Google Temukan Dua Kerentanan Chrome dan Windows yang Aktif Dieksploitasi
Microsoft | Foto: wccftech.com
Cyberthreat.id – Peneliti keamanan elit Google Project Zero menemukan kerentanan zero-day di sistem operasi Windows yang sedang dieksploitasi secara aktif oleh para peretas.
Zero-day merujuk pada kerentanan yang belum diperbaiki atau ditambal (patched). Menurut Ketua Tim Google Project Zero, Ben Hawkes, Windows berencana merilis perbaikan (patch) pada 10 November mendatang, demikian seperti dikutip dari ZDNet, portal berita cybersecurity, diakses Sabtu (31 Oktober 2020).
Di akun Twitter-nya, Hawkes mengatakan kerentanan yang diberi label CVE-2020-17087 tersebut berbarengan dengan eksploitasi kerentanan zero-day pada peramban Chrome (dilabeli sebagai CVE-2020-15999). Kerentanan ini terungkap oleh tim Hawkes pekan lalu.
Kedua kerentanan itu dipakai berbarengan untuk sebuah serangan siber. Pada zero-day Chrome dimanfaatkan peretas untuk menjalankan kode berbahaya di peramban, sedangkan zero-day Windows memudahkan peretas keluar dari kotak aman Chrome dan menjalankan kode pada sistem oeprasi yang mendasarinya—istilah ini dijuluki “sandbox escape”.
Pekan lalu, peneliti memberitahu Microsoft soal kerentanan itu dan dijanjikan perbaikan akan tersedia dalam sepekan. Namun, Microsoft tak kunjung mempublikasikan rincian perbaikan sehingga peneliti Google memilih untuk mengungkpakan temuannya kepada publik.
Menurut peneliti Google, zero-day di kernel Windows dapat dieksploitasi untuk meningkatkan kode penyerang dengan izin tambahan.
Kerentanan mempengaruhi semua versi Windows antara Windows 7 hingga pembaruan Windows 10 terbaru.
Sayangnya, Hawkes tidak memberikan rincian tentang siapa yang sedang mengeksploitasi dua bug tersebut. Biasanya, hampir semua zero-day ditemukan oleh kelompok peretas yang disponsori negara atau kelompok kejahatan dunia maya besar.
Temuan serangan dengan bug itu juga ditemukan serupa oleh tim Google lain, yaitu Threat Analysis Group (TAG). Namun, Direktur Google TAG, Shane Huntley, mengatakan serangan itu tidak terkait dengan pemilihan AS.
Sejauh ini, zero-day Chrome telah ditambal di Chrome versi 86.0.4240.111.
Ini kedua kalinya Google mengungkapkan serangan dua arah yang melibatkan zero-day Windows dan Chrome. Pada Maret 2019, Google mengatakan bahwa pelaku ancaman juga menggabungkan zero-day Chrome (CVE-2019-5786) dengan zero-day Windows (CVE-2019-0808).
Terkait temuan terbaru itu, seperti dikutip dari TechCrunch, Microsoft mengatakan, bahwa serangan yang dilaporkan "sangat terbatas dan bertarget di alam liar, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas."[]
