Awas! Peneliti Menemukan Eksploitasi Zero-Day Microsoft Office Baru di Alam Liar

Awas!  Peneliti Menemukan Eksploitasi Zero-Day Microsoft Office Baru di Alam Liar

Peneliti keamanan siber meminta perhatian pada cacat nol hari di Microsoft Office yang dapat disalahgunakan untuk mencapai eksekusi kode arbitrer pada sistem Windows yang terpengaruh.

Kerentanan terungkap setelah tim peneliti keamanan siber independen yang dikenal sebagai nao_sec menemukan dokumen Word (“05-2022-0438.doc”) yang diunggah ke VirusTotal dari alamat IP di Belarus.

“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” para peneliti dicatat dalam serangkaian tweet minggu lalu.

Keamanan cyber

Menurut peneliti keamanan Kevin Beaumont, yang menjuluki cacat “Follina,” maldoc memanfaatkan fitur templat jarak jauh Word untuk mengambil file HTML dari server, yang kemudian menggunakan skema URI “ms-msdt://” untuk menjalankan muatan berbahaya.

MSDT adalah kependekan dari Microsoft Support Diagnostics Tool, sebuah utilitas yang digunakan untuk memecahkan masalah dan mengumpulkan data diagnostik untuk analisis oleh profesional dukungan untuk menyelesaikan masalah.

“Ada banyak hal yang terjadi di sini, tetapi masalah pertama adalah Microsoft Word mengeksekusi kode melalui msdt (alat pendukung) bahkan jika makro dinonaktifkan,” jelas Beaumont.

Keamanan cyber

“Protected View memang masuk, meskipun jika Anda mengubah dokumen ke bentuk RTF, itu berjalan bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer) apalagi Protected View,” tambah peneliti.

Beberapa versi Microsoft Office, termasuk Office, Office 2016, dan Office 2021, dikatakan terpengaruh, meskipun versi lain diperkirakan juga rentan.

Related Post :   Peretas Iran Terlihat Menggunakan Malware Pembajak DNS baru dalam Serangan Terbaru

Terlebih lagi, Richard Warren dari NCC Group dikelola untuk mendemonstrasikan eksploitasi di Office Professional Pro dengan April 2022 berjalan di mesin Windows 11 terbaru dengan panel pratinjau diaktifkan.

“Microsoft perlu menambalnya di semua penawaran produk yang berbeda, dan vendor keamanan akan membutuhkan deteksi dan pemblokiran yang kuat,” kata Beaumont. Kami telah menghubungi Microsoft untuk memberikan komentar, dan kami akan memperbarui cerita setelah kami mendengarnya kembali.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.