Kaspersky temukan eksploitasi Zero-Day di OS Windows

JAKARTA (IndoTelko) - Pada akhir musim semi 2020, teknologi deteksi otomatis Kaspersky telah mencegah serangan bertarget pada perusahaan Korea Selatan.

Analisis lebih jauh mengungkapkan bahwa serangan ini menggunakan rantai penuh tidak dikenal yang terdiri dari dua eksploitasi zero-day: eksploitasi eksekusi kode jarak jauh untuk Internet Explorer 11 dan eksploitasi elevasi hak istimewa (EoP) untuk Windows. Paling terkini telah menargetkan versi terbaru Windows 10.

Kerentanan zero-day adalah jenis bug perangkat lunak yang sebelumnya tidak dikenal. Setelah ditemukan, mereka memungkinkan untuk melakukan aktivitas berbahaya secara diam-diam, sehingga dapat menyebabkan kerusakan serius dan tidak terduga.

Saat menyelidiki serangan yang disebutkan di atas, peneliti Kaspersky menemukan dua kerentanan zero-day. Eksploitasi pertama untuk Internet Explorer adalah Use-After-Free - jenis kerentanan yang dapat mengaktifkan kemampuan eksekusi kode jarak jauh seutuhnya. Eksploitasi ini ditetapkan sebagai CVE-2020-1380.

Namun, karena Internet Explorer bekerja di area yang terisolasi, aktor ancaman membutuhkan lebih banyak hak istimewa pada mesin yang terinfeksi. Itulah alasan mengapa mereka membutuhkan eksploitasi kedua, yang ditemukan di Windows dan menggunakan kerentanan dalam layanan printer. Ini memungkinkan aktor ancaman untuk mengeksekusi kode arbitrer di mesin korban. Eksploitasi elevasi hak istimewa (EoP) ini ditetapkan sebagai CVE-2020-0986.

“Ketika serangan tidak terduga dengan kerentanan zero-day terjadi, fenomena itu akan selalu menjadi berita besar bagi komunitas keamanan siber. Deteksi yang berhasil dari kerentanan semacam itu segera mendorong para vendor untuk mengeluarkan tambalan dan memaksa pengguna untuk menginstal semua pembaruan yang diperlukan. Yang sangat menarik dalam serangan yang ditemukan ini adalah bahwa eksploitasi sebelumnya yang kami temukan sebagian besar tentang kebutuhan atas peningkatan hak istimewa. Namun, kasus ini mencakup eksploitasi dengan kemampuan eksekusi kode jarak jauh yang lebih berbahaya. Ditambah dengan kemampuan untuk mempengaruhi build Windows 10 terbaru, serangan yang ditemukan benar-benar menjadi hal yang langka saat ini. Ini mengingatkan kita sekali lagi untuk berinvestasi pada intelijen ancaman terkemuka dan teknologi pelindung yang telah terbukti agar dapat secara proaktif mendeteksi ancaman zero-day terbaru,” komentar Pakar keamanan di Kaspersky Boris Larin.

Pakar Kaspersky tidak begitu yakin bahwa serangan tersebut dapat dikaitkan dengan DarkHotel berdasarkan kesamaan yang tidak begitu menonjol antara eksploitasi baru dan yang sebelumnya ditemukan terkait dengan pelaku ancaman ini.(wn)