Hacker mengeksploitasi MS Office untuk menyebarkan diri replikasi Malware

Computer Security News

Pakar keamanan melaporkan kerentanan yang mempengaruhi semua versi dari Microsoft Office dan dapat dimanfaatkan oleh hacker untuk menyebarkan berbasis makro replikasi diri malware.

Menjadi informasi tentang Cacat, Microsoft menerapkan mekanisme keamanan dalam MS Office yang mencegah semacam serangan. Namun, meskipun mekanisme baru, seorang peneliti dari InTheCyber perusahaan telah menemukan teknik serangan untuk memotong keamanan kontrol dan membuat diri replikasi malware tersembunyi di MS Word dokumen.

Microsoft diberitahu tentang kelemahan pada bulan Oktober, namun, korporasi tidak mempertimbangkan masalah kerentanan keamanan dan menjelaskan bahwa fitur yang dimanfaatkan oleh ahli dilaksanakan untuk bekerja persis dengan cara ini.

Yang lebih buruk meskipun, adalah bahwa hacker yang sudah memanfaatkan vektor serangan yang sama yang dilaporkan ke Microsoft.

Beberapa hari lalu, pakar keamanan dari Trend Micro rinci baru saja ditemukan berbasis makro replikasi diri ransomware disebut ‘qkG’ yang mengeksploitasi Cacat MS office sama.

“Pengawasan lebih lanjut ke qkG juga menunjukkan hal itu terjadi lebih dari proyek atau suatu bukti dari konsep (PoC) daripada malware yang aktif digunakan di alam liar. Ini, bagaimanapun, tidak membuat qkG kurang dari ancaman. Seperti yang ditunjukkan sampel qkG, teknik dan perilaku yang dapat menjadi melakukan fine-tuned oleh pengembang atau aktor ancaman lain.” analisis yang diterbitkan oleh Trend Micro membaca.

QkG ransomware bergantung pada Auto dekat VBA makro teknik untuk menjalankan makro berbahaya ketika korban menutup dokumen.

Versi pertama dari qkG ransomware termasuk alamat Bitcoin, seperti contoh terbaru dari ancaman yang menuntut tebusan sebesar $300 dalam BTC.

Menurut peneliti keamanan, alamat Bitcoin belum menerima pembayaran belum, menyarankan bahwa hacker belum menyebar malware secara global namun.

Para ahli juga menemukan bahwa qkG ransomware saat ini menggunakan hardcoded password “Aku QkG@PTM17! oleh TNA@MHT-TT2” yang memungkinkan untuk mendekripsi file.

Microsoft Corporation telah dipercaya Macro eksternal secara default dan untuk membatasi akses pragmatis default ke model object VBA kantor proyek. Pengguna dapat secara manual mengaktifkan “Trust akses ke VBA proyek model objek,” jika diperlukan.

Segera setelah pengaturan “Kepercayaan akses terhadap VBA proyek object model” diaktifkan, MS Office percaya semua macro dan secara otomatis menjalankan kode apapun tanpa menampilkan peringatan keamanan apapun atau memerlukan izin pengguna.

Pengguna dapat juga enabled/ Penyandang Cacat “kepercayaan akses VBA proyek object model” pengaturan dengan mengedit registri Windows, akhirnya memungkinkan macro untuk menulis macro lain tanpa persetujuan dan pengetahuan pengguna.

Teknik serangan yang diciptakan oleh Lino Antonio Buono dan itu hanya melihat hacker menipu korban ke menjalankan Macro yang termasuk dalam dokumen umpan.

“Untuk (sebagian) mengurangi kerentanan dimungkinkan untuk memindahkan kunci registri AccessVBOM dari sarang HKCU ke HKLM, sehingga dapat diedit hanya oleh sistem administrator. Buono mengatakan.


Leave a Reply

Your email address will not be published. Required fields are marked *