Pembaruan Windows terkena serangan zero-day
Patch Tuesday telah berlalu, dan kini kita dihadapkan pada apa yang dalam dunia keamanan siber dikenal sebagai Exploit Wednesday. Bulan ini, hal itu bisa jadi lebih bermasalah bagi pengguna Windows daripada biasanya karena Microsoft mengonfirmasi empat ancaman zero-day, termasuk seseorang yang dapat melewati fungsi keamanan Windows yang penting itu membantu bertahan melawan serangan ransomware.
Apa Itu CVE-2024-38217 dan Bagaimana Ia Membantu Peretas Ransomware?
Microsoft telah mengonfirmasi kerentanan umum dan paparan nomor 38217 tahun 2024, yang dikenal sebagai CVE-2024-38217dan itu buruk. Maksud saya, itu harus dianggap wajar mengingat itu digolongkan sebagai kerentanan zero-day. Menurut definisi Microsoft, kerentanan zero-day adalah cacat yang “belum ada patch resmi atau pembaruan keamanan yang dirilis.” Microsoft menambahkan bahwa kerentanan zero-day “sering kali memiliki tingkat keparahan yang tinggi dan dieksploitasi secara aktif.”
Dalam kasus CVE-2024-38217, kerentanan tersebut telah diungkapkan ke publik dan eksploitasi aktif telah terdeteksi. Hal ini menjadikannya skenario terburuk, hanya diimbangi oleh fakta bahwa perbaikan tersebut disertakan dalam peluncuran pembaruan keamanan Patch Tuesday yang baru.
Jadi, ancaman apa yang ditimbulkannya secara khusus? Itulah yang dikenal sebagai kerentanan pembobolan fitur keamanan karena memungkinkan penyerang untuk melewati perlindungan yang disediakan Mark of the Web bagi pengguna Windows. “Kerentanan ini memungkinkan penyerang untuk memanipulasi peringatan keamanan yang biasanya memberi tahu pengguna tentang risiko membuka file dari sumber yang tidak dikenal atau tidak tepercaya,” kata Saeed Abbasi, manajer penelitian kerentanan di Qualys Threat Research Unit. “Pembobolan MoTW serupa secara historis telah dikaitkan dengan serangan ransomware, yang risikonya tinggi.”
Ancaman Ransomware Kritis yang Dihadapi Pengguna Windows
Bulan lalu, Microsoft mengeluarkan peringatan untuk kerentanan MotW lain yang sedang dieksploitasi secara aktif, CVE-2024-38213yang terkait dengan keluarga malware terkenal yang disebut Gerbang Gelapyang digunakan oleh peretas Ransomware. Satnam Narang, teknisi riset staf senior di Tenable, memperingatkan bahwa, sebenarnya, ada dua kerentanan zero-day yang dapat melewati fitur keamanan dalam rilis pembaruan keamanan Windows terbaru ini. CVE-2024-38226 adalah kelemahan dalam Microsoft Publisher dan dapat menyebabkan pengabaian fitur keamanan penting yang memblokir makro Microsoft Office agar tidak berjalan. Dalam kedua kasus pengabaian tersebut, Narang berkata, “target perlu diyakinkan untuk membuka file yang dibuat khusus dari server yang dikendalikan penyerang. Perbedaannya adalah penyerang perlu diautentikasi ke sistem dan memiliki akses lokal ke sistem tersebut untuk mengeksploitasi CVE-2024-38226.” Narang mendesak organisasi untuk menempatkan kerentanan ini di bagian atas daftar perbaikan ancaman mereka.
