
Microsoft mengawali tahun 2025 dengan serangkaian patch baru untuk total 161 kerentanan keamanan di seluruh portofolio perangkat lunaknya, termasuk tiga zero-day yang telah dieksploitasi secara aktif dalam serangan.
Dari 161 kelemahan, 11 dinilai Kritis, dan 149 dinilai Penting dalam tingkat keparahannya. Satu kelemahan lainnya, CVE non-Microsoft yang terkait dengan bypass Windows Secure Boot (CVE-2024-7344), belum ditetapkan tingkat keparahannya. Menurut Zero Day Initiative, pembaruan ini menandai jumlah terbesar CVE yang ditangani dalam satu bulan setidaknya sejak tahun 2017.
Perbaikan ini merupakan tambahan dari tujuh kerentanan yang ditangani oleh pembuat Windows di browser Edge berbasis Chromium sejak rilis pembaruan Patch Tuesday Desember 2024.
Yang menonjol di antara tambalan yang dirilis oleh Microsoft adalah trio kelemahan pada Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, dan CVE-2025-21335, skor CVSS: 7.8) yang menurut perusahaan telah dieksploitasi secara aktif di alam liar –
“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” kata perusahaan tersebut dalam penasehatan untuk ketiga kerentanan tersebut.
Seperti yang biasa terjadi, saat ini tidak diketahui bagaimana kekurangan ini dieksploitasi, dan dalam konteks apa. Microsoft juga tidak menyebutkan identitas pelaku ancaman yang mempersenjatai mereka atau skala serangannya.
Namun karena ini adalah bug peningkatan hak istimewa, kemungkinan besar bug tersebut digunakan sebagai bagian dari aktivitas pasca-kompromi, di mana penyerang telah memperoleh akses ke sistem target melalui beberapa cara lain, kata Satnam Narang, staf senior riset insinyur di Tenable, mengatakan. .
“Penyedia Layanan Virtualisasi (VSP) berada di partisi akar instans Hyper-V, dan menyediakan dukungan perangkat sintetis ke partisi anak melalui Virtual Machine Bus (VMBus): ini adalah dasar bagaimana Hyper-V memungkinkan partisi anak untuk menipu diri sendiri dengan berpikir bahwa itu adalah komputer sungguhan,” Lead Software Engineer Rapid7, Adam Barnett, mengatakan kepada The Hacker News.

“Mengingat bahwa semuanya merupakan batas keamanan, mungkin mengejutkan bahwa tidak ada kerentanan VSP Integrasi Kernel Hyper-V NT yang diakui oleh Microsoft hingga saat ini, namun sama sekali tidak mengejutkan jika lebih banyak lagi yang muncul sekarang.”
Eksploitasi VSP Integrasi Kernel Windows Hyper-V NT juga mengakibatkan Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkannya ke katalog Kerentanan yang Dieksploitasi yang Diketahui (KEV), yang mengharuskan lembaga federal untuk menerapkan perbaikan paling lambat tanggal 4 Februari 2025.
Secara terpisah, Redmond telah memperingatkan bahwa lima bug telah diketahui publik –
Perlu dicatat bahwa CVE-2025-21308, yang dapat menyebabkan pengungkapan hash NTLM yang tidak tepat, sebelumnya ditandai oleh 0patch sebagai jalan pintas untuk CVE-2024-38030. Micropatches untuk kerentanan dirilis pada Oktober 2024.
Di sisi lain, ketiga masalah Microsoft Access disebabkan oleh Unpatched.ai, sebuah platform penemuan kerentanan yang dipandu AI. Action1 juga mencatat bahwa meskipun kelemahan tersebut dikategorikan sebagai kerentanan eksekusi kode jarak jauh (RCE), eksploitasi memerlukan penyerang untuk meyakinkan pengguna agar membuka file yang dibuat khusus.
Pembaruan ini juga penting untuk menutup lima kelemahan tingkat keparahan Kritis –
- CVE-2025-21294 (skor CVSS: 8.1) – Kerentanan Eksekusi Kode Jarak Jauh Otentikasi Microsoft Digest
- CVE-2025-21295 (skor CVSS: 8.1) – SPNEGO Extended Negotiation (NEGOEX) Mekanisme Keamanan Kerentanan Eksekusi Kode Jarak Jauh
- CVE-2025-21298 (skor CVSS: 9.8) – Kerentanan Eksekusi Kode Jarak Jauh Penautan dan Penyematan Objek Windows (OLE)
- CVE-2025-21307 (skor CVSS: 9.8) – Kerentanan Eksekusi Kode Jarak Jauh Windows Reliable Multicast Transport Driver (RMCAST)
- CVE-2025-21311 (skor CVSS: 9.8) – Windows NTLM V1 Peningkatan Kerentanan Hak Istimewa
“Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan email yang dibuat khusus kepada korban,” kata Microsoft dalam buletinnya untuk CVE-2025-21298.
Eksploitasi kerentanan mungkin melibatkan korban membuka email yang dibuat khusus dengan versi perangkat lunak Microsoft Outlook yang terpengaruh, atau aplikasi Outlook korban menampilkan pratinjau email yang dibuat khusus. Hal ini dapat mengakibatkan penyerang mengeksekusi kode jarak jauh pada email korban. mesin.”
Untuk melindungi dari kelemahan ini, disarankan agar pengguna membaca pesan email dalam format teks biasa. Mereka juga menyarankan penggunaan Microsoft Outlook untuk mengurangi risiko pengguna membuka File RTF dari sumber yang tidak dikenal atau tidak tepercaya.
“Kerentanan CVE-2025-21295 dalam mekanisme keamanan SPNEGO Extended Negotiation (NEGOEX) memungkinkan penyerang yang tidak diautentikasi untuk menjalankan kode berbahaya dari jarak jauh pada sistem yang terpengaruh tanpa interaksi pengguna,” kata Saeed Abbasi, manajer penelitian kerentanan di Qualys Threat Research Unit.

“Meskipun kompleksitas serangan (AC:H) tinggi, eksploitasi yang berhasil dapat sepenuhnya membahayakan infrastruktur perusahaan dengan melemahkan lapisan mekanisme keamanan inti, yang mengarah pada potensi pelanggaran data. Karena tidak diperlukan kredensial yang valid, risiko dampak luas menjadi signifikan, menyoroti perlunya perbaikan segera dan mitigasi yang waspada.”
Sedangkan untuk CVE-2025-21294, Microsoft mengatakan aktor jahat dapat berhasil mengeksploitasi kerentanan ini dengan menghubungkan ke sistem yang memerlukan otentikasi intisari, memicu kondisi perlombaan untuk membuat skenario penggunaan setelah bebas, dan kemudian memanfaatkannya untuk mengeksekusi kode arbitrer. .
“Microsoft Digest adalah aplikasi yang bertanggung jawab untuk melakukan otentikasi awal ketika server menerima respons tantangan pertama dari klien,” kata Ben Hopkins, insinyur keamanan siber di Immersive Labs. “Server bekerja dengan memeriksa bahwa klien belum diautentikasi. CVE-2025-21294 melibatkan eksploitasi proses ini bagi penyerang untuk mencapai eksekusi kode jarak jauh (RCE).”
Di antara daftar kerentanan yang telah ditandai sebagai lebih mungkin untuk dieksploitasi adalah kelemahan pengungkapan informasi yang mempengaruhi Windows BitLocker (CVE-2025-21210, skor CVSS: 4.2) yang memungkinkan pemulihan gambar hibernasi dalam teks biasa dengan asumsi penyerang adalah dapat memperoleh akses fisik ke hard disk mesin korban.
“Gambar hibernasi digunakan saat laptop dalam mode tidur dan berisi konten yang disimpan dalam RAM saat perangkat dimatikan,” kata Kev Breen, direktur senior penelitian ancaman di Immersive Labs.
“Hal ini menghadirkan potensi dampak yang signifikan karena RAM dapat berisi data sensitif (seperti kata sandi, kredensial, dan PII) yang mungkin ada dalam dokumen terbuka atau sesi browser dan semuanya dapat dipulihkan dengan alat gratis dari file hibernasi.”
Patch Perangkat Lunak dari Vendor Lain
Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk —