Video: PoC: Explotando Zero Day de Word CVE-2017-0199 Handler HTA (Oktober 2024)
Microsoft mengungkapkan kerentanan zero-day yang kritis dalam cara versi Microsoft Windows dan Office yang lebih lama menangani format gambar TIFF minggu ini. Meskipun cacat secara aktif dieksploitasi di alam liar, perusahaan mengatakan patch tidak akan siap untuk rilis Patch Tuesday minggu depan.
Bug (CVE-2013-3906) memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh dengan menipu pengguna agar membuka file dengan gambar TIFF yang dibuat secara khusus, kata Microsoft. Ketika pengguna membuka file serangan, penyerang mendapatkan hak dan hak yang sama dengan pengguna itu. Ini berarti bahwa jika pengguna memiliki akun administrator, maka penyerang bisa mendapatkan kontrol penuh dari mesin. Jika pengguna tidak memiliki hak administrator, maka penyerang hanya dapat menyebabkan kerusakan terbatas.
Laboratorium pengujian AV-TEST telah mengidentifikasi setidaknya delapan dokumen DOCX yang disematkan dengan gambar berbahaya yang saat ini digunakan dalam serangan.
Perangkat Lunak yang Terkena Dampak
Kerentanan ada di semua versi layanan komunikator Lync, Windows Vista, Windows Server 2008, dan beberapa versi Microsoft Office. Semua instalasi Office 2003 dan 2007 berisiko, terlepas dari sistem operasi mana suite diinstal. Office 2010 terpengaruh, hanya jika diinstal pada Windows XP atau Windows Server 2008, kata Microsoft. Tampaknya Office 2007 adalah satu-satunya yang saat ini sedang diserang aktif, menurut penasehat.
"Hingga 37 persen pengguna bisnis Microsoft Office rentan terhadap eksploitasi nol hari ini, " kata Alex Watson, direktur riset keamanan di Websense.
Zero-day terbaru ini adalah contoh yang baik tentang bagaimana kerentanan dalam versi perangkat lunak yang lebih lama dapat membuat organisasi terkena serangan serius. Pengguna seharusnya tidak menjalankan Office 2003, Office 2007, Windows XP, dan Windows Server 2003 karena mereka sudah sangat tua. "Jika Anda menghapus perangkat lunak itu, 0-hari ini tidak akan ada, " kata Tyler Reguly, manajer teknis penelitian dan pengembangan keamanan di Tripwire. Mengingat usia aplikasi ini, organisasi dan pengguna harusnya sudah diperbarui sekarang.
Serangan di Alam Liar
Meskipun ada serangan di alam liar, penting untuk diingat bahwa sampai saat ini, sebagian besar serangan berfokus pada Timur Tengah dan Asia. Microsoft awalnya mengatakan ada "serangan yang ditargetkan yang mencoba untuk mengeksploitasi kerentanan ini, " dan peneliti keamanan dari AlienVault, FireEye dan Symantec telah mengidentifikasi beberapa kelompok serangan yang sudah menggunakan kerentanan untuk melanjutkan kampanye mereka.
Kelompok di belakang Operation Hangover, sebuah kampanye yang berfokus pada spionase yang diidentifikasi pada bulan Mei, tampaknya mengeksploitasi bug ini untuk melanjutkan kegiatan pengumpulan-informasi, kata FireEye di blog-nya. Jaime Blasco, direktur AlienVault Labs, mengatakan eksploit itu digunakan untuk menargetkan dinas intelijen dan militer Pakistan. Kelompok serangan lain, bernama Arx oleh peneliti FireEye, menggunakan eksploitasi untuk mendistribusikan Trojan perbankan Citadel.
Menginstal Solusinya
Meskipun patch tidak akan siap minggu depan, Microsoft telah merilis FixIt, solusi sementara, untuk mengatasi masalah ini. Jika Anda memiliki perangkat lunak yang rentan, Anda harus segera menerapkan FixIt. FixIt menonaktifkan cara gambar TIFF diakses, yang mungkin bukan pilihan bagi beberapa pengguna dan perusahaan, Tripwire mencatat dengan baik.
Pengembang web, desainer grafis, dan profesional pemasaran yang bekerja dengan format TIFF mungkin menemukan kemampuan mereka untuk melakukan pekerjaan mereka terhalang dengan FixIt ini, kata Reguly. Profesional keamanan mungkin mengalami kesulitan membenarkan perlunya menyebarkan FixIt di organisasi yang banyak bekerja dengan gambar berkualitas tinggi.
"Ini menempatkan orang dalam situasi sulit mencegah kerentanan baru atau melakukan pekerjaan mereka, " kata Reguly.
Organisasi juga dapat menginstal perangkat keamanan Microsoft EMET (Enhanced Mitigation Experience Toolkit) karena mencegah serangan dari eksekusi, Microsoft Pusat Respons Keamanan Elia Florio; menulis dalam posting blog.
Banyak antivirus dan suite keamanan telah memperbarui tandatangan mereka untuk mendeteksi file berbahaya yang mengeksploitasi kerentanan ini, jadi Anda juga harus memastikan perangkat lunak keamanan Anda diperbarui. Seperti biasa, berhati-hatilah saat membuka file yang tidak Anda minta secara spesifik, atau mengklik tautan jika Anda tidak tahu sumbernya.
