Kelompok spionase siber canggih yang dikenal sebagai Stealth Falcon diketahui telah mengeksploitasi kerentanan zero-day kritis dalam klien Windows WebDAV. Pemanfaatan celah keamanan ini memungkinkan mereka menanam malware spionase kustom di sistem korban pada tahun 2022. Kelompok ini, yang juga dilaporkan dikenal sebagai Project Raven, menggunakan eksploitasi zero-day untuk mem-bypass kontrol keamanan Windows.
Detail Eksploitasi Zero-Day WebDAV
Kerentanan yang dieksploitasi, yang diidentifikasi sebagai CVE-2023-23376, berakar pada cara klien Windows WebDAV memproses respons dari server jarak jauh. Secara khusus, penyerang memanipulasi header Content-Range dalam respons server. Secara normal, header ini digunakan untuk menunjukkan bagian file yang dikirim. Namun, penyerang menemukan cara untuk memanipulasi header ini guna memaksa klien WebDAV menulis seluruh file yang diunduh ke lokasi arbitrer di file system lokal korban.
Mekanisme Penanaman Malware
Dengan memanfaatkan CVE-2023-23376, kelompok Stealth Falcon dapat mengunggah file berbahaya, termasuk malware dan payload lainnya, langsung ke lokasi yang mereka pilih di komputer korban. Metode ini memungkinkan malware untuk ditanam dan dieksekusi tanpa perlu interaksi pengguna yang signifikan atau memicu peringatan keamanan standar terkait unduhan file dari internet. Eksploitasi ini sangat efektif karena klien WebDAV adalah komponen standar Windows.
Dampak dan Penemuan
Eksploitasi zero-day ini digunakan oleh Stealth Falcon sebagai vektor awal untuk menanamkan serangkaian malware spionase yang dirancang untuk pengumpulan intelijen. Aktivitas eksploitasi ini kemudian ditemukan oleh Microsoft. Setelah penyelidikan, Microsoft mengkonfirmasi penggunaan CVE-2023-23376 dalam serangan di dunia nyata dan segera merilis patch keamanan untuk memperbaiki kerentanan tersebut, menonaktifkan jalur serangan khusus ini. Penemuan dan penambalan ini menghentikan Stealth Falcon menggunakan metode eksploitasi WebDAV tersebut.
Sumber: https://www.bleepingcomputer.com/news/security/stealth-falcon-hackers-exploited-windows-webdav-zero-day-to-drop-malware/