Microsoft telah mengatasi empat kelemahan keamanan yang berdampak pada kecerdasan buatan (AI), cloud, perencanaan sumber daya perusahaan, dan penawaran Pusat Mitra, termasuk satu kelemahan yang dikatakan telah dieksploitasi secara liar.
Kerentanan yang telah ditandai dengan penilaian “Terdeteksi Eksploitasi” adalah CVE-2024-49035 (skor CVSS: 8.7), sebuah kelemahan eskalasi hak istimewa di partner.microsoft[.]com.
“Kerentanan kontrol akses yang tidak tepat di partner.microsoft[.]com memungkinkan penyerang yang tidak diautentikasi untuk meningkatkan hak istimewa melalui jaringan,” kata raksasa teknologi itu dalam sebuah peringatan yang dirilis minggu ini.
Microsoft memuji Gautam Peri, Apoorv Wadhwa, dan seorang peneliti anonim yang melaporkan kelemahan tersebut, namun tidak mengungkapkan secara spesifik bagaimana kelemahan tersebut dieksploitasi dalam serangan di dunia nyata.
Perbaikan untuk kekurangan ini diluncurkan secara otomatis sebagai bagian dari pembaruan versi online Microsoft Power Apps. Juga ditangani oleh Redmond adalah tiga kerentanan lainnya, dua di antaranya berperingkat Kritis dan satu berperingkat Penting dalam tingkat keparahan –
- CVE-2024-49038 (skor CVSS: 9.3) – Kerentanan skrip lintas situs (XSS) di Copilot Studio yang memungkinkan penyerang tidak sah meningkatkan hak istimewa melalui jaringan
- CVE-2024-49052 (skor CVSS: 8.2) – Otentikasi hilang untuk kerentanan fungsi penting di Microsoft Azure PolicyWatch yang memungkinkan penyerang tidak sah meningkatkan hak istimewa melalui jaringan
- CVE-2024-49053 (skor CVSS: 7.6) – Kerentanan spoofing di Microsoft Dynamics 365 Sales yang memungkinkan penyerang terotentikasi mengelabui pengguna agar mengeklik URL yang dibuat khusus dan berpotensi mengarahkan korban ke situs berbahaya
Meskipun sebagian besar kerentanan telah sepenuhnya dimitigasi dan tidak memerlukan tindakan pengguna, disarankan untuk memperbarui aplikasi Dynamics 365 Sales untuk Android dan iOS ke versi terbaru (3.24104.15) agar aman dari CVE-2024-49053.
