Bagaimana cara mengeksploitasinya?
Ms Wong mengatakan bahwa eksekusi kode arbitrer telah digunakan di masa lalu untuk mencuri data, melaksanakan skema pemerasan, dan bahkan mengungkap pesan teks pribadi dan riwayat pencarian.
“Selain itu, beberapa kelemahan paling serius akan memungkinkan penyerang mengeksekusi kode berbahaya dalam konteks pengguna,” katanya.
Tingkat keparahan serangan kemudian bergantung pada hak istimewa yang terkait dengan pengguna – apakah mereka memiliki wewenang untuk menginstal program baru; melihat, mengubah atau menghapus data; atau membuat akun pengguna baru.”
Seorang peretas juga dapat mengirim email atau lampiran phishing dengan tautan tertanam ke situs web yang menggunakan Intents, kata Ms. Jennifer Cheng, direktur pemasaran produk, Asia Pasifik dan Jepang di Proofpoint.
Kemudian, jika orang yang menerima email tersebut mengeklik tautan ke situs web menggunakan browser Chrome, penyerang dapat terhubung ke situs tersebut dengan aplikasi web berbahaya lainnya dan memaparkan orang tersebut ke konten berbahaya.
“Konsekuensi yang mungkin terjadi dari paparan konten berbahaya dapat mencakup pengalihan ke situs web berbahaya lainnya, menyuntikkan kode berbahaya (malware), mencuri data atau kredensial login,” tambahnya.
Apakah bug sudah dieksploitasi?
Google mengatakan bahwa dua anggota Grup Analisis Ancaman pertama kali melaporkan CVE-2022-2856 pada 19 Juli, dan mereka mengetahui adanya eksploitasi yang ada di alam liar. Ini berarti perusahaan mengetahui – mungkin melalui telemetri Chrome – bahwa kerentanan telah dieksploitasi.
“Mereka mungkin mengetahui situs yang melakukan serangan dan mungkin mengetahui pengguna yang diserang,” kata Candid Wuest, wakil presiden penelitian perlindungan siber di Acronis.
“Tergantung pada eksekusinya, serangan itu sendiri bisa sangat tersembunyi. Google belum mengungkapkan rincian lebih lanjut tentang penyerang atau target mereka saat ini.”
CNA memahami bahwa CSA belum menerima laporan apa pun tentang pengguna yang diretas oleh kerentanan ini.
Stas Protassov, salah satu pendiri dan presiden teknologi Acronis, mengatakan “masuk akal untuk berasumsi” bahwa kerentanan tersebut dieksploitasi oleh peretas yang disponsori negara, yang menunjukkan bahwa kelompok analisis ancaman Google terlibat.
Kelompok ini berfokus pada melawan penyerang dengan sumber daya tinggi, seperti kelompok ancaman terus-menerus yang canggih milik pemerintah, katanya, seraya menambahkan bahwa Google biasanya mengungkapkan rincian lebih lanjut tentang kerentanan 90 hari setelah dilaporkan.
“Jadi kita akan tahu lebih banyak hasilnya pada bulan Oktober, kecuali Google memutuskan melakukannya lebih awal,” ujarnya.
Apa yang akan dilakukan patch keamanan?
Ms Cheng mengatakan patch keamanan Google akan mencegah penyerang mengeksploitasi fitur Intent untuk menautkan atau menyuntikkan konten berbahaya ke situs web yang mendukungnya.
“Patch ini kemungkinan besar akan memperbarui validasi input pengguna untuk memblokir eksploitasi kerentanan ini,” kata Kevin Reed, Chief Information Security Officer Acronis.
Ms Cheng mengatakan mereka yang memilih untuk tidak menginstal patch tersebut berarti “menglempar dadu” dan membiarkan diri mereka terpapar konten berbahaya dan akhirnya disusupi.
Meskipun Wong setuju bahwa mereka yang tidak memperbarui browser mereka secara teori akan terkena bahaya tersebut, dia mengatakan sulit untuk memprediksi hasil yang pasti tanpa rincian lengkap mengenai kerentanannya.
Seberapa umumkah kerentanan ini?
Bertahun-tahun yang lalu, kerentanan browser web dianggap cukup umum dan menjadi favorit para peretas, kata Ms. Cheng.
“Saat ini, jenis zero-day seperti ini sudah jarang terjadi,” katanya, menggunakan istilah untuk menggambarkan bug yang belum ditambal yang ditemukan sebelum pengembang menyadarinya.
“Kami berpendapat bahwa pengembang kini lebih memikirkan keamanan dalam praktik pengembangan mereka.”
Namun demikian, Ms Wong mengatakan “hampir tidak mungkin” untuk menulis kode bebas kesalahan karena kesalahan manusia tidak dapat dihindari.
“Oleh karena itu, kebutuhan bagi organisasi terletak pada identifikasi kerentanan tersebut secepat mungkin, dan bertindak tegas,” katanya.
Mr Wuest mengatakan “baik” untuk dicatat bahwa CVE-2022-2856 adalah zero-day kelima yang ditambal Google di Chrome tahun ini.
Kerentanan tersebut, pertama kali dilaporkan pada bulan Februari, dieksploitasi oleh peretas Korea Utara dalam kampanye phishing, Bleeping Computer melaporkan.
“Ancaman yang ada ‘di alam liar’ mengacu pada ancaman yang menyebar di perangkat milik pengguna biasa, bukan sistem pengujian,” kata Ms Wong.
“Ini adalah ancaman kritis yang secara signifikan mengancam keamanan data dunia nyata ketika dieksploitasi oleh peretas.”