Video: Windows has a Zero-Day that won’t be patched for WEEKS | March 2020 (Oktober 2024)
Microsoft merilis "Perbaiki" yang membahas kerentanan nol hari dalam versi Internet Explorer yang lebih lama yang digunakan untuk mengkompromikan pengunjung situs web Council on Foreign Relations bulan lalu.
Kerentanan zero-day terkait dengan bagaimana IE mengakses "objek dan memori yang telah dihapus atau belum dialokasikan dengan benar, " kata Microsoft dalam penasehat keamanan pada 29 Desember. Masalahnya hadir di Internet Explorer 6, 7, dan 8. IE 9 dan 10 yang lebih baru tidak terpengaruh.
"Perbaiki" bukan tambalan permanen, tetapi hanya mekanisme sementara yang dapat digunakan untuk melindungi pengguna sampai pembaruan keamanan lengkap siap. Microsoft belum mengungkapkan apakah pembaruan akan siap untuk Patch Selasa Januari, dijadwalkan 8 Januari.
"Pada titik ini, sangat disarankan untuk menerapkan Fix it jika Anda tidak dapat memutakhirkan ke Internet Explorer 9 atau 10 atau jika Anda belum menerapkan salah satu solusinya, " tulis Johannes Ullrich dari SANS Technology Institute di Internet Storm Blog pusat.
Drive By Download Attacks
Kelemahan keamanan ini sangat berbahaya karena penyerang dapat mengeksploitasinya dalam serangan unduhan drive-by. Korban yang mengunjungi situs web jebakan akan terinfeksi tanpa mengklik atau melakukan apa pun di situs.
Penyerang merusak situs Dewan Hubungan Luar Negeri untuk mengeksploitasi kelemahan ini, lapor para peneliti di FireEye pekan lalu. Pengunjung situs web think-tank kebijakan luar negeri itu terinfeksi dengan malware Bifrose, sebuah pintu belakang yang memungkinkan penyerang mencuri file yang disimpan di komputer.
Fakta bahwa situs CFR dirusak dengan menyiratkan korban yang ditargetkan adalah orang-orang yang tertarik pada kebijakan luar negeri AS, Alex Horan dari CORE Security mengatakan kepada SecurityWatch . "Menguasai mesin mereka dan bisa membaca semua dokumen lokal mereka akan menjadi harta karun informasi, " kata Horan. Serangan zero-day adalah "mahal" dalam arti bahwa mereka lebih sulit untuk dikembangkan, sehingga target harus sepadan dengan usaha, katanya.
Korban saat ini terkonsentrasi di Amerika Utara, menyarankan kampanye serangan yang ditargetkan, Symantec Security Response mengatakan dalam blog-nya.
Kode jahat berfungsi mengeksploitasi ke browser yang bahasa sistem operasinya adalah Inggris (AS), Cina (Cina), Cina (Taiwan), Jepang, Korea, atau Rusia, Darien Kindlund dari FireEye menulis.
CFR mungkin telah terinfeksi sejauh 7 Desember, kata Chester Wisniewski, penasihat keamanan senior di Sophos. Setidaknya lima situs web tambahan telah dirusak, "menunjukkan serangan itu lebih luas daripada yang diperkirakan, " tetapi tampaknya tidak ada hubungan yang jelas antara para korban, kata Wisniewski.
Bukan hal yang aneh melihat serangan di sekitar musim liburan, Ziv Mador, direktur riset keamanan di Trustwave, mengatakan kepada SecurityWatch . "Itu terjadi karena respons oleh vendor keamanan, oleh vendor perangkat lunak, dan oleh tim TI dari organisasi yang terpengaruh mungkin lebih lambat dari biasanya, " kata Mador.
Perbaiki dan Penanganannya
Pengguna yang tidak dapat memutakhirkan ke IE 9 atau 10 atau tidak dapat menerapkan Fix Ini harus menggunakan browser Web alternatif sampai tambalan lengkap tersedia. Microsoft juga merekomendasikan agar pengguna memiliki firewall dan memastikan semua perangkat lunak dan produk keamanan sepenuhnya ditambal dan diperbarui. Karena serangan ini menggunakan Java dan Flash, Jamie Blasco milik AlienVault merekomendasikan untuk menghindari perangkat lunak pihak ketiga di browser untuk sementara waktu.
Sementara Fix It mudah untuk diterapkan dan tidak memerlukan reboot, itu akan "memiliki efek kecil pada waktu startup Internet Explorer, " Cristian Craioveanu, anggota tim Teknik MSRC, menulis di blog MSRC. Ketika tambalan terakhir akhirnya tersedia, pengguna harus menghapus solusi untuk mempercepat waktu startup browser lagi.
Serangan ini adalah "pengingat pedih lainnya" yang bekerja pada komputer sebagai pengguna non-administratif dapat terbayar dalam situasi ini, kata Wisniewski. Menjadi pengguna yang tidak memiliki hak istimewa berarti penyerang dibatasi dalam jumlah kerusakan yang dapat mereka sebabkan.
Untuk informasi lebih lanjut dari Fahmida, ikuti dia di Twitter @zdFYRashid.
