pela Agência de Cibersegurança e Segurança de Infraestrutura dos EUA. Vulnerabilidades de desserialização de dados não confiáveis ocorrem quando uma aplicação desserializa dados de uma fonte não confiável sem a devida validação. A desserialização é o processo de converter dados de um formato serializado (como JSON ou XML) de volta para um objeto ou estrutura de dados na memória.

“Uma vulnerabilidade de execução remota de código existe no ‘Microsoft COM for Windows’ quando ele falha em manipular corretamente objetos serializados,” lê-se no comunicado publicado pela Microsoft. Um atacante que explora essa vulnerabilidade com sucesso pode usar um arquivo ou script especialmente criado para realizar ações maliciosas. Em um cenário de ataque por e-mail, o atacante poderia explorar a vulnerabilidade enviando o arquivo especialmente criado para o usuário e convencendo-o a abrir o arquivo.

Em um cenário de ataque baseado na web, o atacante poderia hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente criado projetado para explorar a vulnerabilidade. O invasor pode desencadear o problema ao induzir a vítima a visitar um site clicando em um link e, em seguida, convencer o usuário a abrir o arquivo especialmente criado.