Kerentanan Zero-Day: Serangan yang Dioptimalkan Terhadap Alat Diagnostik Microsoft (MSDT)

Kerentanan Zero-Day: Serangan yang Dioptimalkan Terhadap Alat Diagnostik Microsoft (MSDT)

Penyedia layanan keamanan Proofpoint mengamati serangan terhadap beberapa pelanggan organisasi pemerintah Eropa dan AS selama akhir pekan Whitsun terakhir. Penjahat dunia maya berusaha mengeksploitasi kerentanan zero-day di Microsoft Diagnostic Tool (MSDT) dengan entri CVE CVE-2022-30190 untuk menyuntikkan kode berbahaya. Ini dilaporkan oleh analis TI perusahaan di Twitter.

Dalam kampanye malware, dalang ingin memikat korban dengan dokumen RTF yang menjanjikan kenaikan gaji. Ini kemudian memuat ulang muatan berbahaya dari server di Internet, kecuali jika kerentanan diperbaiki.

Skrip PowerShell yang diunduh memiliki skrip PowerShell lain yang dimuat sebagai langkah tambahan. Ini pada gilirannya memeriksa apakah itu berjalan di lingkungan virtual dan mencuri data dari browser web lokal, program email, dan layanan file. Itu juga melakukan penyelidikan lebih dalam ke lingkungan mesin yang terinfeksi dan menggabungkan informasi yang dikumpulkan ke dalam paket ZIP untuk mengirimkannya ke server kontrol.

Berdasarkan pendekatan ini, peneliti keamanan komputer di Proofpoint percaya bahwa itu adalah cybergang negara. Meskipun mereka tidak dapat menyebutkan dengan tepat APT mana yang berada di baliknya, pendekatan yang ditargetkan dan mata-mata yang komprehensif terhadap informasi dari sistem yang disusupi memicu kecurigaan mereka.

Kerentanan zero-day yang diserang awalnya ditemukan oleh ilmuwan komputer di Microsoft Office, tetapi ditemukan menjadi masalah di alat diagnostik Microsoft, yang dapat disalahgunakan melalui ms-msdt: protokol handler. Meskipun serangan awal menggunakan dokumen Office yang dibuat dengan hati-hati, masalah dokumen RTF yang dimanipulasi dapat dieksploitasi tanpa interaksi pengguna lebih lanjut. Cukup melihat pratinjau di Windows Explorer sudah cukup untuk memuat ulang dan mengeksekusi kode berbahaya.

Penjahat dunia maya kini telah mengadaptasi versi yang diperketat ini dengan dokumen RTF yang telah disiapkan dan tampaknya telah memasukkannya ke dalam perangkat eksploitasi mereka. Oleh karena itu, administrator dan pengguna harus segera menghapus pengendali protokol untuk sementara hingga Microsoft menawarkan perbaikan bug. Microsoft telah memberikan instruksi berikut untuk ini:

READ  GTA Online: Los Santos Tuners

Pengguna harus terlebih dahulu membuka prompt perintah administratif. Perintah reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> menyimpan kunci registri sebelumnya ke file <Dateiname>. Kemudian hapus panggilan ke reg delete HKEY_CLASSES_ROOT\ms-msdt /f kunci yang sesuai. Untuk memulihkannya nanti, cukup hubungi reg import <Dateiname> pada prompt perintah administratif.


(dmk)

Ke beranda

Written By
More from Munir Rad
iPhone 14: Kamera FaceTime dengan fokus otomatis dan konektor Lightning USB 3.0 yang lebih cepat
Dengan adanya iPhone 14 Pro, tampaknya iPhone berikutnya akan memiliki modul kamera...
Read More
Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *