Peneliti menemukan ZERO-DAY 0-Day Microsoft Office

Peneliti menemukan ZERO-DAY 0-Day Microsoft Office

Peneliti keamanan siber meminta perhatian pada cacat nol hari di Microsoft Office yang dapat disalahgunakan untuk mencapai eksekusi kode arbitrer pada sistem Windows yang terpengaruh.

Kerentanan terungkap setelah tim peneliti keamanan siber independen yang dikenal sebagai nao_sec menemukan dokumen Word (" 05-2022-0438.doc ") yang diunggah ke VirusTotal dari alamat IP di Belarus.

"Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema 'ms-msdt' untuk mengeksekusi kode PowerShell," para peneliti mencatat dalam serangkaian tweet minggu lalu.

Menurut peneliti keamanan Kevin Beaumont, yang menjuluki cacat "Follina," maldoc memanfaatkan fitur templat jarak jauh Word untuk mengambil file HTML dari server, yang kemudian menggunakan skema URI "ms-msdt://" untuk menjalankan muatan berbahaya.

Kekurangannya dinamai demikian karena sampel berbahaya merujuk 0438, yang merupakan kode area Follina, sebuah kotamadya di kota Treviso, Italia.

MSDT adalah kependekan dari Microsoft Support Diagnostics Tool, sebuah utilitas yang digunakan untuk memecahkan masalah dan mengumpulkan data diagnostik untuk analisis oleh profesional dukungan untuk menyelesaikan masalah.

"Ada banyak hal yang terjadi di sini, tetapi masalah pertama adalah Microsoft Word mengeksekusi kode melalui msdt (alat pendukung) bahkan jika makro dinonaktifkan," jelas Beaumont .

" Protected View benar-benar masuk, meskipun jika Anda mengubah dokumen ke bentuk RTF, itu berjalan bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer) apalagi Protected View," tambah peneliti.

Dalam analisis mandiri, perusahaan keamanan siber Huntress Labs merinci alur serangan, mencatat file HTML ("RDF842l.html") yang memicu eksploitasi yang berasal dari domain yang sekarang tidak dapat dijangkau bernama "xmlformats[.]com."

"File Rich Text Format (.RTF) dapat memicu permintaan eksploit ini hanya dengan Panel Pratinjau di dalam Windows Explorer," kata John Hammond dari Huntress Labs . "Sama seperti CVE-2021-40444, ini memperluas keparahan ancaman ini dengan tidak hanya mengeksploitasi 'satu klik', tetapi berpotensi dengan pemicu 'zero-klik'."

Beberapa versi Microsoft Office, termasuk Office, Office 2016, dan Office 2021, dikatakan terpengaruh, meskipun versi lain diperkirakan juga rentan.

Terlebih lagi, Richard Warren dari NCC Group berhasil mendemonstrasikan exploit pada Office Professional Pro dengan patch April 2022 yang berjalan pada mesin Windows 11 terbaru dengan panel pratinjau diaktifkan.

"Microsoft perlu menambalnya di semua penawaran produk yang berbeda, dan vendor keamanan akan membutuhkan deteksi dan pemblokiran yang kuat," kata Beaumont. Kami telah menghubungi Microsoft untuk memberikan komentar, dan kami akan memperbarui cerita setelah kami mendengarnya kembali.

Untuk uji percobaan Exploit mengenai kerentanan ini bisa kunjungi di

https://github.com/PwnC00re/PoC-CVE-2022-30190