Penyerang telah berhasil membuat eksploit baru yang mampu melewati eksekusi kode jarak jauh yang kritis (terbuka di tab baru) kerentanan di Microsoft Office (terbuka di tab baru) yang ditambal awal tahun ini.
Menurut penelitian baru dari perusahaan keamanan siber Sophos (terbuka di tab baru)para penyerang dapat memanfaatkan eksploitasi Office proof-of-concept yang tersedia untuk umum dan mempersenjatainya untuk mengirimkan malware Formbook (terbuka di tab baru).
Kembali pada bulan September, Microsoft merilis tambalan untuk mencegah penyerang mengeksekusi kode berbahaya yang disematkan di Word (terbuka di tab baru) dokumen yang mengunduh arsip Microsoft Cabinet (CAB) yang berisi executable berbahaya. Dengan mengerjakan ulang eksploit asli dan menempatkan dokumen Word berbahaya di dalam arsip RAR yang dibuat khusus, penyerang membuat bentuk eksploit “tanpa CAB” yang mampu berhasil menghindari tambalan asli.
Namun yang mengejutkan, eksploit novel ini didistribusikan menggunakan email spam (terbuka di tab baru) selama kurang lebih 36 jam sebelum menghilang sepenuhnya. Peneliti Sophos percaya bahwa umur eksploit yang terbatas dapat berarti bahwa itu adalah eksperimen “dry run” yang dapat digunakan dalam serangan di masa mendatang.
Melewati tambalan kritis
Selama penyelidikan mereka, peneliti Sophos menemukan bahwa penyerang yang bertanggung jawab telah membuat arsip RAR abnormal yang memiliki skrip PowerShell yang menambahkan dokumen Word berbahaya yang disimpan di dalam arsip.
Untuk menyebarkan arsip RAR yang cacat dan isinya yang berbahaya, penyerang membuat dan mendistribusikan email spam yang mengundang korban untuk membuka kompresi file RAR untuk mengakses dokumen Word. Namun, membuka dokumen tersebut memicu proses yang menjalankan skrip front-end yang menyebabkan perangkat mereka terinfeksi malware (terbuka di tab baru).
Peneliti ancaman utama di Sophos, Andrew Brandt menjelaskan bagaimana penyerang dapat mengatasi Microsoft dengan menambal kerentanan asli dalam siaran pers (terbuka di tab baru)mengatakan:
“Secara teori, pendekatan serangan ini seharusnya tidak berhasil, tetapi berhasil. Versi pra-tambalan dari serangan tersebut melibatkan kode berbahaya yang dikemas ke dalam file Kabinet Microsoft. Ketika tambalan Microsoft menutup celah itu, penyerang menemukan bukti konsep yang menunjukkan bagaimana Anda dapat menggabungkan malware ke dalam format file terkompresi yang berbeda, arsip RAR. Arsip RAR telah digunakan sebelumnya untuk mendistribusikan kode berbahaya, tetapi proses yang digunakan di sini sangat rumit. Kemungkinan berhasil hanya karena pengiriman tambalan sangat sempit dan karena program WinRAR yang dibutuhkan pengguna untuk membuka RAR sangat toleran terhadap kesalahan dan tampaknya tidak keberatan jika arsip salah, misalnya, karena telah dirusak. ”
Meskipun menambal perangkat lunak terhadap kerentanan yang diketahui adalah penting, mengedukasi karyawan tentang bahaya membuka lampiran email yang mencurigakan juga sama pentingnya. (terbuka di tab baru) terutama ketika mereka datang dalam format file terkompresi yang tidak biasa atau asing.
Kami juga menampilkan perangkat lunak penghapus malware terbaik (terbuka di tab baru), antivirus terbaik (terbuka di tab baru) dan perangkat lunak perlindungan titik akhir terbaik (terbuka di tab baru)