CISA Mendesak Patch Bug Windows 11 yang Dieksploitasi pada 2 Agustus

Kerentanan Windows 11, bagian dari perbaikan Microsoft Patch Tuesday, sedang dieksploitasi di alam liar, mendorong Badan Keamanan Cybersecurity dan Infrastruktur (CISA) AS untuk menyarankan penambalan cacat peningkatan hak istimewa pada 2 Agustus.

Rekomendasi tersebut ditujukan kepada badan-badan federal dan keprihatinan-keprihatinan CVE-2022-22047, kerentanan yang membawa skor CVSS tinggi (7.8) dan mengekspos Windows Client Server Runtime Subsystem (CSRSS) yang digunakan di Windows 11 (dan versi sebelumnya sejak 7) dan juga Windows Server 2022 (dan versi sebelumnya 2008, 2012, 2016) dan 2019) untuk menyerang.

[Acara Sesuai Permintaan GRATIS: Bergabunglah dengan Zane Bond Keeper Security di meja bundar Threatpost dan pelajari cara mengakses mesin Anda dengan aman dari mana saja dan berbagi dokumen sensitif dari kantor pusat Anda. TONTON DI SINI.]

Bug CSRSS adalah peningkatan kerentanan hak istimewa yang memungkinkan musuh dengan pijakan yang telah ditetapkan sebelumnya pada sistem yang ditargetkan untuk mengeksekusi kode sebagai pengguna yang tidak memiliki hak istimewa. Ketika bug pertama kali dilaporkan oleh tim keamanan Microsoft sendiri awal bulan ini, itu diklasifikasikan sebagai zero-day, atau bug yang dikenal tanpa patch. Patch itu tersedia di Selasa 5 Juli.

Para peneliti di FortiGuard Labs, sebuah divisi dari Fortinet, mengatakan ancaman yang ditimbulkan bug tersebut terhadap bisnis adalah “sedang”. Dalam sebuah buletin, peneliti menjelaskan peringkat yang diturunkan karena musuh membutuhkan akses "lokal" atau fisik lanjutan ke sistem yang ditargetkan untuk mengeksploitasi bug dan tambalan tersedia.

Konon, penyerang yang sebelumnya mendapatkan akses jarak jauh ke sistem komputer (melalui infeksi malware) dapat mengeksploitasi kerentanan dari jarak jauh.

“Meskipun tidak ada informasi lebih lanjut tentang eksploitasi yang dirilis oleh Microsoft, dapat diduga bahwa eksekusi kode jarak jauh yang tidak diketahui memungkinkan penyerang untuk melakukan gerakan lateral dan meningkatkan hak istimewa pada mesin yang rentan terhadap CVE-2022-22047, yang pada akhirnya memungkinkan hak istimewa SISTEM, ” tulis FortiGuard Labs.

Titik Masuk Dokumen Office dan Adobe

Sementara kerentanan sedang dieksploitasi secara aktif, tidak ada bukti publik yang diketahui tentang konsep eksploitasi di alam liar yang dapat digunakan untuk membantu mengurangi atau terkadang memicu serangan, menurut sebuah laporan oleh The Record.

“Kerentanan memungkinkan penyerang untuk mengeksekusi kode sebagai SISTEM, asalkan mereka dapat mengeksekusi kode lain pada target,” tulis Trend Micro. Zero Day Initiative (ZDI) di Patch Selasa rangkuman minggu lalu.

“Bug jenis ini biasanya dipasangkan dengan bug eksekusi kode, biasanya dokumen Office atau Adobe yang dibuat khusus, untuk mengambil alih sistem. Serangan ini sering mengandalkan makro, itulah sebabnya begitu banyak yang kecewa mendengar keterlambatan Microsoft dalam memblokir semua makro Office secara default,” tulis penulis ZDI, Dustin Childs.

Microsoft baru-baru ini mengatakan akan memblokir penggunaan makro Visual Basic for Applications (VBA) secara default di beberapa aplikasi Office-nya, namun tidak menetapkan garis waktu untuk memberlakukan kebijakan tersebut.

CISA menambahkan bug Microsoft ke daftar yang sedang berjalan kerentanan yang diketahui dieksploitasi pada 7 Juli (cari "CVE-2022-22047" untuk menemukan entri) dan hanya merekomendasikan, "terapkan pembaruan per instruksi vendor".

[Acara Sesuai Permintaan GRATIS: Bergabunglah dengan Zane Bond Keeper Security di meja bundar Threatpost dan pelajari cara mengakses mesin Anda dengan aman dari mana saja dan berbagi dokumen sensitif dari kantor pusat Anda. TONTON DI SINI.]

Gambar: Atas perkenan Microsoft