APT yang disponsori negara dari Korea Utara, Iran, Rusia, dan Cina menargetkan para korban menggunakan eksploitasi file pintasan Windows, menurut penelitian baru dari Trend Micro's Zero Day Initiative (ZDI).
Dalam blog penelitian yang diterbitkan 18 Maret, peneliti mikro tren Peter Girnus dan Aliakbar Zahravi mengidentifikasi 11 kelompok ancaman persisten canggih yang disponsori negara dari empat negara yang menargetkan kerentanan yang dilacak sebagai ZDI-CAN-25373, yang “memungkinkan para penyerang untuk melaksanakan perintah yang tersembunyi di mesin korban dengan leveraging leveraged leveragingaged leveraging poageagingaged.
Menurut Trend Micro, Cina, Iran, Korea Utaradan Rusia menggunakan zero-hari terutama untuk spionase dan pencurian data dalam kampanye yang berasal dari setidaknya sejauh 2017. “Organisasi di seluruh sektor pemerintah, keuangan, telekomunikasi, militer, dan energi telah terpengaruh di Amerika Utara, Eropa, Asia, Amerika Selatan, dan Australia,” Girnus dan Zahravi menulis.
Bagaimana cara kerja jalan pintas Windows bekerja
Dari ZDI-CAN-25373, Trend Micro mengatakan cacat “berkaitan dengan cara Windows menampilkan konten file pintasan (.lnk) melalui Windows UI.”
“Dengan mengeksploitasi kerentanan ini, seorang penyerang dapat menyiapkan file .lnk yang berbahaya untuk pengiriman ke korban,” kata Girnus dan Zahravi. “Setelah memeriksa file menggunakan antarmuka pengguna yang disediakan Windows, korban tidak akan dapat mengatakan bahwa file tersebut berisi konten berbahaya.”
File .ink adalah file biner Di Windows yang dikenal sebagai “file tautan shell” yang digunakan untuk menghasilkan pintasan ke aplikasi, file, dan folder. Trend Micro mengatakan ini adalah jenis file yang populer untuk aktor ancaman karena argumen baris perintah berbahaya dapat tertanam dalam bidang target, membuatnya mampu melakukan eksekusi kode.
Untuk masalah ini khususnya, aktor ancaman membuat file .ink yang berisi ruang putih yang signifikan di bidang yang relevan untuk mengaburkan kode berbahaya dan mencegah jendela dapat menampilkannya di jendela properti. Korban potensial akan membutuhkan alat pihak ketiga, seperti editor hex untuk melihat konten yang relevan.
Meskipun file .Kink umumnya sangat kecil karena perannya dalam memberikan jalan pintas, para peneliti mengidentifikasi APT menggunakan ukuran file “sangat besar” yang melampaui 70MB.
Serangan ZDI-CAN-25373 bergantung pada aktor ancaman yang dapat mengirimkan file jahat ke desktop korban dan membuat korban mengklik file tersebut. APTS, kata para peneliti, membuat korban mengklik file dengan menggunakan ikon dan teks yang dimaksudkan untuk membingungkan target dan mendapatkannya untuk menjalankan file .ink. Dengan cara ini, ia menawarkan satu opsi lagi dalam kit alat serangan yang lebih besar untuk mendapatkan eksekusi kode.
Respons Microsoft
ZDI-CAN-25373, Girnus dan Zahravi Said, adalah contoh representasi kesalahan antarmuka pengguna (UI) dari informasi kritis (CWE-451), artinya dapat berhasil mencegah Windows menampilkan informasi kritis keamanan kepada pengguna.
Meskipun demikian, Trend Micro mengatakan Microsoft tidak mungkin bertindak atas masalah ini dalam waktu dekat.
“Kerentanan ini diungkapkan kepada Microsoft melalui program Bug Bounty tren ZDI; Microsoft mengklasifikasikan ini sebagai tingkat keparahan yang rendah dan ini tidak akan ditambal dalam waktu dekat,” kata posting blog penelitian.
Seorang juru bicara untuk Microsoft memberi tahu Dark Reading bahwa Microsoft Defender memiliki deteksi untuk memblokir aktivitas ancaman yang dijelaskan, dan kontrol kontrol aplikasi pintar memblokir file berbahaya dari Internet.
“Kami menghargai pekerjaan ZDI dalam mengirimkan laporan ini di bawah pengungkapan kerentanan yang terkoordinasi,” kata juru bicara itu. “Sebagai praktik terbaik keamanan, kami mendorong pelanggan untuk berhati -hati ketika mengunduh file dari sumber yang tidak diketahui sebagaimana ditunjukkan dalam peringatan keamanan, yang telah dirancang untuk mengenali dan memperingatkan pengguna tentang file yang berpotensi berbahaya. Sementara pengalaman UI yang dijelaskan dalam laporan tidak memenuhi bilah untuk melayani segera di bawah pedoman klasifikasi keparahan kami, kami akan mempertimbangkan untuk membahasnya dalam rilis fitur di masa depan.
Juru bicara lebih lanjut menjelaskan bahwa mencoba membuka file .ink yang diunduh dari Internet memicu peringatan keamanan yang memberi tahu pengguna untuk tidak membuka file dari sumber yang tidak diketahui, dan bahwa perusahaan “sangat merekomendasikan perusahaan[s] Mengindahkan peringatan ini. Selain itu, metode yang dijelaskan adalah “penggunaan praktis terbatas untuk penyerang,” Microsoft menambahkan, karena pengguna biasanya tidak memeriksa properti file.
Dark Reading bertanya kepada Zdi's Dustin Childs tentang keputusan Microsoft untuk tidak segera mengambil tindakan terhadapnya Amankan inisiatif di masa depan. Dia mengatakan itu tidak ideal tetapi mengakui tantangan menambal sesuatu seperti ZDI-CAN-25373.
“Meskipun ini tentu saja tidak terlihat bagus dari perspektif inisiatif mereka yang aman di masa depan, memperbaiki bug ini tidak akan langsung,” kata Childs. “Namun, saya pikir fakta bahwa itu secara aktif digunakan oleh aktor negara-bangsa di alam liar-dan telah digunakan selama beberapa tahun-akan memberikan motivasi yang tepat bagi mereka untuk mengambil tindakan.”
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")