Cyberthreat.id - Kampanye phishing  telah diamati dengan memanfaatkan eksploitasi baru yang melewati penambalan (patch)
yang dibuat oleh Microsoft untuk memperbaiki kerentanan eksekusi kode jarak jauh yang memengaruhi komponen MSHTML dengan tujuan mengirimkan malware Formbook.

"Lampiran merepresentasikan  eskalasi penyerang dari yang menyalahgunakan bug CVE-2021-40444 dan menunjukkan bahwa bahkan penambalan tidak selalu bisa  mengurangi tindakan penyerang yang gigih dan cukup terampil," kata peneliti SophosLabs Andrew Brandt dan Stephen dalam laporan terbarunya  yang diterbitkan Selasa, seperti dilaporkan  TheHackerNews, Kamis (23 Desember 2021),

CVE-2021-40444 (skor CVSS: 8.8) berkaitan dengan kesalahan eksekusi kode jarak jauh di MSHTML yang dapat dieksploitasi menggunakan dokumen Microsoft Office yang dibuat khusus. Meskipun Microsoft mengatasi kelemahan keamanan sebagai bagian dari pembaruan penambalan pada September 2021, itu telah digunakan dalam beberapa serangan sejak detail terkait kelemahan itu dipublikasikan.

Pada bulan yang sama, raksasa teknologi menemukan phishing yang ditargetkan yang memanfaatkan kerentanan untuk menyebarkan Cobalt Strike Beacons pada sistem Windows yang disusupi. Kemudian pada bulan November, SafeBreach Labs melaporkan rincian operasi aktor ancaman Iran yang menargetkan korban berbahasa Farsi dengan pencuri informasi berbasis PowerShell baru yang dirancang untuk mengumpulkan informasi sensitif.

Kampanye baru yang ditemukan oleh Sophos bertujuan untuk menyiasati perlindungan patch dengan mengubah eksploitasi Office "Proof-of-concept" yang tersedia untuk umum dan mempersenjatainya untuk mendistribusikan malware Formbook.

Perusahaan keamanan siber mengatakan keberhasilan serangan itu, sebagian, dapat dikaitkan dengan "tambalan yang terlalu fokus."

"Dalam versi awal eksploitasi CVE-2021-40444, dokumen Office berbahaya mengambil muatan malware yang dikemas ke dalam file Microsoft Cabinet (atau .CAB)," para peneliti menjelaskan.

"Ketika patch Microsoft menutup celah keamanan itu, penyerang menemukan bahwa mereka dapat menggunakan rantai serangan yang berbeda sama sekali dengan melampirkan maldoc dalam arsip RAR yang dibuat khusus."

CAB-less 40444, demikian eksploitasi yang dimodifikasi disebut, berlangsung selama 36 jam antara 24 dan 25 Oktober, di mana email spam yang berisi file arsip RAR yang salah format dikirim ke calon korban. File RAR, pada gilirannya, menyertakan skrip yang ditulis dalam Windows Script Host ( WSH ) dan Dokumen Word yang, setelah dibuka, menghubungi server jarak jauh yang menghosting JavaScript berbahaya.

Akibatnya, kode JavaScript menggunakan Dokumen Word sebagai saluran untuk meluncurkan skrip WSH dan menjalankan perintah PowerShell yang disematkan dalam file RAR untuk mengambil muatan malware Formbook dari situs web yang dikendalikan penyerang.

Adapun mengapa eksploitasi menghilang sedikit lebih dari satu hari digunakan, petunjuk terletak pada fakta bahwa file arsip RAR yang dimodifikasi tidak akan bekerja dengan versi utilitas WinRAR yang lebih lama.

"Jadi, secara tidak terduga, dalam kasus ini, pengguna WinRAR versi lama yang sudah ketinggalan zaman akan lebih terlindungi daripada pengguna versi terbaru," kata para peneliti.

"Penelitian ini adalah pengingat bahwa patch saja tidak dapat melindungi terhadap semua kerentanan dalam semua kasus," kata Peneliti Utama SophosLabs Andrew Brandt. "Menyetel batasan yang mencegah pengguna secara tidak sengaja memicu dokumen berbahaya membantu, tetapi orang masih dapat dibujuk untuk mengklik tombol 'aktifkan konten'."

"Oleh karena itu, sangat penting untuk mendidik karyawan dan mengingatkan mereka untuk curiga terhadap dokumen yang dikirim melalui email, terutama ketika dokumennya tiba dalam format file terkompresi yang tidak biasa atau asing dari orang atau perusahaan yang tidak mereka kenal," tambah Brandt.

Ketika dihubungi untuk tanggapan, juru bicara Microsoft mengatakan "kami sedang menyelidiki laporan ini dan akan mengambil tindakan yang tepat yang diperlukan untuk membantu menjaga pelanggan tetap terlindungi."[]

Editor: Yuswardi A. Suud