Microsoft menutup pembaruan Patch Tuesday untuk tahun 2024 dengan perbaikan untuk total 72 kelemahan keamanan yang mencakup portofolio perangkat lunaknya, termasuk satu yang dikatakan telah dieksploitasi secara liar.
Dari 72 kelemahan tersebut, 17 diantaranya berperingkat Kritis, 54 berperingkat Penting, dan satu berperingkat tingkat keparahan Sedang. Tiga puluh satu kerentanan merupakan kelemahan eksekusi kode jarak jauh, dan 27 di antaranya memungkinkan peningkatan hak istimewa.
Ini merupakan tambahan dari 13 kerentanan yang telah diatasi perusahaan pada browser Edge berbasis Chromium sejak rilis pembaruan keamanan bulan lalu. Secara total, Microsoft telah menyelesaikan sebanyak 1088 kerentanan pada tahun 2024 saja, menurut Fortra.
Kerentanan yang diakui Microsoft telah dieksploitasi secara aktif adalah CVE-2024-49138 (skor CVSS: 7.8), cacat eskalasi hak istimewa pada Driver Windows Common Log File System (CLFS).
“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” kata perusahaan itu dalam sebuah penasehat, memuji perusahaan keamanan siber CrowdStrike yang menemukan dan melaporkan kelemahan tersebut.
Perlu dicatat bahwa CVE-2024-49138 adalah kelemahan eskalasi hak istimewa CLFS kelima yang dieksploitasi secara aktif sejak tahun 2022 setelah CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, dan CVE-2023-28252 (skor CVSS: 7,8 ). Ini juga merupakan kerentanan kesembilan dalam komponen yang sama yang akan ditambal tahun ini.
“Meskipun rincian eksploitasi di alam bebas belum diketahui, melihat kembali sejarah kerentanan driver CLFS, menarik untuk dicatat bahwa operator ransomware telah mengembangkan kecenderungan untuk mengeksploitasi peningkatan kelemahan hak istimewa CLFS selama beberapa tahun terakhir. Satnam Narang, staf insinyur riset senior di Tenable, mengatakan kepada The Hacker News.
“Tidak seperti kelompok ancaman persisten tingkat lanjut yang biasanya berfokus pada presisi dan kesabaran, operator dan afiliasi ransomware berfokus pada taktik menghancurkan dan merebut dengan cara apa pun yang diperlukan. Dengan menggunakan peningkatan kelemahan hak istimewa seperti ini di CLFS, afiliasi ransomware dapat melewati situasi tertentu jaringan untuk mencuri dan mengenkripsi data dan mulai memeras korbannya.”
Fakta bahwa CLFS telah menjadi jalur serangan yang menarik bagi pelaku jahat tidak luput dari perhatian Microsoft, yang mengatakan pihaknya berupaya menambahkan langkah verifikasi baru saat menguraikan file log tersebut.
“Daripada mencoba memvalidasi nilai individual dalam struktur data file log, mitigasi keamanan ini memberikan CLFS kemampuan untuk mendeteksi ketika file log telah dimodifikasi oleh apa pun selain driver CLFS itu sendiri,” kata Microsoft pada akhir Agustus 2024. “Hal ini telah tercapai dengan menambahkan Kode Otentikasi Pesan Berbasis Hash (HMAC) di akhir file log.”
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan kelemahan tersebut ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), yang mengharuskan lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk menerapkan remediasi yang diperlukan paling lambat tanggal 31 Desember 2024.
Bug dengan tingkat keparahan tertinggi dalam rilis bulan ini adalah kelemahan eksekusi kode jarak jauh yang berdampak pada Windows Lightweight Directory Access Protocol (LDAP). Ini dilacak sebagai CVE-2024-49112 (skor CVSS: 9.8).
“Penyerang tidak terautentikasi yang berhasil mengeksploitasi kerentanan ini dapat memperoleh eksekusi kode melalui serangkaian panggilan LDAP yang dibuat khusus untuk mengeksekusi kode arbitrer dalam konteks layanan LDAP,” kata Microsoft.
Yang juga perlu diperhatikan adalah dua kelemahan eksekusi kode jarak jauh lainnya yang berdampak pada Windows Hyper-V (CVE-2024-49117, skor CVSS: 8.8), Klien Desktop Jarak Jauh (CVE-2024-49105, skor CVSS: 8.4), dan Microsoft Muzic (CVE- 2024-49063, skor CVSS: 8.4).
Perkembangan ini terjadi ketika 0patch merilis perbaikan tidak resmi untuk kerentanan zero-day Windows yang memungkinkan penyerang menangkap kredensial NT LAN Manager (NTLM). Detail tambahan tentang kelemahan tersebut dirahasiakan hingga patch resmi tersedia.
Kerentanan ini memungkinkan penyerang mendapatkan kredensial NTLM pengguna hanya dengan meminta pengguna melihat file berbahaya di Windows Explorer – misalnya, dengan membuka folder bersama atau disk USB dengan file tersebut, atau melihat folder Unduhan tempat file tersebut sebelumnya diunduh secara otomatis. dari halaman web penyerang,” kata Mitja Kolsek.
Pada akhir Oktober, patch tidak resmi gratis juga tersedia untuk mengatasi kerentanan zero-day Tema Windows yang memungkinkan penyerang mencuri kredensial NTLM target dari jarak jauh.
0patch juga telah mengeluarkan micropatches untuk kerentanan lain yang sebelumnya tidak diketahui pada Windows Server 2012 dan Server 2012 R2 yang memungkinkan penyerang melewati perlindungan Mark-of-the-Web (MotW) pada jenis file tertentu. Masalah ini diyakini telah muncul lebih dari dua tahun lalu.
Dengan NTLM yang mengalami eksploitasi ekstensif melalui serangan relay dan pass-the-hash, Microsoft telah mengumumkan rencana untuk menghentikan protokol otentikasi lama dan mendukung Kerberos. Selain itu, mereka telah mengambil langkah untuk mengaktifkan Perlindungan Diperluas untuk Otentikasi (EPA) secara default untuk penginstalan Exchange 2019 yang baru dan yang sudah ada.
Microsoft mengatakan telah meluncurkan peningkatan keamanan serupa ke Azure Directory Certificate Services (AD CS) dengan mengaktifkan EPA secara default dengan rilis Windows Server 2025, yang juga menghapus dukungan untuk NTLM v1 dan menghentikan NTLM v2. Perubahan ini juga berlaku untuk Windows 11 24H2.
“Selain itu, sebagai bagian dari rilis Windows Server 2025 yang sama, LDAP kini mengaktifkan pengikatan saluran secara default,” kata tim keamanan Redmond awal pekan ini. “Peningkatan keamanan ini memitigasi risiko serangan relai NTLM secara default di tiga layanan lokal: Exchange Server, Active Directory Certificate Services (AD CS), dan LDAP.”
“Seiring dengan kemajuan kami dalam menonaktifkan NTLM secara default, perubahan jangka pendek dan langsung, seperti mengaktifkan EPA di Exchange Server, AD CS, dan LDAP memperkuat postur 'aman secara default' dan melindungi pengguna dari serangan di dunia nyata.”
Patch Perangkat Lunak dari Vendor Lain
Di luar Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk —
