Microsoft Mengungkapkan 5 Zero-Days dalam Pembaruan Keamanan Bulan Juli yang Berlimpah

Microsoft Pembaruan keamanan Juli berisi perbaikan untuk 130 kerentanan unik, lima di antaranya sudah dieksploitasi secara aktif oleh penyerang.

Perusahaan menilai sembilan kelemahan sebagai tingkat keparahan kritis dan 121 di antaranya sebagai tingkat keparahan sedang atau penting. Kerentanan mempengaruhi berbagai produk Microsoft termasuk Windows, Office, .Net, Azure Active Directory, Printer Drivers, DMS Server dan Remote Desktop. Pembaruan berisi campuran biasa dari kelemahan eksekusi kode jarak jauh (RCE), bypass keamanan dan masalah eskalasi hak istimewa, bug pengungkapan informasi, dan penolakan kerentanan layanan.

“Volume perbaikan ini adalah yang tertinggi yang pernah kami lihat dalam beberapa tahun terakhir'Bukan hal yang aneh melihat Microsoft mengirimkan sejumlah besar tambalan tepat sebelum konferensi Black Hat USA, ”kata Dustin Childs, peneliti keamanan di Trend Micro's Zero Day Initiative (ZDI), dalam posting blog.

Dari sudut pandang prioritas tambalan, lima hari nol yang diungkapkan Microsoft minggu ini patut mendapat perhatian segera, menurut peneliti keamanan.

Yang paling serius dari mereka adalah CVE-2023-36884, bug eksekusi kode jarak jauh (RCE) di Office dan Windows HTML, yang Microsoft tidak memiliki tambalannya dalam pembaruan bulan ini. Perusahaan mengidentifikasi grup ancaman yang dilacaknya, Storm-0978, sebagai yang mengeksploitasi kelemahan dalam kampanye phishing yang menargetkan organisasi pemerintah dan pertahanan di Amerika Utara dan Eropa.

Kampanye tersebut melibatkan aktor ancaman yang mendistribusikan backdoor, dijuluki RomCom, melalui dokumen Windows dengan tema yang terkait dengan Kongres Dunia Ukraina. “Badai-0978'operasi yang ditargetkan telah memengaruhi organisasi pemerintah dan militer terutama di Ukraina, serta organisasi di Eropa dan Amerika Utara yang berpotensi terlibat dalam urusan Ukraina,” kata Microsoft dalam sebuah blog pos yang menyertai pembaruan keamanan Juli. “Serangan ransomware yang teridentifikasi berdampak antara lain pada industri telekomunikasi dan keuangan.”

Dustin Childs, peneliti lain di ZDI, memperingatkan organisasi untuk memperlakukan CVE-2023-36884 sebagai masalah keamanan "kritis" meskipun Microsoft sendiri telah menilainya sebagai bug "penting" yang relatif tidak terlalu parah. “Microsoft telah mengambil tindakan aneh dengan merilis CVE ini tanpa tambalan. Itu'masih akan datang, ”tulis Childs dalam posting blog. “Jelas, ada'lebih banyak untuk mengeksploitasi ini daripada yang dikatakan.

Dua dari lima kerentanan yang sedang dieksploitasi secara aktif adalah kelemahan bypass keamanan. Satu memengaruhi Microsoft Outlook (CVE-2023-35311) dan yang lainnya melibatkan Windows SmartScreen (CVE-2023-32049). Kedua kerentanan memerlukan interaksi pengguna, artinya penyerang hanya dapat mengeksploitasinya dengan meyakinkan pengguna untuk mengklik URL berbahaya. Dengan CVE-2023-32049, penyerang akan dapat mem-bypass Open File – Security Warning prompt, sementara CVE-2023-35311 memberi penyerang cara untuk menyelundupkan serangan mereka dengan prompt Pemberitahuan Keamanan Microsoft Outlook.

“Penting untuk dicatat [CVE-2023-35311] secara khusus memungkinkan melewati fitur keamanan Microsoft Outlook dan tidak mengaktifkan eksekusi kode jarak jauh atau eskalasi hak istimewa,” kata Mike Walters, wakil presiden penelitian kerentanan dan ancaman di Action1. “Oleh karena itu, penyerang cenderung menggabungkannya dengan eksploitasi lain untuk serangan yang komprehensif. Kerentanan memengaruhi semua versi Microsoft Outlook mulai 2013 dan seterusnya, ”katanya dalam email ke Dark Reading.

Kev Breen, direktur penelitian ancaman dunia maya di Immersive Labs, menilai keamanan lainnya melewati zero-day - CVE-2023-32049 — sebagai bug lain yang kemungkinan besar akan digunakan oleh pelaku ancaman sebagai bagian dari rantai serangan yang lebih luas.

Dua zero-day lainnya dalam kumpulan tambalan terbaru Microsoft memungkinkan eskalasi hak istimewa. Para peneliti di Grup Analisis Ancaman Google menemukan salah satunya. Cacat, dilacak sebagai CVE-2023-36874, adalah peningkatan masalah hak istimewa di layanan Windows Error Reporting (WER) yang memberi penyerang cara untuk mendapatkan hak administratif pada sistem yang rentan. Penyerang akan membutuhkan akses lokal ke sistem yang terpengaruh untuk mengeksploitasi kelemahan tersebut, yang dapat mereka peroleh melalui eksploitasi lain atau melalui penyalahgunaan kredensial.

“Layanan WER adalah fitur dalam sistem operasi Microsoft Windows yang secara otomatis mengumpulkan dan mengirimkan laporan kesalahan ke Microsoft ketika perangkat lunak tertentu mogok atau menemukan jenis kesalahan lainnya,” kata Tom Bowyer, peneliti keamanan di Automox. “Kerentanan zero-day ini sedang dieksploitasi secara aktif, jadi jika WER digunakan oleh organisasi Anda, kami sarankan untuk melakukan patching dalam waktu 24 jam,” ujarnya.

Peningkatan lain dari bug hak istimewa dalam pembaruan keamanan Juli yang sudah dieksploitasi secara aktif oleh penyerang adalah CVE-2023-32046 di platform Microsoft Windows MSHTM, alias mesin rendering browser "Trident". Seperti banyak bug lainnya, bug ini juga memerlukan beberapa tingkat interaksi pengguna. Dalam skenario serangan email untuk mengeksploitasi bug, penyerang perlu mengirimkan file yang dibuat khusus kepada pengguna yang ditargetkan dan meminta pengguna untuk membukanya. Dalam serangan berbasis Web, penyerang perlu menghosting situs web berbahaya — atau menggunakan situs yang disusupi — untuk menghosting file yang dibuat khusus dan kemudian meyakinkan korban untuk membukanya, kata Microsoft.

RCE di Perutean Windows, Layanan Akses Jarak Jauh

Peneliti keamanan menunjuk ke tiga kerentanan RCE di Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, dan CVE-2023-35367) sebagai perhatian prioritas yang pantas untuk semuanya. Microsoft telah menilai ketiga kerentanan tersebut sebagai kritis dan ketiganya memiliki skor CVSS 9.8. Layanan ini tidak tersedia secara default di Windows Server dan pada dasarnya memungkinkan komputer yang menjalankan OS berfungsi sebagai router, server VPN, dan server dial-up, kata Bowyer dari Automox. “Penyerang yang berhasil dapat memodifikasi konfigurasi jaringan, mencuri data, pindah ke sistem lain yang lebih penting/penting, atau membuat akun tambahan untuk akses terus-menerus ke perangkat."

Cacat Server SharePoint

Pembaruan Juli raksasa Microsoft berisi perbaikan untuk empat kerentanan RCE di server SharePoint, yang telah menjadi target penyerang populer baru-baru ini. Microsoft menilai dua bug sebagai "penting" (CVE-2023-33134 dan CVE-2023-33159 dan dua lainnya sebagai "kritis" (CVE-2023-33157 dan CVE-2023-33160). “Semuanya mengharuskan penyerang diautentikasi atau pengguna melakukan tindakan yang, untungnya, mengurangi risiko pelanggaran,” kata Yoav Iellin, peneliti senior di Silverfort. “Meski begitu, karena SharePoint dapat berisi data sensitif dan biasanya diekspos dari luar organisasi, mereka yang menggunakan versi lokal atau hibrid harus memperbarui.”

Organisasi yang harus mematuhi peraturan seperti FEDRAMP, PCI, HIPAA, SOC2, dan peraturan serupa harus memperhatikan CVE-2023-35332: kelemahan Bypass Fitur Keamanan Protokol Desktop Jarak Jauh Windows, kata Dor Dali, kepala penelitian di Cyolo. Kerentanan berkaitan dengan penggunaan protokol yang sudah ketinggalan zaman dan usang, termasuk Datagram Transport Layer Security (DTLS) versi 1.0, yang menghadirkan risiko keamanan dan kepatuhan yang substansial bagi organisasi, katanya. Dalam situasi di mana organisasi tidak dapat segera memperbarui, mereka harus menonaktifkan dukungan UDP di gateway RDP, katanya.

Selain itu, Microsoft menerbitkan penasehat pada penyelidikannya terhadap laporan terbaru tentang pelaku ancaman yang menggunakan driver yang disertifikasi di bawah Microsoft'Program Pengembang Perangkat Keras Windows (MWHDP) dalam aktivitas pascaeksploitasi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update