Aktor Ancaman Menggunakan Beberapa Teknik Canggih Baru Untuk Memanfaatkan Layanan Windows

  • Whatsapp
Aktor Ancaman Menggunakan Beberapa Teknik Canggih Baru Untuk Memanfaatkan Layanan Windows

 

Menurut para peneliti keamanan siber, beberapa teknik baru, yang secara komparatif canggih – digunakan oleh penyerang, untuk mengeksploitasi layanan Windows yang sah untuk mempercepat hak istimewa tingkat rendah ke dalam sistem (konsep dan praktik membatasi hak akses untuk pengguna, akun, dan proses komputasi ke hanya sumber daya yang diperlukan untuk melakukan aktivitas rutin dan sah, hak istimewa terendah juga merupakan komponen dasar dari strategi kepercayaan nol) untuk mendapatkan kendali penuh atas sistem.
Melalui serangan baru-baru ini, pelaku ancaman mengambil keuntungan yang sama, menargetkan fasilitas layanan Windows yang serupa dengan serangan sebelumnya. Sementara itu, pelaku ancaman juga sedang mengerjakan beberapa teknik baru untuk mendapatkan akses ke versi terbaru dari sistem operasi, seperti yang dilaporkan oleh Antonio Cocomazzi, seorang insinyur sistem di SentinelOne. Lebih lanjut, Antonio Cocomazzi menjelaskan hal yang sama dalam konferensi virtual Black Hat Asian minggu ini.
Untuk organisasi, masalah terbesar yang berhubungan dengan serangan siber ini adalah bahwa serangan ini mengeksploitasi layanan yang memegang bagian yang sangat penting dari sistem serta ada dengan desain di sistem yang berfungsi windows. Layanan ini diaktifkan dan tersedia secara default ke dalam sistem serta memainkan peran penting dalam implementasi jaringan Web, server email, server basis data, dan layanan penting lainnya.
Eksploitasi, bernama “kentang berair,” telah menjadi metode utama bagi pelaku ancaman untuk menyerang ke dalam sistem jendela, kata Cocoazzi. Lebih lanjut, dia menambahkan bahwa SentinelOne telah mengungkapkan beberapa bukti yang sangat spesifik terhadap eksploitasi ini: ini digunakan dalam beberapa kampanye APT.
“Microsoft telah memperbaiki eksploitasi dalam versi perangkat lunaknya yang lebih baru. Namun, JuicyPotato masih berfungsi di setiap Windows Server yang diperbarui hingga versi 2016 dan di setiap mesin Windows Client yang diperbarui hingga versi 10, build 1803. Selain itu, versi terbaru dari apa yang disebut kelompok eksploitasi Potato – seperti RoguePotato dan Juicy 2 – sekarang tersedia yang melewati perbaikan Microsoft yang mematikan JuicyPotato. ” Antonio Cocomazzi, seorang insinyur sistem di SentinelOne melaporkan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *