Video: Ethical Hacking: IE Zero Day Exploit (Oktober 2024)
Akhir April, peneliti keamanan menemukan exploit di Internet Explorer 8 yang memungkinkan penyerang untuk mengeksekusi kode berbahaya di komputer korban. Yang paling meresahkan, eksploitasi itu ditemukan di alam liar di situs web Departemen Tenaga Kerja AS (DoL), kemungkinan menargetkan pekerja dengan akses ke nuklir atau bahan beracun lainnya. Akhir pekan ini, Microsoft mengonfirmasi bahwa exploit tersebut adalah zero-day baru di IE 8.
Eksploitasi
Microsoft mengeluarkan penasehat keamanan pada hari Jumat mengkonfirmasi eksploitasi di Internet Explorer 8 CVE-2013-1347, mencatat bahwa versi 6, 7, 9, dan 10 tidak terpengaruh.
"Ini adalah kerentanan eksekusi kode jauh, " tulis Microsoft. "Kerentanan ada dalam cara Internet Explorer mengakses objek dalam memori yang telah dihapus atau belum dialokasikan dengan benar. Kerentanan dapat merusak memori dengan cara yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks pengguna saat ini dalam Internet Explorer."
"Seorang penyerang dapat meng-host situs web yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan ini melalui Internet Explorer dan kemudian meyakinkan pengguna untuk melihat situs web, " tulis Microsoft. Sayangnya, ini sepertinya sudah terjadi.
Di alam liar
Eksploitasi itu pertama kali diketahui pada akhir April oleh perusahaan keamanan Invincea. Mereka mencatat situs web DoL tampaknya mengarahkan kembali pengunjung ke situs web lain tempat varian Poison Ivy Trojan dipasang pada perangkat korban.
AlienVault Labs menulis bahwa sementara malware melakukan sejumlah kegiatan, ia juga memindai komputer korban untuk menentukan apa, jika ada, virus-anit ada. Menurut AlienVault, malware tersebut memeriksa keberadaan perangkat lunak Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure, dan Kasperky antara lain.
Di Cisco Blog, Craig Williams menulis, "informasi ini kemungkinan akan digunakan untuk memfasilitasi dan memastikan keberhasilan serangan di masa depan."
Meskipun sulit untuk mengatakan motivasi apa yang ada di balik serangan DoL, eksploitasi tampaknya telah dikerahkan dengan beberapa target dalam pikiran. Williams menyebutnya serangan "lubang air", di mana sebuah situs web populer dimodifikasi untuk menginfeksi pengunjung yang datang - mirip dengan serangan terhadap pengembang yang kami lihat awal tahun ini.
Walaupun DoL adalah langkah pertama dalam serangan itu, tampaknya mungkin bahwa target sebenarnya berada di Departemen Energi - khususnya karyawan yang memiliki akses ke bahan nuklir. AlienVault menulis bahwa situs web Paparan Situs yang menampung informasi tentang kompensasi karyawan untuk paparan bahan beracun terlibat.
Williams menulis, "Pengunjung ke halaman tertentu yang menghosting konten terkait nuklir di situs web Departemen Tenaga Kerja juga menerima konten jahat yang dimuat dari domain dol.ns01.us." Situs DoL yang dipermasalahkan telah diperbaiki.
Berhati-hatilah
Penasihat Microsoft juga mencatat bahwa para korban harus dipancing ke sebuah situs web agar eksploitasi menjadi efektif. "Namun, dalam semua kasus, penyerang tidak memiliki cara untuk memaksa pengguna mengunjungi situs web ini, " tulis Microsoft.
Karena mungkin ini adalah serangan yang ditargetkan, sebagian besar pengguna mungkin tidak akan menemukan exploit itu sendiri. Namun, jika digunakan oleh satu kelompok penyerang, kemungkinan orang lain juga memiliki akses ke exploit baru. Seperti biasa, hati-hati terhadap tautan aneh dan tawaran yang terlalu bagus untuk menjadi kenyataan. Di masa lalu, penyerang telah menggunakan taktik rekayasa sosial seperti membajak akun Facebook untuk menyebarkan tautan jahat, atau membuat surel tampaknya datang dari anggota keluarga. Merupakan ide yang bagus untuk memberikan setiap tes sniff-test.
Microsoft belum mengumumkan kapan, atau bagaimana, eksploitasi akan ditangani.
