Microsoft telah mengeluarkan tambalan untuk dua kerentanan zero-day di antara total lebih dari 80 bug yang ditangani di pembaruan Patch Selasa bulanannya.
Jumlah masalah, yang mencakup empat CVE yang ditugaskan oleh Github, kira-kira setara dengan volume pengungkapan yang terlihat dalam dua bulan pertama tahun ini, dengan kecenderungan berat lainnya terhadap masalah eksekusi kode jarak jauh (RCE).
“Microsoft telah menyelesaikan 80 CVE baru bulan ini dan memperluas empat CVE yang dirilis sebelumnya untuk menyertakan versi Windows tambahan,” kata Ivanti wakil presiden produk keamanan Chris Goettl. “Ini menjadikan jumlah total CVE yang ditangani bulan ini menjadi 84. Ada dua eksploit zero-day yang dikonfirmasi diselesaikan dalam pembaruan bulan ini yang berdampak pada Microsoft Office dan Windows Smart Screen. Kedua exploit tersebut ditargetkan untuk pengguna. Ada total sembilan CVE yang dinilai kritis bulan ini. Delapan dari sembilan CVE penting ada dalam pembaruan OS Windows bulan ini.”
Dilacak sebagai CVE-2023-23397itu Pandangan kerentanan sedang dieksploitasi tetapi belum dipublikasikan sampai sekarang. Ini membawa skor CVSS 9,1 dan tingkat keparahan yang penting. Ini adalah kerentanan elevasi hak istimewa (EoP) yang dapat dieksploitasi dengan mengirim email ke target potensial.
Itu dipicu di sisi server email, yang berarti dapat dieksploitasi sebelum email benar-benar dibuka dan dilihat. Berhasil dieksploitasi, ini memungkinkan aktor yang tidak diautentikasi mengakses hash Net-NTLMv2 korban dan menggunakannya untuk mengotentikasi sebagai korban, melewati langkah-langkah otentikasi.
Kev Breen, Lab Imersif direktur penelitian ancaman dunia maya, mengatakan CVE-2023-23397 sangat berbahaya, dan juga mencatat bahwa statusnya sebagai bug EoP tidak sepenuhnya mencerminkan hal ini secara akurat.
“Dikenal sebagai serangan relai NTLM, ini memungkinkan penyerang mendapatkan hash NTLM seseorang dan menggunakannya dalam serangan yang umumnya dikenal sebagai Pass the Hash,” katanya. “Kerentanan secara efektif memungkinkan penyerang mengautentikasi sebagai individu tepercaya tanpa harus mengetahui kata sandi orang tersebut. Ini setara dengan penyerang yang memiliki kata sandi yang valid dengan akses ke sistem organisasi.”
Penemuannya dikreditkan ke tim Incident Response dan Threat Intelligence Microsoft yang bekerja sama CERT nasional Ukrainayang menyiratkan itu sedang dieksploitasi oleh aktor negara Rusia di mereka kampanye perang dunia maya yang sedang berlangsung.
Cepat7 insinyur perangkat lunak utama Adam Barnett mengatakan: “Microsoft telah mendeteksi eksploitasi in-the-wild oleh aktor ancaman yang berbasis di Rusia yang menargetkan target pemerintah, militer, dan infrastruktur penting di Eropa. Mengingat vektor serangan jaringan, di mana-mana saham SMB dan kurangnya interaksi pengguna yang diperlukan, penyerang dengan pijakan yang sesuai pada jaringan mungkin menganggap kerentanan ini sebagai kandidat utama untuk pergerakan lateral.”
Zero-day kedua dilacak sebagai CVE-2023-24880. Ini publik, dan diketahui telah dieksploitasi di alam liar. Sebuah fitur keamanan memotong kerentanan di Layar Pintar Windows layanan anti-phishing dan anti-malware, membawa skor CVSS 5,4 dan tingkat keparahan sedang.
Dibiarkan tidak tertangani, CVE-2023-24880 memungkinkan penyerang untuk membuat file yang melewati pertahanan Mark of the Web, membuatnya lebih mudah bagi mereka untuk menyebarkan dokumen tercemar dan malware yang mungkin terlihat oleh SmartScreen.
Breen mengatakan meski tergolong peringkat yang tidak terlalu parah, bek tetap harus memprioritaskan untuk memperbaikinya. “Catatan dari Microsoft mengatakan bahwa penyerang dapat membuat file jahat yang akan menonaktifkan beberapa fitur keamanan seperti ‘tampilan terlindungi’ di Microsoft Office,” katanya.
“Malware berbasis makro masih sering dilihat sebagai bagian dari penyusupan awal, dan pengguna telah terbiasa dengan permintaan ini untuk melindungi mereka dari file berbahaya,” tambah Breen. “Tampilan Terproteksi dan Tanda Web harus menjadi bagian dari strategi pertahanan mendalam Anda dan bukan satu lapisan perlindungan.”
Penemuannya dikreditkan ke Benoit Sevens dan Vlad Stolyarov dari Grup Analisis Ancaman Google, dan Bill Demirkapi dari Microsoft.
Kerentanan kritis
Kerentanan kritis yang tercantum dalam pembaruan Maret adalah sebagai berikut:
Dari jumlah tersebut, Gal Sadeh, kepala penelitian data dan keamanan di Silverfortkata CVE-2023-21708 dan CVE-2023-23415 sangat penting.
“Kerentanan RCE kritis dalam Remote Procedure Call Runtime, CVE-2023-21708, harus menjadi prioritas tim keamanan karena memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah jarak jauh pada mesin target,” katanya. “Aktor ancaman dapat menggunakan ini untuk menyerang Pengontrol Domain, yang terbuka secara default. Untuk mengurangi, kami merekomendasikan Pengontrol Domain hanya mengizinkan RPC dari jaringan resmi dan lalu lintas RPC ke titik akhir yang tidak perlu dan server dibatasi.
Kerentanan kritis lainnya, CVE-2023-23415, menimbulkan risiko serius karena memungkinkan penyerang untuk mengeksploitasi kelemahan dalam Protokol Pesan Kontrol Internet – yang seringkali tidak dibatasi oleh firewall – untuk mendapatkan eksekusi kode jarak jauh pada server yang terbuka menggunakan paket berbahaya. Membutuhkan penargetan soket mentah – setiap organisasi yang menggunakan infrastruktur semacam itu harus menambal, atau memblokir paket ICMP di firewall, ”kata Sadeh.
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish