REPUBLIKA.CO.ID, JAKARTA -- Pada akhir musim semi 2020, teknologi deteksi Kaspersky mencegah serangan bertarget pada perusahaan Korea Selatan. Analisis mengungkapkan serangan ini menggunakan rantai penuh tidak dikenal yang terdiri dari dua eksploitasi zero-day.
Kedua eksploitasi itu adalah eksploitasi eksekusi kode jarak jauh untuk Internet Explorer 11. Kemudian, eksploitasi elevasi hak istimewa (EoP) untuk Windows. Paling terkini telah menargetkan versi terbaru Windows 10.
Kerentanan zero-day adalah jenis bug perangkat lunak yang sebelumnya tidak dikenal. Setelah ditemukan, bug ini memungkinkan untuk melakukan aktivitas berbahaya secara diam-diam, sehingga dapat menyebabkan kerusakan serius.
Peneliti Kaspersky menemukan dua kerentanan zero-day. Eksploitasi pertama untuk Internet Explorer adalah Use-After-Free. Ini adalah jenis kerentanan yang dapat mengaktifkan kemampuan eksekusi kode jarak jauh seutuhnya.
Eksploitasi ini ditetapkan sebagai CVE-2020-1380. Namun, karena Internet Explorer bekerja di area yang terisolasi, aktor ancaman membutuhkan lebih banyak hak istimewa pada mesin yang terinfeksi.
Itulah alasan mengapa mereka membutuhkan eksploitasi kedua. Eksploitasi kedua di Windows memungkinkan aktor ancaman untuk mengeksekusi kode arbitrer di mesin korban. Eksploitasi elevasi hak istimewa (EoP) ini ditetapkan sebagai CVE-2020-0986.
Pakar keamanan di Kaspersky, Boris Larin mengatakan ketika serangan tidak terduga dengan kerentanan zero-day terjadi, fenomena itu akan selalu menjadi berita besar bagi komunitas keamanan siber. Deteksi yang berhasil dari kerentanan semacam itu segera mendorong para vendor untuk mengeluarkan tambalan dan memaksa pengguna untuk menginstal semua pembaruan yang diperlukan.
Menariknya, sangat menarik dalam serangan yang ditemukan ini adalah, Larin menuturkan, eksploitasi sebelumnya yang Kaspersky sebagian besar tentang kebutuhan atas peningkatan hak istimewa. Namun, kasus ini mencakup eksploitasi dengan kemampuan eksekusi kode jarak jauh yang lebih berbahaya. Ditambah dengan kemampuan untuk mempengaruhi build Windows 10 terbaru, serangan yang ditemukan benar-benar menjadi hal yang langka saat ini.
“Ini mengingatkan kita sekali lagi untuk berinvestasi pada intelijen ancaman terkemuka dan teknologi pelindung yang telah terbukti agar dapat secara proaktif mendeteksi ancaman zero-day terbaru,” komentar Larin dalam keterangan pers Kaspersky yang diterima Republika.co.id, beberapa waktu lalu.
Untuk tetap aman dari ancaman, Kaspersky merekomendasikan untuk mengambil tindakan pengamanan berikut. Pertama, melakukan instalasi tambalan Microsoft untuk kerentanan baru sesegera mungkin. Setelah kedua tambalan diunduh, pelaku ancaman tidak dapat lagi menyalahgunakan kerentanan.
Kedua, memberikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence Portal adalah satu titik akses untuk TI perusahaan, yang menyediakan data dan wawasan serangan dunia maya yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
Ketiga, untuk deteksi level endpoint, investigasi, dan remediasi insiden tepat waktu, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response. Keempat, selain mengadopsi perlindungan titik akhir yang penting, terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut pada level jaringan tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
Ikuti Whatsapp Channel Republika
