Peneliti Temukan Zero-Day Exploit Baru di Microsoft Office

Microsoft Office Zero Day Exploit - Para peneliti telah menemukan kerentanan zero-day exploit di Microsoft Office yang dapat dieksploitasi untuk mencapai Arbitrary Code Execution (ACE) pada sistem Windows yang rentan.

Tim peneliti keamanan siber independen yang dikenal sebagai nao_sec menemukan kerentanan setelah menemukan dokumen Word ("05-2022-0438.doc") yang diunggah ke VirusTotal dari alamat IP di Belarus.

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt

— nao_sec (@nao_sec) May 27, 2022

"Ini memuat HTML melalui tautan eksternal Word dan kemudian mengeksekusi kode PowerShell menggunakan skema 'ms-msdt'," kata para peneliti dalam serangkaian tweet minggu lalu.

Menurut peneliti keamanan Kevin Beaumont, yang menyebut masalah ini "Follina," maldoc menggunakan remote template Word untuk mengambil file HTML dari server, yang kemudian digunakan untuk meluncurkan muatan berbahaya melalui skema URI "ms-msdt://".

Kekurangannya dinamai demikian karena sampel berbahaya merujuk 0438, yang merupakan kode area Follina, sebuah kotamadya di kota Treviso Italia.

MSDT adalah singkatan dari Microsoft Support Diagnostics Tool, perangkat lunak yang digunakan untuk memecahkan masalah dan mengumpulkan data diagnostik untuk dianalisis oleh support professional guna memperbaiki masalah.

"Ada banyak hal yang terjadi di sini," kata Beaumont. "Masalah pertama adalah bahwa Microsoft Word mengeksekusi kode melalui msdt (alat pendukung) bahkan jika makro dinonaktifkan."

"Protected View memang masuk," tulis peneliti. "Namun, jika Anda mengubah dokumen ke bentuk RTF, itu berjalan bahkan tanpa melihat dokumen (melalui tab pratinjau di Explorer), apalagi Protected View."

Huntress Labs merinci alur serangan dalam analisis mandiri, mencatat bahwa file HTML ("RDF842l.html") yang memicu kerentanan berasal dari situs yang sekarang tidak dapat dijangkau bernama "xmlformats[.]com."

"Hanya dengan Panel Pratinjau dalam Windows Explorer, file Rich Text Format (.RTF) dapat memicu aktivasi kerentanan ini," kata John Hammond dari Huntress Labs. "Seperti CVE-2021-40444, ini meningkatkan keparahan ancaman ini dengan tidak hanya mengeksploitasi 'single-click', tetapi berpotensi dengan pemicu 'zero-click'."

Beberapa versi Microsoft Office diklaim telah disusupi, termasuk Office, Office 2016, dan Office 2021, namun versi lain diperkirakan juga rentan.

Windows 11 (May) + Office Pro Plus (April)
+ Preview pane enabled https://t.co/ZIOADQqluo pic.twitter.com/oo0YETlrl4

— Rich Warren (@buffaloverflow) May 29, 2022

Selain itu, Richard Warren dari NCC Group mendemonstrasikan exploit terhadap Office Professional Pro dengan patch April 2022 yang berjalan pada mesin Windows 11 saat ini dengan panel pratinjau diaktifkan.

"Microsoft perlu memperbaikinya di semua penawaran produk mereka, dan vendor keamanan akan memerlukan deteksi dan pemblokiran yang komprehensif," jelas Beaumont. Kami telah menghubungi Microsoft untuk memberikan komentar dan akan memperbarui cerita segera setelah kami mendengarnya kembali.