Kaspersky Lab melalui para peneliti anti-malware mereka yaitu Boris Larin, Vlad Stolyarov, dan Alexander Liskin mengungkap sebuah penelitian yang berjudul "Catching multilayered zero-day attacks on MS Office."
Fokus utama penelitian ini selain instrumen yang membantu mereka dalam menganalisis malware, tetapi juga perhatian mereka akan Lansekap ancaman Microsoft Office.
Mereka menemukan bahwa para pelaku kejahatan siber sudah beralih, tidak lagi menggunakan kerentanan berbasis web untuk mengeksploitasi MS Office. Dalam beberapa bulan terakhir, MS Office, dengan lebih dari 70% serangan, menjadi platform yang paling sering menjadi target ancaman.
Sejak tahun lalu, sekelompok eksploitasi zero-day untuk MS Office mulai bermunculan. Ini biasanya dimulai dengan operasi bertarget tetapi akhirnya menjadi terang-terangan dan kemudian diintegrasikan ke dalam pembuat dokumen berbahaya.
Namun, waktu penyelesaian telah dipersingkat secara substansial. Misalnya, dalam kasus CVE-2017-11882, kerentanan editor persamaan pertama yang dilihat pakar kami, operasi spam besar dimulai pada hari yang sama saat bukti konsep dipublikasikan.
Itu juga berlaku bagi kerentanan lainnya - setelah laporan teknis untuk kerentanan dipublikasikan, eksploitasi akan muncul di pasar gelap dalam beberapa hari. Bug sendiri akhirnya menjadi jauh lebih kompleks, dan terkadang penulisan rinci menjadi hal yang paling diperlukan para pelaku kejahatan siber untuk membangun keberhasilan eksploitasi.
Pandangan terhadap kerentanan yang paling dieksploitasi pada 2018 mengonfirmasi bahwa: Pembuat malware lebih suka bug yang sederhana dan logis. Itulah sebabnya kerentanan editor persamaan CVE-2017-11882 dan CVE-2018-0802 sekarang merupakan bug yang paling banyak dieksploitasi di MS Office.
Sederhananya, mereka dapat diandalkan dan berfungsi di setiap versi Word yang dirilis dalam 17 tahun terakhir, dan paling penting adalah, membangun eksploit untuk salah satu dari mereka tidak memerlukan keterampilan yang mutakhir. Hal tersebut dikarenakan persamaan binary editor tidak memiliki perlindungan dan mitigasi modern seperti yang Anda harapkan dari aplikasi seri 2018.
Catatan menarik adalah: Tidak ada satu pun dari kerentanan yang paling dieksploitasi ada di dalam MS Office itu sendiri. Sebaliknya, kerentanan justru ada di komponen terkait.
Mengapa hal seperti ini terus terjadi?
Permukaan serangan MS Office sangat besar, dengan banyak format file yang rumit untuk dipertimbangkan, serta integrasi dengan Windows - dan interoperabilitasnya.
Satu hal yang paling penting dari sudut pandang keamanan, banyak keputusan yang diambil Microsoft ketika membuat Office terlihat buruk sekarang, tetapi mengubahnya juga hanya akan menghancurkan kompatibilitas ke belakang.
Pada tahun 2018 saja, kami menemukan beberapa kerentanan zero-day dieksploitasi secara liar. Diantaranya adalah CVE-2018-8174 (Kerentanan Eksekusi Kode Remote Mesin Windows VBScript). Kerentanan ini sangat menarik, karena exploit ditemukan dalam dokumen Word, tetapi kerentanan sebenarnya berada di Internet Explorer. Untuk detail lebih lanjut, lihat posting Securelist ini.
Bagaimana Kaspersky Lab dapat menemukan kerentanan?
Produk keamanan Kaspersky security products for endpoints memiliki kemampuan mesin heuristik untuk mendeteksi ancaman yang diantarkan melalui dokumen MS Office. Ini merupakan salah satu lapisan deteksi pertama.
Mesin heuristik menyadari semua format file dan keanehan pada setiap dokumen, dan berfungsi sebagai garis pertahanan pertama. Tetapi ketika kita menemukan objek berbahaya, kita tidak berhenti hanya setelah menentukan bahwa itu berbahaya.
Objek tersebut kemudian melewati lapisan keamanan tambahan. Salah satu teknologi yang sangat sukses, misalnya, adalah kotak pasir (sandbox). Kotak pasir digunakan untuk mengisolasi lingkungan yang tidak aman dari yang aman atau sebaliknya, melindungi terhadap eksploitasi kerentanan, dan menganalisis kode berbahaya.
Kotak pasir kami adalah sistem untuk deteksi malware yang menjalankan objek mencurigakan pada mesin virtual dengan OS berfitur lengkap dan mendeteksi aktivitas berbahaya objek tersebut dengan menganalisis perilakunya.
Fitur ini dikembangkan beberapa tahun yang lalu untuk digunakan dalam infrastruktur perusahaan kami, dan kemudian menjadi bagian dari Platform Kaspersky Anti-Targeted Attack Platform.
Microsoft Office adalah target yang paling diincar bagi para pelaku kejahatan siber dan akan tetap seperti itu. Pelaku kejahatan siber membidik target yang paling mudah, kemudian fitur lawas akan disalahgunakan.
Jadi untuk melindungi perusahaan Anda, Kaspersky Lab menyarankan untuk menggunakan solusi yang efektivitasnya dibuktikan dengan keberhasilannya dalam mendeteksi CVE.
