WartaPenaNews, Jakarta – Pada akhir musim semi 2020, teknologi deteksi otomatis Kaspersky telah mencegah serangan bertarget pada perusahaan Korea Selatan. Analisis lebih jauh
mengungkapkan bahwa serangan ini menggunakan rantai penuh tidak dikenal yang
terdiri dari dua eksploitasi zero-day: eksploitasi eksekusi kode jarak jauh untuk
Internet Explorer 11 dan eksploitasi elevasi hak istimewa (EoP) untuk Windows.
Paling terkini telah menargetkan versi terbaru Windows 10.
Kerentanan zero-day adalah jenis bug perangkat lunak yang sebelumnya tidak dikenal. Setelah
ditemukan, mereka memungkinkan untuk melakukan aktivitas berbahaya secara diam-diam,
sehingga dapat menyebabkan kerusakan serius dan tidak terduga.
Saat menyelidiki serangan yang disebutkan di atas, peneliti Kaspersky menemukan dua kerentanan
zero-day. Eksploitasi pertama untuk Internet Explorer adalah Use-After-Free – jenis kerentanan yang
dapat mengaktifkan kemampuan eksekusi kode jarak jauh seutuhnya. Eksploitasi ini ditetapkan
sebagai CVE-2020-1380.
Namun, karena Internet Explorer bekerja di area yang terisolasi, aktor ancaman membutuhkan lebih
banyak hak istimewa pada mesin yang terinfeksi. Itulah alasan mengapa mereka membutuhkan
eksploitasi kedua, yang ditemukan di Windows dan menggunakan kerentanan dalam layanan printer.
Ini memungkinkan aktor ancaman untuk mengeksekusi kode arbitrer di mesin korban. Eksploitasi
elevasi hak istimewa (EoP) ini ditetapkan sebagai CVE-2020-0986.
“Ketika serangan tidak terduga dengan kerentanan zero-day terjadi, fenomena itu akan selalu
menjadi berita besar bagi komunitas keamanan siber. Deteksi yang berhasil dari kerentanan
semacam itu segera mendorong para vendor untuk mengeluarkan tambalan dan memaksa pengguna
untuk menginstal semua pembaruan yang diperlukan. Yang sangat menarik dalam serangan yang
ditemukan ini adalah bahwa eksploitasi sebelumnya yang kami temukan sebagian besar tentang
kebutuhan atas peningkatan hak istimewa. Namun, kasus ini mencakup eksploitasi dengan
kemampuan eksekusi kode jarak jauh yang lebih berbahaya. Ditambah dengan kemampuan untuk
mempengaruhi build Windows 10 terbaru, serangan yang ditemukan benar-benar menjadi hal yang
langka saat ini. Ini mengingatkan kita sekali lagi untuk berinvestasi pada intelijen ancaman terkemuka
dan teknologi pelindung yang telah terbukti agar dapat secara proaktif mendeteksi ancaman zero-day
terbaru,†komentar Boris Larin, pakar keamanan di Kaspersky.
Pakar Kaspersky tidak begitu yakin bahwa serangan tersebut dapat dikaitkan dengan DarkHotel
berdasarkan kesamaan yang tidak begitu menonjol antara eksploitasi baru dan yang sebelumnya
ditemukan terkait dengan pelaku ancaman ini.
Informasi rinci tentang Indikator yang terkait dengan grup ini, termasuk hash file dan server C2, dapat
diakses di Kaspersky Threat Intelligence Portal.
Produk Kaspersky mendeteksi eksploitasi ini dengan putusan berikutnya PDM:
Exploit.Win32.Generic.
Patch untuk peningkatan kerentanan hak istimewa CVE-2020-0986 dirilis pada 9 Juni 2020.
Patch untuk kerentanan eksekusi kode jarak jauh CVE-2020-1380 dirilis pada 11 Agustus 2020.
Untuk tetap aman dari ancaman, Kaspersky merekomendasikan untuk mengambil tindakan
pengamanan berikut:
ï‚· Melakukan instalasi tambalan Microsoft untuk kerentanan baru sesegera mungkin. Setelah
kedua tambalan diunduh, pelaku ancaman tidak dapat lagi menyalahgunakan kerentanan.
ï‚· Memberikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat
Intelligence Portal adalah satu titik akses untuk TI perusahaan, yang menyediakan data dan
wawasan serangan dunia maya yang dikumpulkan oleh Kaspersky selama lebih dari 20
tahun.
ï‚· Untuk deteksi level endpoint, investigasi, dan remediasi insiden tepat waktu, terapkan solusi
EDR seperti Kaspersky Endpoint Detection and Response.
ï‚· Selain mengadopsi perlindungan titik akhir yang penting, terapkan solusi keamanan tingkat
perusahaan yang mendeteksi ancaman tingkat lanjut pada level jaringan tahap awal, seperti
Kaspersky Anti Targeted Attack Platform.
Untuk detail lebih lanjut tentang eksploitasi baru, lihat laporan lengkap di Securelist
Untuk melihat lebih dekat pada teknologi yang mendeteksi ini dan zero-days lainnya di Microsoft
Windows, rekaman webinar Kaspersky tersedia untuk dilihat sesuai permintaan.(cim)