Microsoft pada hari Selasa mengungkapkan bahwa dua kelemahan keamanan yang berdampak pada Windows NT LAN Manager (NTLM) dan Task Scheduler telah dieksploitasi secara aktif.
Kerentanan keamanan ini termasuk di antara 90 bug keamanan yang ditangani raksasa teknologi itu sebagai bagian dari pembaruan Patch Tuesday untuk November 2024. Dari 90 kelemahan tersebut, empat di antaranya berperingkat Kritis, 85 berperingkat Penting, dan satu berperingkat tingkat keparahan Sedang. Lima puluh dua dari kerentanan yang ditambal adalah kelemahan eksekusi kode jarak jauh.
Perbaikan ini merupakan tambahan dari 31 kerentanan yang diselesaikan Microsoft di browser Edge berbasis Chromium sejak rilis pembaruan Patch Tuesday Oktober 2024. Dua kerentanan yang terdaftar sebagai dieksploitasi secara aktif adalah di bawah ini –
- CVE-2024-43451 (Skor CVSS: 6.5) – Kerentanan Spoofing Pengungkapan Hash Windows NTLM
- CVE-2024-49039 (Skor CVSS: 8.8) – Peningkatan Kerentanan Hak Istimewa Penjadwal Tugas Windows
“Kerentanan ini mengungkapkan hash NTLMv2 pengguna kepada penyerang yang dapat menggunakan ini untuk mengautentikasi sebagai pengguna,” kata Microsoft dalam peringatan untuk CVE-2024-43451, memuji peneliti ClearSky Israel Yeshurun yang menemukan dan melaporkan kelemahan tersebut.
Perlu dicatat bahwa CVE-2024-43451 adalah kelemahan ketiga setelah CVE-2024-21410 (ditambal pada bulan Februari) dan CVE-2024-38021 (ditambal pada bulan Juli) yang dapat digunakan untuk mengungkap hash NTLMv2 pengguna dan telah dieksploitasi di liar tahun ini saja.
“Penyerang tetap bersikeras untuk menemukan dan mengeksploitasi kerentanan zero-day yang dapat mengungkap hash NTLMv2, karena kerentanan tersebut dapat digunakan untuk mengautentikasi sistem dan berpotensi berpindah ke samping dalam jaringan untuk mengakses sistem lain,” Satnam Narang, staf senior riset insinyur di Dapat dipertahankan, kata dalam sebuah pernyataan.
CVE-2024-49039, di sisi lain, dapat memungkinkan penyerang menjalankan fungsi RPC yang terbatas pada akun yang memiliki hak istimewa. Namun, Microsoft mencatat bahwa eksploitasi yang berhasil memerlukan penyerang yang terotentikasi untuk menjalankan aplikasi yang dibuat khusus pada sistem target untuk terlebih dahulu meningkatkan hak istimewa mereka ke Tingkat Integritas Menengah.
Vlad Stolyarov dan Bahare Sabouri dari Grup Analisis Ancaman (TAG) Google dan seorang peneliti anonim telah diakui karena melaporkan kerentanan tersebut. Hal ini meningkatkan kemungkinan bahwa eksploitasi zero-day atas kelemahan tersebut dikaitkan dengan kelompok yang selaras dengan negara-bangsa atau aktor ancaman persisten tingkat lanjut (APT).
Saat ini belum ada informasi mengenai bagaimana kelemahan tersebut dieksploitasi atau seberapa luas serangan ini terjadi, namun perkembangan tersebut telah mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk menambahkan kelemahan tersebut ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV).
Salah satu kelemahan zero-day yang diungkapkan secara publik, namun belum dieksploitasi adalah CVE-2024-49019 (skor CVSS: 7.8), kerentanan peningkatan hak istimewa dalam Layanan Sertifikat Direktori Aktif yang dapat dimanfaatkan untuk mendapatkan hak istimewa admin domain. Rincian kerentanan, yang disebut EKUwu, didokumentasikan oleh TrustedSec bulan lalu.
Kerentanan lain yang perlu diperhatikan adalah CVE-2024-43498 (skor CVSS: 9.8), bug eksekusi kode jarak jauh yang penting di .NET dan Visual Studio yang dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi dengan mengirimkan permintaan yang dibuat khusus ke aplikasi web .NET yang rentan atau dengan memuat file yang dibuat khusus ke aplikasi desktop yang rentan.
Pembaruan ini juga memperbaiki kelemahan protokol kriptografi penting yang berdampak pada Windows Kerberos (CVE-2024-43639, skor CVSS: 9.8) yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh.
Kerentanan dengan peringkat tertinggi dalam rilis bulan ini adalah kelemahan eksekusi kode jarak jauh di Azure CycleCloud (CVE-2024-43602, skor CVSS: 9.9), yang memungkinkan penyerang dengan izin pengguna dasar untuk mendapatkan hak istimewa tingkat root.
“Kemudahan eksploitasi semudah mengirimkan permintaan ke kluster AzureCloud CycleCloud yang rentan yang akan mengubah konfigurasinya,” kata Narang. “Ketika organisasi terus beralih ke penggunaan sumber daya cloud, akibatnya permukaan serangan semakin meluas.”
Terakhir, CVE non-Microsoft yang ditangani oleh Redmond merupakan kelemahan eksekusi kode jarak jauh di OpenSSL (CVE-2024-5535, skor CVSS: 9.1). Ini awalnya ditambal oleh pengelola OpenSSL pada bulan Juni 2024.
“Eksploitasi kerentanan ini mengharuskan penyerang mengirimkan tautan jahat ke korban melalui email, atau mereka meyakinkan pengguna untuk mengklik tautan tersebut, biasanya dengan cara membujuk melalui email atau pesan Instant Messenger,” kata Microsoft.
“Dalam skenario serangan email terburuk, penyerang dapat mengirim email yang dibuat khusus kepada pengguna tanpa mengharuskan korban membuka, membaca, atau mengeklik tautan tersebut. Hal ini dapat mengakibatkan penyerang mengeksekusi kode jarak jauh di mesin korban .”
Bertepatan dengan pembaruan keamanan bulan November, Microsoft juga mengumumkan penerapan Common Security Advisory Framework (CSAF), sebuah standar OASIS untuk mengungkapkan kerentanan dalam bentuk yang dapat dibaca mesin, untuk semua CVE guna mempercepat upaya respons dan remediasi.
“File CSAF dimaksudkan untuk lebih banyak digunakan oleh komputer dibandingkan oleh manusia, jadi kami menambahkan file CSAF sebagai tambahan pada saluran data CVE kami yang sudah ada, bukan sebagai pengganti,” kata perusahaan itu. “Ini adalah awal dari perjalanan untuk terus meningkatkan transparansi seputar rantai pasokan kami dan kerentanan yang kami atasi dan selesaikan di seluruh rantai pasokan kami, termasuk Perangkat Lunak Sumber Terbuka yang tertanam dalam produk kami.”
Patch Perangkat Lunak dari Vendor Lain
Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk —