idNSA.id - Pada
tanggal 31 Mei, Microsoft merilis solusi untuk kerentanan zero-day yang baru
ditemukan, dijuluki Follina dan dilacak sebagai CVE-2022-30190 (skor CVSS 7.8), dalam rangkaian
produktivitas Microsoft Office.
“Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan
CVE-2022-30190 tentang Microsoft Support Diagnostic Tools (MSDT) dalam
kerentanan Windows.” Membaca nasihat yang
diterbitkan oleh Microsoft. “ Kerentanan remote code execution muncul
saat MSDT dipanggil menggunakan protokol URL dari aplikasi panggilan seperti
Word. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan
kode arbitrer dengan hak istimewa aplikasi. Penyerang kemudian dapat menginstal
program, melihat, mengubah, atau menghapus data, atau membuat akun baru dalam
konteks yang diizinkan oleh hak pengguna.”
Pakar keamanan siber populer Kevin Beaumont, yang menamai bug
Follina, menerbitkan analisis kerentanan tersebut.
“Dokumen menggunakan fitur templat jarak jauh Word untuk
mengambil file HTML dari server web jarak jauh, yang pada gilirannya
menggunakan skema ms-msdt MSProtocol URI untuk memuat beberapa kode dan
menjalankan beberapa PowerShell.” membaca
analisis yang diterbitkan oleh
Beaumont. “Ada banyak hal yang terjadi
di sini, tetapi masalah pertama adalah Microsoft Word mengeksekusi kode melalui
msdt (support tool) bahkan jika makro dinonaktifkan. Tampilan Terproteksi
memang masuk, meskipun jika Anda mengubah dokumen ke bentuk RTF, itu berjalan
bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer) apalagi
Tampilan Terlindungi.
Masalah ini memengaruhi beberapa versi Microsoft Office,
termasuk Office, Office 2016, dan Office 2021. Pekan lalu, peneliti keamanan siber
nao_sec menemukan dokumen Word berbahaya (“05-2022-0438.doc”) yang diunggah
ke VirusTotal dari Belarus. Dokumen menggunakan fitur templat jarak jauh
untuk mengambil HTML dan kemudian menggunakan skema "ms-msdt" untuk
mengeksekusi kode PowerShell.
Peneliti dari Proofpoint melaporkan bahwa grup TA413 APT yang
terkait dengan China sedang melakukan kampanye spear-phishing yang menggunakan
arsip ZIP yang berisi Dokumen Word yang dipersenjatai. Para penyerang menyamar
sebagai “Women Empowerments Desk” dari Administrasi Tibet Pusat dan menggunakan
aplikasi domain tibet-gov.web[.] untuk melakukan serangan.
Proofpoint diumumkan melalui Tweet telah memblokir kampanye
phishing yang diluncurkan oleh pelaku, serangan tersebut menargetkan kurang
dari 10 pelanggan Proofpoint (pemerintah Eropa & pemerintah AS lokal) dengan
eksploitasi untuk kerentanan Follina. Pesan phishing ini menyamar sebagai
kenaikan gaji dan menggunakan RTF dengan muatan exploit.
Payload adalah skrip PowerShell yang dikodekan Base64 dan
bertindak sebagai downloader untuk mengambil skrip PowerShell tahap kedua dari
server jarak jauh bernama “seller-notification[.]live.”
Script melakukan beberapa pemeriksaan untuk menghindari
berjalan di lingkungan virtual, mampu mencuri informasi dari browser lokal,
klien email dan layanan file, juga mampu melakukan pengintaian.
Data yang terkumpul dieksfiltrasi dalam bentuk arsip zip ke
alamat 45.77.156[.]179. Atribusi ke pelaku didasarkan pada pengintaian
ekstensif Powershell dan konsentrasi penargetan yang ketat.
