Peneliti ESET Temukan Dua Kerentanan Baru Eksploitasi PDF

Grup peretas yang tidak dikenal tampaknya secara tidak sengaja mengekspos dua zero-days yang berfungsi penuh ketika mereka mengunggah file PDF yang dipersenjatai ke mesin pemindai malware publik. Kemunculan keduanya berhasil dideteksi oleh peneliti keamanan ESET.

Akhir Maret 2018, peneliti ESET mengidentifikasi sampel PDF berbahaya yang menarik. Hasil penelitian lebih jauh dan mendalam mengungkapkan bahwa sampel yang diperoleh mengeksploitasi dua kerentanan yang sebelumnya tidak diketahui, yaitu: kerentanan Remote Code Execution (RCE) di Adobe Reader dan kerentanan eskalasi hak istimewa di Microsoft Windows.

Penggunaan kombinasi dua kerentanan tersebut memungkinkan pelaku untuk mengeksekusi kode arbitrary dengan kemungkinan mendapat hak admin tertinggi pada target dan hanya dengan interaksi pengguna yang paling minimal. Kelompok APT secara teratur menggunakan kombinasi semacam itu untuk melakukan serangan mereka, seperti dalam kampanye Sednit sejak tahun lalu.

Sampel PDF berbahaya yang ditemukan telah diinformasikan ESET dan bekerja sama dengan Microsoft Security Response Center, tim peneliti Windows Defender ATP, dan Tim Respons Insiden Keamanan Adobe, kemudian mereka memperbaiki kerentanan ini, setidaknya dua bulan mereka habiskan untuk mengatasi masalah tersebut.

Dalam Pengembangan

Peneliti ESET, Anton Cherepanov yang menemukan zero-days tersembunyi di dalam lautan sampel malware, menyakini bahwa zero-days yang ditemukan masih dalam tahap pengembangan oleh pengembangnya, karena dari sampel yang diperolehnya Anton tidak menemukan adanya payload atau muatan akhir yang bisa dieksekusi.

Kedua zero-days memang diciptakan untuk digunakan bersamaan dan membentuk apa yang disebut Exploit Chain atau rantai eksploitasi. Adobe zero-day dimaksudkan untuk menyediakan kemampuan untuk menjalankan kode kustom di dalam Adobe Acrobat/Reader, sementara Windows zero-day memungkinkan penyerang untuk melarikan diri perlindungan kotak pasir Adobe dan mengeksekusi kode tambahan pada OS yang mendasarinya.

Cara Kerja Exploit Chain

PDF (Portable Document Format) adalah format file untuk dokumen elektronik dan seperti format dokumen populer lainnya, dapat digunakan oleh pelaku untuk mengirim malware ke komputer korban.

Untuk mengeksekusi kode jahat mereka sendiri, peretas harus mencari dan mengeksploitasi kerentanan dalam perangkat lunak viewer PDF. Ada beberapa viewer PDF, salah satu yang sangat populer adalah Adobe Reader.

Perangkat lunak Adobe Reader mengimplementasikan fitur keamanan yang disebut sandbox, juga dikenal sebagai Protected Mode. Sandbox membuat proses eksploitasi lebih sulit: bahkan jika eksekusi kode tercapai, peretas masih harus melewati perlindungan sandbox untuk menguasai komputer yang menjalankan Adobe Reader. Biasanya, bypass sandbox dicapai dengan mengeksploitasi kerentanan dalam sistem operasi itu sendiri.

Ini adalah kasus yang jarang terjadi ketika penyerang dapat menemukan kerentanan dan menulis eksploit untuk perangkat lunak Adobe Reader dan sistem operasi. Berikut cara kerjanya:

Sampel PDF berbahaya menyematkan kode JavaScript yang mengontrol seluruh proses eksploitasi. Setelah file PDF dibuka, kode JavaScript dijalankan,” kata Cherepanov dalam laporan yang merinci rantai eksploitasi zero-days, yang dapat dipersempit ke langkah-langkah berikut:

• Pengguna menerima dan membuka file PDF jebakan
• Kode JavaScript berbahaya dijalankan saat pengguna membuka PDF
• Kode JavaScript memanipulasi objek tombol
• Objek tombol yang terdiri dari gambar JPEG2000 yang dibuat khusus, memicu kerentanan ganda di Adobe Acrobat/Reader
• Kode JavaScript digunakan untuk mendapatkan akses memori baca dan tulis
• Kode JavaScript kemudian menyerang mesin JavaScript Adobe Reader
• Pelaku menggunakan instruksi native assembly mesin untuk mengeksekusi shellcode aslinya
• Shellcode menginisialisasi file PE yang tertanam dalam PDF
• Kemudian bagian dari Microsoft Win32k beraksi dan memungkinkan pelaku meningkatkan hak admin file PE untuk dijalankan, yang dijalankan dalam mode kernel, keluar dari Sandbox Adobe Acrobat/Reader untuk mengakses system level.

Rantai eksploitasi adalah sebuah masterpiece peretasan ofensif, tetapi tidak akan seberbahaya yang bisa ia lakukan karena kesalahan operasional yang dibuat oleh pengembangnya dengan mengunggahnya ke mesin pemindai virus yang dikenal dengan harapan menguji tingkat deteksi.

Versi produk yang terpengaruh adalah sebagai berikut:

• Acrobat DC (2018.011.20038 dan versi sebelumnya)
• Acrobat Reader DC (2018.011.20038 dan versi sebelumnya)
• Acrobat 2017 (011.30079 dan versi sebelumnya)
• Acrobat Reader DC 2017 (2017.011.30079 dan versi sebelumnya)
• Acrobat DC (Classic 2015) (2015.006.30417 dan versi sebelumnya)
• Acrobat Reader DC (Classic 2015) (2015.006.30417 dan versi sebelumnya)
• Windows 7 untuk Paket Layanan Sistem 32-bit 1
• Windows 7 untuk Paket Layanan Sistem x64 berbasis 1
• Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2
• Windows Server 2008 untuk Paket Layanan Sistem Berbasis Itanium 2
• Windows Server 2008 untuk Paket Layanan Sistem x64 berbasis 2
• Windows Server 2008 R2 untuk Paket Layanan Sistem Berbasis Itanium 1
• Windows Server 2008 R2 untuk Paket Layanan Sistem x64 berbasis 1

Sumber berita:

www.welivesecurity.com