Microsoft pada hari Selasa mengungkapkan bahwa dua kelemahan keamanan yang memengaruhi Windows NT LAN Manager ( NTLM ) dan Task Scheduler telah dieksploitasi secara aktif di alam liar.
Kerentanan keamanan tersebut merupakan salah satu dari 90 bug keamanan yang ditangani oleh raksasa teknologi tersebut sebagai bagian dari pembaruan Patch Tuesday untuk bulan November 2024. Dari 90 kelemahan tersebut, empat di antaranya dinilai Kritis, 85 dinilai Penting, dan satu dinilai Sedang dalam tingkat keparahannya. Lima puluh dua dari kerentanan yang ditambal merupakan kelemahan eksekusi kode jarak jauh.
Perbaikan ini merupakan tambahan dari 31 kerentanan yang telah diatasi Microsoft di browser Edge berbasis Chromium sejak peluncuran pembaruan Patch Tuesday Oktober 2024. Dua kerentanan yang telah terdaftar sebagai yang aktif dieksploitasi adalah sebagai berikut:
- CVE-2024-43451 (skor CVSS: 6.5) - Kerentanan Pemalsuan Pengungkapan Hash NTLM Windows
- CVE-2024-49039 (skor CVSS: 8.8) - Kerentanan Peningkatan Hak Istimewa Penjadwal Tugas Windows
"Kerentanan ini mengungkap hash NTLMv2 milik pengguna kepada penyerang yang dapat menggunakannya untuk mengautentikasi sebagai pengguna," kata Microsoft dalam sebuah advisori untuk CVE-2024-43451, memuji peneliti ClearSky, Israel Yeshurun, yang menemukan dan melaporkan kelemahan tersebut.
Perlu dicatat bahwa CVE-2024-43451 adalah kelemahan ketiga setelah CVE-2024-21410 (ditambal pada bulan Februari) dan CVE-2024-38021 (ditambal pada bulan Juli) yang dapat digunakan untuk mengungkapkan hash NTLMv2 milik pengguna dan telah dieksploitasi secara luas tahun ini saja.
"Penyerang terus bersikeras menemukan dan mengeksploitasi kerentanan zero-day yang dapat mengungkap hash NTLMv2, karena kerentanan tersebut dapat digunakan untuk mengautentikasi ke sistem dan berpotensi bergerak secara lateral dalam jaringan untuk mengakses sistem lain," kata Satnam Narang, insinyur penelitian staf senior di Tenable, dalam sebuah pernyataan.
Di sisi lain, CVE-2024-49039 dapat memungkinkan penyerang untuk menjalankan fungsi RPC yang biasanya dibatasi pada akun istimewa. Namun, Microsoft mencatat bahwa eksploitasi yang berhasil mengharuskan penyerang yang diautentikasi untuk menjalankan aplikasi yang dibuat khusus pada sistem target untuk terlebih dahulu meningkatkan hak istimewa mereka ke Tingkat Integritas Menengah.
Vlad Stolyarov dan Bahare Sabouri dari Threat Analysis Group (TAG) Google dan seorang peneliti anonim telah diakui telah melaporkan kerentanan tersebut. Hal ini menimbulkan kemungkinan bahwa eksploitasi zero-day atas kelemahan tersebut dikaitkan dengan beberapa kelompok yang berpihak pada negara-bangsa atau aktor ancaman persisten tingkat lanjut (APT).
Saat ini belum ada wawasan mengenai bagaimana kelemahan tersebut dieksploitasi di alam liar atau seberapa luas serangan ini terjadi, tetapi perkembangan tersebut telah mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk menambahkannya ke katalog Kerentanan yang Diketahui Dieksploitasi ( KEV ).
Salah satu kelemahan zero-day yang diungkapkan ke publik, tetapi belum dieksploitasi, adalah CVE-2024-49019 (skor CVSS: 7,8), kerentanan eskalasi hak istimewa dalam Layanan Sertifikat Direktori Aktif yang dapat dimanfaatkan untuk memperoleh hak istimewa admin domain. Rincian kerentanan tersebut, yang dijuluki EKUwu, didokumentasikan oleh TrustedSec bulan lalu.
Kerentanan lain yang perlu diperhatikan adalah CVE-2024-43498 (skor CVSS: 9.8), bug eksekusi kode jarak jauh kritis dalam .NET dan Visual Studio yang dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi dengan mengirimkan permintaan yang dibuat khusus ke aplikasi web .NET yang rentan atau dengan memuat file yang dibuat khusus ke dalam aplikasi desktop yang rentan.
Pembaruan ini juga memperbaiki kelemahan protokol kriptografi kritis yang memengaruhi Windows Kerberos ( CVE-2024-43639 , skor CVSS: 9.8) yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh.
Kerentanan dengan peringkat tertinggi dalam rilis bulan ini adalah kelemahan eksekusi kode jarak jauh di Azure CycleCloud ( CVE-2024-43602 , skor CVSS: 9.9), yang memungkinkan penyerang dengan izin pengguna dasar untuk mendapatkan hak istimewa tingkat root.
"Kemudahan eksploitasi semudah mengirim permintaan ke kluster AzureCloud CycleCloud yang rentan untuk mengubah konfigurasinya," kata Narang. "Seiring dengan semakin banyaknya organisasi yang beralih menggunakan sumber daya cloud, akibatnya permukaan serangan pun semakin luas."
Terakhir, CVE yang dikeluarkan non-Microsoft yang ditangani oleh Redmond adalah kelemahan eksekusi kode jarak jauh di OpenSSL ( CVE-2024-5535 , skor CVSS: 9.1). Awalnya, kelemahan ini ditambal oleh pengelola OpenSSL pada bulan Juni 2024.
"Eksploitasi kerentanan ini mengharuskan penyerang mengirim tautan berbahaya ke korban melalui email, atau meyakinkan pengguna untuk mengeklik tautan tersebut, biasanya melalui bujukan dalam email atau pesan Instant Messenger," kata Microsoft.
"Dalam skenario serangan email terburuk, penyerang dapat mengirim email yang dibuat khusus kepada pengguna tanpa mengharuskan korban untuk membuka, membaca, atau mengeklik tautan tersebut. Hal ini dapat mengakibatkan penyerang mengeksekusi kode jarak jauh pada komputer korban."
Bertepatan dengan pembaruan keamanan November, Microsoft juga mengumumkan penerapan Common Security Advisory Framework (CSAF), standar OASIS untuk mengungkapkan kerentanan dalam bentuk yang dapat dibaca mesin, untuk semua CVE guna mempercepat upaya respons dan perbaikan.
"File CSAF dimaksudkan untuk dikonsumsi oleh komputer, bukan manusia, jadi kami menambahkan file CSAF sebagai tambahan pada saluran data CVE kami yang sudah ada, bukan sebagai pengganti," kata perusahaan tersebut . "Ini adalah awal dari perjalanan untuk terus meningkatkan transparansi seputar rantai pasokan kami dan kerentanan yang kami tangani dan atasi di seluruh rantai pasokan kami, termasuk Perangkat Lunak Sumber Terbuka yang tertanam dalam produk kami."
Patch Perangkat Lunak dari Vendor Lain#
Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk —
- Bahasa Indonesia: Adobe
- Layanan Web Amazon
- AMD
- Apel
- ASUS
- Bahasa Atlas
- Bosch
- Broadcom (termasuk VMware)
- Bahasa Indonesia: Cisco
- Bahasa Indonesia: Citrix
- KODESIS
- Tautan D
- Dell
- Bahasa Indonesia: Drupal
- F5
- Bahasa Indonesia: Fortinet
- Kuat
- Lab Git
- Google Android dan Pixel
- Google Chrome
- Awan Google
- Sistem Operasi Google Wear
- Hikvision
- Hitachi Energi
- Jaringan HMS
- HP
- HP Enterprise (termasuk Aruba Networking)
- Bahasa Indonesia: IBM
- Intel
- Ivanti
- Jaringan Juniper
- Lenovo
- Distribusi Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE , dan Ubuntu
- MediaTek
- Mitel
- Mitsubishi Listrik
- Mozilla Firefox, Firefox ESR, dan Thunderbird
- NETGEAR
- NVIDIA
- Okta
- Jaringan Palo Alto
- Perangkat Lunak Kemajuan
- Bahasa Indonesia: QNAP
- Qualcomm
- Otomasi Rockwell
- Samsung
- GETAH
- Schneider Listrik
- Siemens
- Angin Surya
- Splunk
- Kerangka Kerja Musim Semi
- Sinologi
- TP Tautan
- Tren Mikro
- Bahasa Indonesia: Veeam
- Veritas
- Bahasa Indonesia: Zimbra
- Perbesar , dan
- Bahasa Indonesia: Zyxel
0 Comments