Bisnis.com, JAKARTA – Perusahaan keamanan siber Kaspersky menemukan adanya
serangan menggunakan rantai penuh tak dikenal yang terdiri dari eksploitasi zero-day.
Hal ini diungkapkan pakar keamanan di Kaspersky Boris Larin setelah teknologi deteksi otomatis Kaspersky mencegah serangan bertarget pada perusahaan Korea Selatan.
Dia mengungkapkan serangan ini menggunakan rantai penuh tidak dikenal yang terdiri atas dua eksploitasi zero-day, yaitu eksploitasi eksekusi kode jarak jauh untuk Internet Explorer 11 dan eksploitasi elevasi hak istimewa (EoP) untuk Windows.
Paling terkini serangan tersebut menyasar versi terbaru Windows 10.
“Ketika serangan tidak terduga dengan kerentanan zero-day terjadi, fenomena itu akan selalu menjadi berita besar bagi komunitas keamanan siber. Deteksi yang berhasil dari kerentanan semacam itu segera mendorong para vendor untuk mengeluarkan tambalan dan memaksa pengguna untuk menginstal semua pembaruan yang diperlukan,” ungkap Larin lewat rilisnya, Minggu, (16/8/2020).
Menurut Larin, kerentanan zero-day adalah jenis bug perangkat lunak yang sebelumnya tidak dikenal. Setelah ditemukan, mereka memungkinkan untuk melakukan aktivitas berbahaya secara diam-diam, sehingga dapat menyebabkan kerusakan serius dan tidak terduga.
Larin menyebutkan saat menyelidiki serangan yang disebutkan di atas, peneliti Kaspersky menemukan dua kerentanan zero-day. Eksploitasi pertama untuk Internet Explorer adalah Use-After-Free - jenis kerentanan yang dapat mengaktifkan kemampuan eksekusi kode jarak jauh seutuhnya. Eksploitasi ini ditetapkan sebagai CVE-2020-1380.
Namun, karena Internet Explorer bekerja di area yang terisolasi, aktor ancaman membutuhkan lebih banyak hak istimewa pada mesin yang terinfeksi. Itulah alasan mengapa mereka membutuhkan eksploitasi kedua, yang ditemukan di Windows dan menggunakan kerentanan dalam layanan printer.
Ancaman Ini memungkinkan aktor ancaman untuk mengeksekusi kode arbitrer di mesin korban. Eksploitasi elevasi hak istimewa (EoP) ini ditetapkan sebagai CVE-2020-0986.
“Yang sangat menarik dalam serangan yang ditemukan ini adalah bahwa eksploitasi sebelumnya yang kami temukan sebagian besar tentang kebutuhan atas peningkatan hak istimewa. Namun, kasus ini mencakup eksploitasi dengan kemampuan eksekusi kode jarak jauh yang lebih berbahaya," ujarnya.
Ditambah dengan kemampuan untuk mempengaruhi build Windows 10 terbaru, Larin menambahkan bahwa serangan yang ditemukan benar-benar menjadi hal yang langka saat ini.
"Ini mengingatkan kita sekali lagi untuk berinvestasi pada intelijen ancaman terkemuka dan teknologi pelindung yang telah terbukti agar dapat secara proaktif mendeteksi ancaman zero-day terbaru,” komentarnya.
Di sisi lain, pakar Kaspersky tidak begitu yakin bahwa serangan tersebut dapat dikaitkan dengan DarkHotel berdasarkan kesamaan yang tidak begitu menonjol antara eksploitasi baru dan yang sebelumnya ditemukan terkait dengan pelaku ancaman ini.