Peneliti ESET Temukan Dua Kerentanan Baru Eksploitasi PDF

Grup peretas yang tidak dikenal tampaknya secara tidak sengaja mengekspos dua zero-days yang berfungsi penuh ketika mereka mengunggah file PDF yang dipersenjatai ke mesin pemindai malware publik. Kemunculan keduanya berhasil dideteksi oleh peneliti keamanan ESET.

Akhir Maret 2018, peneliti ESET mengidentifikasi sampel PDF berbahaya yang menarik. Hasil penelitian lebih jauh dan mendalam mengungkapkan bahwa sampel yang diperoleh mengeksploitasi dua kerentanan yang sebelumnya tidak diketahui, yaitu: kerentanan Remote Code Execution (RCE) di Adobe Reader dan kerentanan eskalasi hak istimewa di Microsoft Windows.

Penggunaan kombinasi dua kerentanan tersebut memungkinkan pelaku untuk mengeksekusi kode arbitrary dengan kemungkinan mendapat hak admin tertinggi pada target dan hanya dengan interaksi pengguna yang paling minimal. Kelompok APT secara teratur menggunakan kombinasi semacam itu untuk melakukan serangan mereka, seperti dalam kampanye Sednit sejak tahun lalu.

Sampel PDF berbahaya yang ditemukan telah diinformasikan ESET dan bekerja sama dengan Microsoft Security Response Center, tim peneliti Windows Defender ATP, dan Tim Respons Insiden Keamanan Adobe, kemudian mereka memperbaiki kerentanan ini, setidaknya dua bulan mereka habiskan untuk mengatasi masalah tersebut.

Dalam Pengembangan

Peneliti ESET, Anton Cherepanov yang menemukan zero-days tersembunyi di dalam lautan sampel malware, menyakini bahwa zero-days yang ditemukan masih dalam tahap pengembangan oleh pengembangnya, karena dari sampel yang diperolehnya Anton tidak menemukan adanya payload atau muatan akhir yang bisa dieksekusi.

Kedua zero-days memang diciptakan untuk digunakan bersamaan dan membentuk apa yang disebut Exploit Chain atau rantai eksploitasi. Adobe zero-day dimaksudkan untuk menyediakan kemampuan untuk menjalankan kode kustom di dalam Adobe Acrobat/Reader, sementara Windows zero-day memungkinkan penyerang untuk melarikan diri perlindungan kotak pasir Adobe dan mengeksekusi kode tambahan pada OS yang mendasarinya.

Cara Kerja Exploit Chain

PDF (Portable Document Format) adalah format file untuk dokumen elektronik dan seperti format dokumen populer lainnya, dapat digunakan oleh pelaku untuk mengirim malware ke komputer korban. Untuk mengeksekusi kode jahat mereka sendiri, peretas harus mencari dan mengeksploitasi kerentanan dalam perangkat lunak viewer PDF. Ada beberapa viewer PDF, salah satu yang sangat populer adalah Adobe Reader.

Perangkat lunak Adobe Reader mengimplementasikan fitur keamanan yang disebut sandbox, juga dikenal sebagai Protected Mode. Sandbox membuat proses eksploitasi lebih sulit: bahkan jika eksekusi kode tercapai, peretas masih harus melewati perlindungan sandbox untuk menguasai komputer yang menjalankan Adobe Reader. Biasanya, bypass sandbox dicapai dengan mengeksploitasi kerentanan dalam sistem operasi itu sendiri.

Ini adalah kasus yang jarang terjadi ketika penyerang dapat menemukan kerentanan dan menulis eksploit untuk perangkat lunak Adobe Reader dan sistem operasi. Berikut cara kerjanya:

Sampel PDF berbahaya menyematkan kode JavaScript yang mengontrol seluruh proses eksploitasi. Setelah file PDF dibuka, kode JavaScript dijalankan,” kata Cherepanov dalam laporan yang merinci rantai eksploitasi zero-days, yang dapat dipersempit ke langkah-langkah berikut:

Pengguna menerima dan membuka file PDF jebakan
Kode JavaScript berbahaya dijalankan saat pengguna membuka PDF
Kode JavaScript memanipulasi objek tombol
Objek tombol yang terdiri dari gambar JPEG2000 yang dibuat khusus, memicu kerentanan ganda di Adobe Acrobat/Reader
Kode JavaScript digunakan untuk mendapatkan akses memori baca dan tulis
Kode JavaScript kemudian menyerang mesin JavaScript Adobe Reader
Pelaku menggunakan instruksi native assembly mesin untuk mengeksekusi shellcode aslinya
Shellcode menginisialisasi file PE yang tertanam dalam PDF
Kemudian bagian dari Microsoft Win32k beraksi dan memungkinkan pelaku meningkatkan hak admin file PE untuk dijalankan, yang dijalankan dalam mode kernel, keluar dari Sandbox Adobe Acrobat/Reader untuk mengakses system level.

Rantai eksploitasi adalah sebuah masterpiece peretasan ofensif, tetapi tidak akan seberbahaya yang bisa ia lakukan karena kesalahan operasional yang dibuat oleh pengembangnya dengan mengunggahnya ke mesin pemindai virus yang dikenal dengan harapan menguji tingkat deteksi.

Versi produk yang terpengaruh adalah sebagai berikut: