Dua anggota Proyek Google Zero menemukan cara eksploitasi windows yang serius selama akhir pekan. Ini sangat buruk sehingga bisa mengambil alih sistem hanya dengan mengirim email yang tidak membutuhkan untuk di buka atau di baca.
Sebuah eksploitasi Windows zero-day baru telah ditemukan. Ini mungkin salah satu kerentanan paling serius sampai saat ini. Ini menargetkan Windows Defender Microsoft Malware Protection Engine (MsMpEng), menipu kode eksekusi saat mesin memindai file.
Apa yang membuat bug begitu serius adalah bagaimana MsMpEng beroperasi: Ini menggunakan minifilter filesystem untuk memeriksa setiap bit aktivitas filesystem. Itu berarti apapun yang menulis ke file temporer hard disk, download, cache, lampiran email dan semuanya.
Tidak ada cara yang lebih baik untuk menggambarkan tingkat keparahan kerentanan ini daripada bagaimana Zero Project mengatakannya dalam laporan bug mereka: "Kerentanan di MsMpEng termasuk yang paling parah di Windows, karena hak istimewa, aksesibilitas, dan kegunaan layanan."
Dimulai saat pengguna mengunjungi situs tempat file yang terinfeksi berada. Atau klien email lokal mendownload email, lampiran datang melalui pesan chat, atau hal lain yang terjadi yang melibatkan penulisan data ke disk lokal, yang semuanya cukup banyak.
Banyak program anti-malware akan memulai pemindaian jika perlindungan real-time diaktifkan. Yang kedua file yang terinfeksi tesebut dipindai dan itu mengaktifkan, memberi pengguna luar akses ke akun LocalSystem. Begitu masuk, hacker memiliki akses dan kontrol total terhadap mesin.
Cara eksploitasi windows tersebut merupakan masalah serius dan bahkan lebih buruk lagi bila perlindungan real-time aktif. Tanpa itu file yang terinfeksi hanya akan diaktifkan saat sistem dipindai, tapi Anda tidak akan tahu itu ada sampai semuanya terlambat.
Secara teknis tidak ada kebutuhan bagi administrator sistem untuk bertindak dalam hal ini. Patch akan digunakan secara otomatis ke sistem yang terpengaruh. Merupakan ide bagus untuk melakukannya secepat mungin, yang bisa Anda lakukan dengan menginstal pembaruan secara manual. Cara ekspolitasi windows melalui bug MsMpEng tersebut akan memberikan masalah pada infrastruktur IT yang kompleks di perusahaan anda.
Microsoft mengatakan belum ada laporan tentang eksploitasi yang ditemukan, namun jangan mengambil menunggu itu terjadi.
Eksploitasi Windows Terbaru (May 2017)
Sebuah eksploitasi Windows zero-day baru telah ditemukan. Ini mungkin salah satu kerentanan paling serius sampai saat ini. Ini menargetkan Windows Defender Microsoft Malware Protection Engine (MsMpEng), menipu kode eksekusi saat mesin memindai file.
Apa yang membuat bug begitu serius adalah bagaimana MsMpEng beroperasi: Ini menggunakan minifilter filesystem untuk memeriksa setiap bit aktivitas filesystem. Itu berarti apapun yang menulis ke file temporer hard disk, download, cache, lampiran email dan semuanya.
Tidak ada cara yang lebih baik untuk menggambarkan tingkat keparahan kerentanan ini daripada bagaimana Zero Project mengatakannya dalam laporan bug mereka: "Kerentanan di MsMpEng termasuk yang paling parah di Windows, karena hak istimewa, aksesibilitas, dan kegunaan layanan."
Beruntung sudah ada patch yang tersedia.
Bagaimana cara eksploitasi Windows tersebut ?
Dimulai saat pengguna mengunjungi situs tempat file yang terinfeksi berada. Atau klien email lokal mendownload email, lampiran datang melalui pesan chat, atau hal lain yang terjadi yang melibatkan penulisan data ke disk lokal, yang semuanya cukup banyak.
Banyak program anti-malware akan memulai pemindaian jika perlindungan real-time diaktifkan. Yang kedua file yang terinfeksi tesebut dipindai dan itu mengaktifkan, memberi pengguna luar akses ke akun LocalSystem. Begitu masuk, hacker memiliki akses dan kontrol total terhadap mesin.
Cara eksploitasi windows tersebut merupakan masalah serius dan bahkan lebih buruk lagi bila perlindungan real-time aktif. Tanpa itu file yang terinfeksi hanya akan diaktifkan saat sistem dipindai, tapi Anda tidak akan tahu itu ada sampai semuanya terlambat.
Siapa yang terpengaruh dengan cara ekspoloitasi windows terbaru ini?
Ada daftar sistem yang terkena bug MsMpEng. Jika Anda menjalankan salah satu sistem ini, Anda perlu melakukan pembaruan darurat sekarang juga:- Microsoft Forefront Endpoint Protection 2010
- Microsoft Endpoint Protection
- Microsoft Forefront Security for SharePoint Service Pack 3
- Microsoft System Center Endpoint Protection
- Microsoft Security Essentials
- Windows Defender for Windows 7
- Windows Defender for Windows 8.1 and RT 8.1
- Windows Defender for Windows 10
- Windows 10 1511, Windows 10 1607
- Windows Server 2016
- Windows 10 Creator's Update
- Windows Intune Endpoint Protection
Secara teknis tidak ada kebutuhan bagi administrator sistem untuk bertindak dalam hal ini. Patch akan digunakan secara otomatis ke sistem yang terpengaruh. Merupakan ide bagus untuk melakukannya secepat mungin, yang bisa Anda lakukan dengan menginstal pembaruan secara manual. Cara ekspolitasi windows melalui bug MsMpEng tersebut akan memberikan masalah pada infrastruktur IT yang kompleks di perusahaan anda.
Microsoft mengatakan belum ada laporan tentang eksploitasi yang ditemukan, namun jangan mengambil menunggu itu terjadi.
Tiga garis besar yang dapat diambil dari cara eksploitasi windows ini:
- Periset dengan Proyek Google Zero menemukan kerentanan dengan Microsoft Windows Defender Microsoft Malware Protection Engine yang memungkinkan peretas mendapatkan akses ke sistem dengan menyebabkan pemindaian virus mengeksekusi kode yang tersembunyi di file yang terinfeksi.
- Eksploitasi sangat mudah dipicu: Apa pun yang menyebabkan data ditulis ke disk memulai pemindaian Protection Engine bisa mengaktifkan kode.
- Microsoft telah merilis patch yang akan otomatis dipasang saat update, namun untuk keamanan ekstra Anda bisa menginstalnya secara manual.
Anda dapat menemukan mitra konsultan keamanan IT untuk perusahaan skala enterprise agar dapat selalu update terhadap permasalahan seperti ini sebelum menjadi masalah yang menimbulkan biaya sangat besar. Terutama untuk perbankan dan asuransi yang memiliki lingkungan dengan ribuan PC/Notebook dengan sistem operasi windows.
Komentar
Posting Komentar