Technology

MS Office baru zero day menghindari Defender – Keamanan

Penulis malware mengeksploitasi kerentanan di Microsoft Office yang memungkinkan mereka mengambil kode berbahaya tanpa terdeteksi dalam serangan multi-tahap, menurut temuan peneliti keamanan.

Eksploitasi, yang peneliti Kevin Beaumont beri nama Follina, menyalahgunakan fitur template jarak jauh di Microsoft Word.

Vendor keamanan Jepang Nao Sec pertama dilaporkan hari nol, yang katanya disampaikan dari Belarus.

Nao Sec melihat bahwa eksploitasi zero day yang disematkan dalam dokumen Word pertama kali memuat file hyper text markup language (HTML) dari server web jarak jauh.

Kemudian menggunakan penangan alat diagnostik MSDT, yang terdaftar untuk protokol MS Office, untuk mengeksekusi kode Windows PowerShell.

Beaumont mengatakan bahwa eksploitasi bekerja bahkan dengan makro Office, yang biasanya digunakan untuk menjalankan malware, dinonaktifkan.

Pembela Microsoft untuk Endpoint saat ini tidak mendeteksi Follina, dan Beaumont dapat mengonfirmasi bahwa eksploitasi berfungsi pada varian Office 2013 dan 2016.

Peneliti lain, Didier Stevens, berhasil membuat eksploitasi Follina MSDT bekerja pada versi Office 2021 yang sepenuhnya ditambal.

Beaumont mengatakan dia tidak dapat membuat eksploitasi bekerja dengan versi pratinjau Office Saat Ini dan Orang Dalam.

Dia mengatakan ini menunjukkan bahwa Microsoft telah memperbaiki kerentanan sekitar Mei tahun ini, atau bahwa dia “terlalu bodoh” untuk mengeksploitasi kerentanan pada versi Office terbaru.

Pengguna dengan lisensi Office E5 dapat menambahkan kueri Defender for Endpoint untuk memperingatkan tentang eksploitasi, yang saat ini melewati alat anti-malware tanpa terdeteksi.

Awal tahun ini, vendor keamanan SySS mendokumentasikan bagaimana penangan untuk protokol MS Office dapat disalahgunakan untuk membuka file secara langsung, melalui tautan lokasi sumber daya seragam yang dibuat khusus.

Instalasi standar MS Office menginstal 86 penangan seperti itu, Matthias Zöllner dari SySS menemukan, membuka kemungkinan skenario penyalahgunaan untuk penyerang tanpa melampirkan dokumen berbahaya ke email phishing misalnya.


Posted By : pengeluaran hk hari ini 2021