Microsoft pada hari Selasa merilis perbaikan untuk 63 kelemahan keamanan yang berdampak pada produk perangkat lunaknya, termasuk dua kerentanan yang katanya telah di bawah eksploitasi aktif di alam liar.
Dari 63 kerentanan, tiga dinilai kritis, 57 dinilai penting, satu dinilai sedang, dan dua dinilai rendah. Ini selain dari 23 kelemahan Microsoft yang dibahas di browser Edge berbasis kromium sejak rilis pembaruan Patch Tuesday bulan lalu.
Pembaruan ini terkenal karena memperbaiki dua kekurangan yang dieksploitasi secara aktif –
- CVE-2025-21391 (Skor CVSS: 7.1) – Ketinggian penyimpanan Windows dari kerentanan hak istimewa
- CVE-2025-21418 (Skor CVSS: 7.8) – Driver Fungsi Tambahan Windows untuk Winsock Elevation of Privilege Volnerability
“Seorang penyerang hanya akan dapat menghapus file yang ditargetkan pada suatu sistem,” kata Microsoft dalam peringatan untuk CVE-2025-21391. “Kerentanan ini tidak memungkinkan pengungkapan informasi rahasia apa pun, tetapi dapat memungkinkan penyerang untuk menghapus data yang dapat mencakup data yang mengakibatkan layanan tidak tersedia.”
Mike Walters, presiden dan co-founder Action1, mencatat bahwa kerentanan dapat dirantai dengan kelemahan lain untuk meningkatkan hak istimewa dan melakukan tindakan lanjutan yang dapat memperumit upaya pemulihan dan memungkinkan aktor ancaman untuk menutupi jejak mereka dengan menghapus artefak forensik penting.
CVE-2025-21418, di sisi lain, menyangkut kasus eskalasi hak istimewa di AfD.sys yang dapat dieksploitasi untuk mencapai hak istimewa sistem.
Perlu dicatat bahwa cacat yang sama dalam komponen yang sama (CVE-2024-38193) diungkapkan oleh Gen Digital Agustus lalu sebagai dipersenjatai oleh Grup Lazarus yang terkait dengan Korea Utara. Pada bulan Februari 2024, raksasa teknologi ini juga menyambungkan cacat eskalasi hak istimewa Windows Kernel (CVE-2024-21338) yang memengaruhi driver applocker (AppID.SYS) yang juga dieksploitasi oleh kru peretasan.
Rantai serangan ini menonjol karena mereka melampaui serangan tradisional membawa driver rentan Anda sendiri (BYOVD) dengan mengambil keuntungan dari cacat keamanan pada pengemudi Windows asli, sehingga meniadakan perlunya memperkenalkan pengemudi lain ke lingkungan target.
Saat ini tidak diketahui apakah penyalahgunaan CVE-2025-21418 juga terkait dengan kelompok Lazarus. Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan kedua kelemahan pada katalog kerentanan yang diketahui dieksploitasi (KEV), yang mengharuskan agen federal untuk menerapkan tambalan pada 4 Maret 2025.
Kelemahan paling parah yang ditangani oleh Microsoft dalam pembaruan bulan ini adalah CVE-2025-21198 (skor CVSS: 9.0), kerentanan eksekusi kode jarak jauh (RCE) dalam paket komputasi kinerja tinggi (HPC).
“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTPS yang dibuat khusus ke simpul kepala yang ditargetkan atau simpul komputasi Linux yang memberi mereka kemampuan untuk melakukan RCE pada cluster atau node lain yang terhubung ke simpul kepala yang ditargetkan,” kata Microsoft.
Juga layak disebutkan adalah kerentanan RCE lain (CVE-2025-21376, skor CVSS: 8.1) yang berdampak pada Windows Lightweight Access Protocol (LDAP) yang memungkinkan penyerang untuk mengirim permintaan yang dibuat khusus dan menjalankan kode sewenang-wenang. Namun, eksploitasi cacat yang berhasil membutuhkan aktor ancaman untuk memenangkan kondisi balapan.
“Mengingat bahwa LDAP merupakan bagian integral dari Active Directory, yang mendukung otentikasi dan kontrol akses di lingkungan perusahaan, kompromi dapat menyebabkan gerakan lateral, eskalasi hak istimewa, dan pelanggaran jaringan yang meluas,” kata Ben McCarthy, insinyur cybersecurity di laboratorium imersif, mengatakan.
Di tempat lain, pembaruan juga menyelesaikan kerentanan pengungkapan hash NTLMV2 (CVE-2025-21377, skor CVSS: 6.5) bahwa, jika berhasil dieksploitasi, dapat mengizinkan penyerang untuk mengotentikasi sebagai pengguna yang ditargetkan.
Patch perangkat lunak dari vendor lain
Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain selama beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, termasuk –
