Microsoft telah merilis pembaruan keamanan untuk memperbaiki total 118 kerentanan di seluruh portofolio perangkat lunaknya, dua di antaranya telah dieksploitasi secara aktif.
Dari 118 kelemahan, tiga diantaranya berperingkat Kritis, 113 berperingkat Penting, dan dua berperingkat tingkat keparahan Sedang. Pembaruan Patch Tuesday tidak menyertakan 25 kelemahan tambahan yang telah diatasi oleh raksasa teknologi itu di browser Edge berbasis Chromium selama sebulan terakhir.
Lima dari kerentanan terdaftar sebagai kerentanan yang diketahui publik pada saat dirilis, dengan dua di antaranya berada dalam eksploitasi aktif sebagai zero-day –
- CVE-2024-43572 (Skor CVSS: 7.8) – Kerentanan Eksekusi Kode Jarak Jauh Konsol Manajemen Microsoft (Eksploitasi terdeteksi)
- CVE-2024-43573 (Skor CVSS: 6.5) – Kerentanan Spoofing Platform Windows MSHTML (Eksploitasi Terdeteksi)
- CVE-2024-43583 (Skor CVSS: 7.8) – Peningkatan Kerentanan Hak Istimewa Winlogon
- CVE-2024-20659 (Skor CVSS: 7.1) – Kerentanan Bypass Fitur Keamanan Windows Hyper-V
- CVE-2024-6197 (Skor CVSS: 8.8) – Kerentanan Eksekusi Kode Jarak Jauh Curl Sumber Terbuka (non-Microsoft CVE)
Perlu dicatat bahwa CVE-2024-43573 mirip dengan CVE-2024-38112 dan CVE-2024-43461, dua kelemahan spoofing MSHTML lainnya yang telah dieksploitasi sebelum Juli 2024 oleh aktor ancaman Void Banshee untuk mengirimkan malware Atlantida Stealer.
Microsoft tidak menyebutkan bagaimana kedua kerentanan tersebut dieksploitasi, dan oleh siapa, atau seberapa luas penyebarannya. Mereka memuji peneliti Andres dan Shady karena melaporkan CVE-2024-43572, namun tidak ada pengakuan yang diberikan untuk CVE-2024-43573, sehingga meningkatkan kemungkinan bahwa ini bisa menjadi kasus patch bypass.
“Sejak penemuan CVE-2024-43572, Microsoft sekarang mencegah file MSC yang tidak tepercaya dibuka di sistem,” Satnam Narang, staf insinyur riset senior di Tenable, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
Eksploitasi aktif CVE-2024-43572 dan CVE-2024-43573 juga telah dicatat oleh Badan Keamanan Siber dan Infrastruktur AS (CISA), yang menambahkannya ke katalog Kerentanan yang Diketahui Dieksploitasi (KEV), yang mengharuskan lembaga federal untuk menerapkan kerentanan tersebut. perbaikan paling lambat tanggal 29 Oktober 2024.
Di antara semua kelemahan yang diungkapkan oleh Redmond pada hari Selasa, yang paling parah adalah kelemahan eksekusi jarak jauh di Microsoft Configuration Manager (CVE-2024-43468, skor CVSS: 9.8) yang memungkinkan aktor yang tidak diautentikasi menjalankan perintah sewenang-wenang.
“Penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan yang dibuat khusus ke lingkungan target yang diproses dengan cara yang tidak aman sehingga memungkinkan penyerang untuk menjalankan perintah di server dan/atau database yang mendasarinya,” katanya.
Dua kelemahan tingkat Kritis lainnya juga terkait dengan eksekusi kode jarak jauh dalam ekstensi Visual Studio Code untuk Arduino (CVE-2024-43488, skor CVSS: 8.8) dan Server Remote Desktop Protocol (RDP) (CVE-2024-43582, skor CVSS: 8.1).
“Eksploitasi mengharuskan penyerang untuk mengirim paket yang sengaja dirusak ke host Windows RPC, dan mengarah pada eksekusi kode dalam konteks layanan RPC, meskipun hal ini dalam praktiknya mungkin bergantung pada faktor-faktor termasuk konfigurasi Pembatasan Antarmuka RPC pada aset target, ” Adam Barnett, insinyur perangkat lunak utama di Rapid7, menceritakan tentang CVE-2024-43582.
“Satu hikmahnya: kompleksitas serangan tinggi, karena penyerang harus memenangkan perlombaan agar dapat mengakses memori secara tidak benar.”
Patch Perangkat Lunak dari Vendor Lain
Di luar Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk —
