Riset Kapersky Lab Tegaskan Ancaman Nyata Microsoft Office

marketeers article
BANGKOK, THAILAND DECEMBER 20, 2016: The retail box of Microsoft Office Home & Student 2016. Microsoft Office is an office suite of applications developed by Microsoft Corporation.

Teknologi hadir seiring dengan risiko yang menyertainya. Para pakar Kapersky Lab yang terdiri dari  Boris Larin, Vlad Stolyarov, dan Alexander Liskin memaparkan ancaman-ancaman yang pada Microsoft Office dalam sebuah penelitian berjudul “Catching multilayered zero-day attacks on MS Office.”

Perubahan lanskap ancaman yang berubah hanya dalam kurun waktu dua tahun mencuri perhatian. Para pakar tersebut membandingkan proses distribusi para pengguna yang diserang oleh platform bertarget dari akhir tahun lalu dengan yang hanya dua tahun lalu sebelumnya.

Mereka menemukan bahwa para pelaku kejahatan siber sudah beralih, tidak lagi menggunakan kerentanan berbasis web untuk mengeksploitasi MS Office. Kemudian melihat sejauh mana perubahan itu terjadi cukup mengejutkan mereka. Dalam beberapa bulan terakhir, MS Office, dengan lebih dari 70% serangan, menjadi platform yang paling sering menjadi target ancaman.

Mulai pada tahun lalu, sekelompok eksploitasi zero-day untuk MS Office mulai bermunculan. Ini biasanya dimulai dengan operasi bertarget tetapi akhirnya menjadi terang-terangan dan kemudian diintegrasikan ke dalam pembuat dokumen berbahaya.

Namun, waktu penyelesaian telah dipersingkat secara substansial. Misalnya, dalam kasus CVE-2017-11882, kerentanan editor persamaan pertama yang dilihat pakar kami, operasi spam besar dimulai pada hari yang sama saat bukti konsep dipublikasikan. Itu juga berlaku bagi kerentanan lainnya – setelah laporan teknis untuk kerentanan dipublikasikan, eksploitasi akan muncul di pasar gelap dalam beberapa hari. Bug sendiri akhirnya menjadi jauh lebih kompleks, dan terkadang penulisan rinci menjadi hal yang paling diperlukan para pelaku kejahatan siber untuk membangun keberhasilan eksploitasi.

Pandangan terhadap kerentanan yang paling dieksploitasi pada 2018 mengonfirmasi bahwa pembuat malware lebih suka bug yang sederhana dan logis. Itulah sebabnya kerentanan editor persamaan CVE-2017-11882 dan CVE-2018-0802 sekarang merupakan bug yang paling banyak dieksploitasi di MS Office.

Sederhananya, mereka dapat diandalkan dan berfungsi di setiap versi Word yang dirilis dalam 17 tahun terakhir, dan paling penting adalah, membangun eksploit untuk salah satu dari mereka tidak memerlukan keterampilan yang mutakhir. Hal tersebut dikarenakan persamaan binary editor tidak memiliki perlindungan dan mitigasi modern seperti yang Anda harapkan dari aplikasi seri 2018. Sebagai catatan menarik, tidak ada satu pun dari kerentanan yang paling dieksploitasi ada di dalam MS Office itu sendiri. Sebaliknya, kerentanan justru ada di komponen terkait.

Permukaan serangan MS Office sangat besar dengan banyak format file yang rumit untuk dipertimbangkan, serta integrasi dengan Windows – dan interoperabilitasnya. Satu hal yang paling penting dari sudut pandang keamanan, banyak keputusan yang diambil Microsoft ketika membuat Office terlihat buruk sekarang, tetapi mengubahnya juga hanya akan menghancurkan kompatibilitas ke belakang.

Pada tahun 2018 saja, Kapersky menemukan beberapa kerentanan zero-day dieksploitasi secara liar. Di antaranya adalah CVE-2018-8174 (Kerentanan Eksekusi Kode Remote Mesin Windows VBScript). Kerentanan ini sangat menarik, karena exploit ditemukan dalam dokumen Word, tetapi kerentanan sebenarnya berada di Internet Explorer.

Produk keamanan Kaspersky security products for endpoints memiliki kemampuan heuristik sangat canggih untuk mendeteksi ancaman yang diantarkan melalui dokumen MS Office. Ini merupakan salah satu lapisan deteksi pertama. Mesin heuristik menyadari semua format file dan keanehan pada setiap dokumen, dan berfungsi sebagai garis pertahanan pertama. Tetapi ketika kita menemukan objek berbahaya, kita tidak berhenti hanya setelah menentukan bahwa itu berbahaya. Objek tersebut kemudian melewati lapisan keamanan tambahan. Salah satu teknologi yang sangat sukses, misalnya, adalah kotak pasir (sandbox).

Di bidang keamanan informasi, kotak pasir digunakan untuk mengisolasi lingkungan yang tidak aman dari yang aman atau sebaliknya, melindungi terhadap eksploitasi kerentanan, dan menganalisis kode berbahaya. Kotak pasir kami adalah sistem untuk deteksi malware yang menjalankan objek mencurigakan pada mesin virtual dengan OS berfitur lengkap dan mendeteksi aktivitas berbahaya objek tersebut dengan menganalisis perilakunya. Fitur ini dikembangkan beberapa tahun yang lalu untuk digunakan dalam infrastruktur perusahaan kami, dan kemudian menjadi bagian dari Platform Kaspersky Anti-Targeted Attack Platform.

Microsoft Office menjadi target yang paling diincar bagi para pelaku kejahatan siber dan akan tetap seperti itu. Pelaku kejahatan siber membidik target yang paling mudah, kemudian fitur lawas akan disalahgunakan. Jadi, untuk melindungi perusahaan Anda, Kaspersky Lab menyarankan untuk menggunakan solusi yang efektivitasnya dibuktikan dengan keberhasilannya dalam mendeteksi CVE.

Related

award
SPSAwArDS