Video: Zero-Day: Internet Explorer 11 Sandbox Bypass (Desember 2024)
Penyerang mengeksploitasi kelemahan serius di Internet Explorer dalam serangan lubang berair, peneliti dari perusahaan keamanan FireEye memperingatkan. Pengguna yang ditipu untuk mengakses situs web yang terinfeksi dipukul dengan malware yang menginfeksi memori komputer dalam serangan drive-by klasik.
Penyerang telah menanamkan kode berbahaya yang mengeksploitasi setidaknya dua kelemahan nol hari di Internet Explorer ke "situs web yang secara strategis penting, yang diketahui menarik pengunjung yang mungkin tertarik dengan kebijakan keamanan nasional dan internasional, " kata FireEye dalam analisisnya pekan lalu. FireEye tidak mengidentifikasi situs di luar fakta bahwa itu berbasis di Amerika Serikat.
"Eksploitasi memanfaatkan kerentanan kebocoran informasi baru dan kerentanan akses memori IE di luar batas untuk mencapai eksekusi kode, " tulis para peneliti FireEye. "Ini adalah satu kerentanan yang dieksploitasi dengan berbagai cara."
Kerentanan hadir di Internet Explorer 7, 8, 9, dan 10, berjalan pada Windows XP atau Windows 7. Sementara serangan saat ini menargetkan versi bahasa Inggris dari Internet Explorer 7 dan 8 yang berjalan pada Windows XP dan Windows 8, eksploitasi dapat diubah untuk menargetkan versi dan bahasa lain, kata FireEye.
APT Canggih yang Tidak Biasa
FireEye mengatakan kampanye lanjutan ancaman persisten (APT) ini menggunakan beberapa server komando dan kontrol yang sama dengan yang digunakan dalam serangan APT sebelumnya terhadap target Jepang dan Cina, yang dikenal sebagai Operation DeputyDog. APT ini luar biasa canggih karena mendistribusikan muatan berbahaya yang hanya berjalan di memori komputer, FireEye menemukan. Karena tidak menulis sendiri ke disk, jauh lebih sulit untuk mendeteksi atau menemukan bukti forensik pada mesin yang terinfeksi.
"Dengan memanfaatkan kompromi Web strategis bersama dengan taktik pengiriman payload dalam-memori dan berbagai metode kebingungan, kampanye ini telah terbukti sangat berhasil dan sulit dipahami, " kata FireEye.
Namun, karena malware tanpa disk benar-benar tersimpan dalam memori, cukup reboot mesin yang muncul untuk menghilangkan infeksi. Penyerang tampaknya tidak khawatir akan gigih, menyarankan bahwa penyerang "yakin bahwa target yang mereka maksud hanya akan mengunjungi kembali situs web yang disusupi dan terinfeksi ulang, " tulis para peneliti FireEye.
Ini juga berarti bahwa penyerang bergerak sangat cepat, karena mereka perlu bergerak melalui jaringan untuk mencapai target lain atau menemukan informasi yang mereka cari sebelum pengguna me-reboot mesin dan menghilangkan infeksi. "Begitu penyerang masuk dan meningkatkan hak istimewa, mereka dapat menggunakan banyak metode lain untuk membangun kegigihan, " kata Ken Westin, seorang peneliti keamanan di Tripwire.
Para peneliti di perusahaan keamanan Triumfant telah mengklaim peningkatan malware tanpa disk dan menyebut serangan ini sebagai Ancaman Volatile Lanjutan (AVT).
Tidak Terkait dengan Kelemahan Kantor
Kerentanan nol-hari Internet Explorer terbaru datang di tengah kelemahan kritis di Microsoft Office juga dilaporkan minggu lalu. Kelemahan dalam cara Microsoft Windows dan Office mengakses gambar TIFF tidak terkait dengan bug Internet Explorer ini. Sementara penyerang sudah mengeksploitasi bug Office, sebagian besar target saat ini di Timur Tengah dan Asia. Pengguna didorong untuk menginstal FixIt, yang membatasi kemampuan komputer untuk membuka grafik, sambil menunggu patch permanen.
FireEye telah memberi tahu Microsoft tentang kerentanannya, tetapi Microsoft belum mengomentari secara terbuka tentang kekurangan tersebut. Sangat tidak mungkin bahwa bug ini akan diatasi tepat waktu untuk rilis Patch Tuesday besok.
Versi terbaru dari Microsoft EMET, Enhanced Mitigation Experience Toolkit, berhasil memblokir serangan yang menargetkan kerentanan IE, dan juga Office. Organisasi harus mempertimbangkan untuk menginstal EMET. Pengguna juga dapat mempertimbangkan untuk meningkatkan ke versi 11 dari Internet Explorer, atau menggunakan browser selain Internet Explorer sampai bug diperbaiki.
Masalah XP
Kampanye lubang air terbaru ini juga menyoroti bagaimana penyerang menargetkan pengguna Windows XP. Microsoft telah berulang kali mengingatkan pengguna bahwa itu akan berhenti memberikan pembaruan keamanan untuk Windows XP setelah April 2014, dan pengguna harus meningkatkan ke versi yang lebih baru dari sistem operasi. Peneliti keamanan percaya banyak penyerang duduk di cache kerentanan XP dan percaya bahwa akan ada gelombang serangan yang menargetkan Windows XP setelah Microsoft mengakhiri dukungan untuk sistem operasi yang menua.
"Jangan tunda - upgrade dari Windows XP ke sesuatu yang lain sesegera mungkin jika Anda menghargai keamanan Anda, " tulis Graham Cluley, seorang peneliti keamanan independen, menulis di blog-nya.