Microsoft (MS) Office menjadi mangsa empuk para penjahat maya karena ini target paling gampang dan mengandung fitur-fitur lawas yang bisa mereka kerjai dengan mudah.
Tiga pakar keamanan Kaspersky Lab, Boris Larin, Vlad Stolyarov, dan Alexander Liskin mengungkapkan hal tersebut dalam konferensi internasional Security Analyst Summit (SAS) 2019 yang diadakan di Singapura 11 April lalu. Temuan itu berdasarkan riset ketiganya yang berjudul "Catching Multilayered Zero-Day Attacks on MS Office".
Ketika membandingkan distribusi para pengguna yang diserang berdasarkan platform yang ditargetkan (targeted platform) akhir tahun lalu dengan dua tahun lalu sebelumnya, terlihat adanya perubahan strategi para penjahat siber. Mereka tidak lagi menggunakan kerentanan (vulnerability) berbasis web tapi kini para penjahat siber mengarahkan serangan ke MS Office. Bahkan MS Office yang mendominasi dengan 70% dari seluruh serangan kini menjadi platform yang paling diincar penjahat siber.
Sejak tahun lalu, sejumlah eksploitasi zero-day terhadap MS Office mulai bermunculan. Eksploitasi ini biasanya dimulai dengan targeted campaign, yang lambat laun menjadi terang-terangan dan kemudian diintegrasikan ke dalam document builder berbahaya.
Waktu pemrosesannya pun menjadi jauh lebih singkat. Misalnya dalam kasus CVE-2017-11882, kerentanan pertama pada equation editor yang diidentifikasi pakar Kaspersky, serangan spam besar-besaran dimulai pada hari yang sama di mana proof of concept dipublikasikan.
Hal yang sama terjadi pada kerentanan lainnya. Begitu laporan teknis untuk satu kerentanan dirilis ke publik, exploit untuk kerentanan itu muncul di pasar gelap dalam hitungan hari. Bug menjadi jauh lebih sederhana, dan terkadang para penjahat maya hanya membutuhkan writeup yang rinci untuk membuat satu exploit bekerja.
Kerentanan yang paling tereksploitasi di tahun 2018 lalu membuktikan bahwa pembuat malware lebih menyukai bug yang sederhana dan logis. Inilah mengapa kerentanan pada equation editor CVE-2017-11882 dan CVE-2018-0802 menjadi bug yang paling banyak dieksploitasi di MS Office.
Sederhananya, jenis bug ini dapat diandalkan dan dapat bekerja di semua versi Word yang dirilis dalam 17 tahun terakhir. Dan untuk membuat exploit bagi dua kerentanan MS Office tersebut tidak membutuhkan kecakapan tinggi karena binary dari equation editor tidak memiliki perlindungan dan cara mitigasi modern seperti yang ada di aplikasi-aplikasi baru.
Para pakar Kaspersky Lab juga menemukan bahwa sebenarnya tidak ada satu pun dari kerentanan yang paling tereksploitasi oleh penjahat siber itu terdapat dalam MS Office itu sendiri. Kerentanan itu justru ada di komponen terkait.
Attack surface dari MS Office termasuk luas, dengan banyaknya format file yang rumit, dan integrasi dengan Windows, dan interoperbilitas. Namun jika dilakukan perubahan pada MS Office dikhawatirkan malah akan mengganggu backward compatibility-nya.
Pada tahun 2018 saja, Kaspersky menemukan beberapa kerentanan zero-day telah dieksploitasi. Di antaranya adalah CVE-2018-8174 (Windows VBScript Engine Remote Code Execution Vulnerability). Ini kerentanan yang sangat menarik, karena exploit ditemukan dalam dokumen Word, tetapi kerentanan sebenarnya berada di Internet Explorer.
Kaspersky sendiri memiliki produk-produk keamanan endpoint yang dibekali kemampuan heuristik sangat canggih untuk mendeteksi ancaman yang datang melalui dokumen MS Office. Heuristic engine ini menjadi salah satu lapisan pendeteksi pertama yang akan mengidentifikasi semua fomat file dan keanehan yang ada pada tiap dokumen. Ketika ditemukan satu obyek berbahaya, obyek tersebut akan melewati beberapa lapisan keamanan tambahan, misalnya sandbox.
Dalam konteksi keamanan informasi, sandbox bertugas mengisolasi lingkungan yang berbahaya dari lingkungan yang aman, mencegah eksploitasi kerentanan, dan menganalisis kode berbahaya. Sandbox Kaspersky adalah sistem deteksi malware yang menjalankan obyek mencurigakan di dalam mesin virtual dengan OS berfitur lengkap. Sistem ini mendeteksi aktivitas berbahaya obyek tersebut dengan menganalisis perilakunya. Fitur ini dikembangkan beberapa tahun yang lalu untuk digunakan dalam infrastruktur internal Kaspersky, dan akhirnya menjadi bagian dari solusi Kaspersky Anti-Targeted Attack Platform.