Para peneliti mengatakan kerentanan zero-day yang ditambal sebagai bagian dari Patch Tuesday terbaru Microsoft telah digunakan dalam serangan terhadap bisnis.
Menurut Kaspersky, gelombang "serangan yang sangat bertarget" pada beberapa organisasi telah diplot, menggunakan rantai eksploitasi "zero-day" (cacat yang diungkapkan sebelum ditambal) di browser Google Chrome dan sistem Microsoft Windows pada April. 14 dan 15, 2021.
# Puzzle Maker
Kelompok yang bertanggung jawab atas serangan ini disebut PuzzleMaker. Eksploitasi pertama dalam grup ini tampaknya adalah CVE-2021-21224, kerentanan membingungkan V8 di browser Google Chrome, sebelum versinya 90.0.4430.85.
Google merilis tambalan untuk kerentanan keamanan pada 20 April. Jika dieksploitasi, itu dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer di dalam kotak pasir melalui halaman HTML yang dibuat dari jarak jauh.
Sandbox, menurut desain, dimaksudkan untuk lingkungan pengembangan, pengujian, dan perlindungan, dan dengan demikian memisahkan aktivitas dari sistem utama. Agar rantai eksploitasi berfungsi, melarikan diri dari Sandbox diperlukan.
# Kerentanan Windows 10
Menurut peneliti, kebocoran ini ditemukan di dua kerentanan Windows 10, yang keduanya merupakan kerentanan zero-day yang diperbaiki dalam pembaruan terbaru Microsoft.
Yang pertama, CVE-2021-31955, adalah kerentanan pengungkapan informasi kernel Windows dalam file ntoskrnl.exe, yang digunakan untuk mengekspos alamat kernel kerangka kerja Eprocess untuk menjalankan proses. Yang kedua, CVE-2021-31956, adalah kerentanan buffer overflow pada driver Windows NTFS, yang dapat dieksploitasi untuk peningkatan hak istimewa.
Kaspersky melaporkan bahwa ketika dirantai, kerentanan ini memungkinkan penyerang untuk keluar dari kotak pasir dan mengeksekusi kode berbahaya pada mesin yang ditargetkan. Malware kemudian disebarkan dan terdiri dari modul stager, dropper, service, dan remote shell (antarmuka). Modul pertama pertama-tama memeriksa apakah eksploitasi berhasil dan, jika demikian, modul penetes mengambil modul penetes dari server perintah dan kontrol (C2) untuk menjalankannya.
# Menyembunyikan malware
Dua modul kemudian mendarat di mesin, menyamar sebagai file Windows yang sah. Yang pertama terdaftar sebagai layanan dan digunakan untuk meluncurkan malware kedua, yang berisi kemampuan pada antarmuka jarak jauh.
Payload ini mampu mengunduh dan memfilter file, serta membuat sistem proses. Malware ini juga mampu tidur untuk jangka waktu tertentu atau merusak diri sendiri.
Disarankan agar organisasi mempertahankan jadwal patch yang sering dan menerapkan yang relevan, terutama jika kerentanan sedang dieksploitasi secara aktif. Seperti yang kita lihat dengan insiden Microsoft Exchange Server pada bulan Maret, penyerang fokus pada masalah keamanan segera setelah mereka terungkap.