- CVE-2012-0143 – falha no Microsoft Excel 2003 para Windows e Office 2008 para Mac – 85,2%
- CVE-2012-0159 – falha em sistema de alteração de fontes em versões antigas do Windows (XP, 7 e 8) – 5,9%
- CVE-2017-11882 – falha presente no Office 2007, 2013 e 2016 – 5,4%
- CVE-2018-4990 – falha no Adobe Acrobat Reader 2018 ou inferior – 2,5%
- CVE-2013-1331 – falha no Office 2003 para Windows e Office para Mac 2011 – 1%
Na nomenclatura, CVE é a sigla de Common Vulnerability and Exposure, que é um banco de dados de vulnerabilidades expostas. O número seguinte se refere ao ano da publicação da falha, e a sequência numérica final é o código identificador.
“Essas falhas são muito antigas e isso nos mostra que os cibercriminosos não precisam ‘se adequar” tanto para conseguir acessar esses ambientes”, explicou o pesquisador de segurança da Eset Daniel Barbosa, em conversa com Tilt.
De acordo com Barbosa, essas correções geralmente não são feitas por dois motivos:
- Falta de conhecimento do perigo, pois mesmo quem tem versões antigas desses programas pode baixar atualizações liberadas pelas próprias empresas.
- Desleixo na área de segurança: no caso de empresas, muitas vezes a questão é falta de investimento em versões mais novas dos programas.
Essas falhas são exploradas a partir da abertura de um arquivo PDF infectado ou planilhas do Excel que executam macros (tarefas programáveis para execução no programa) com códigos maliciosos recebidos por e-mail. A partir disso, os cibercriminosos podem executar comandos à distância no computador.