Penyerang secara aktif mengeksploitasi sebanyak enam dari 90 kerentanan yang diungkapkan Microsoft dalam pembaruan keamanannya pada bulan Agustus, menjadikannya prioritas utama bagi administrator pada Patch Tuesday ini.
Empat CVE lainnya dalam pembaruan Microsoft diketahui publik sebelum pengungkapan pada tanggal 13 Agustus, yang juga menjadikannya semacam zero-day, meskipun penyerang belum mulai mengeksploitasinya. Di antaranya, bug peningkatan hak istimewa (EoP) di Windows Update Stack, dilacak sebagai CVE-2024-38202, sangat meresahkan karena Microsoft belum memiliki patch untuk itu.
Zero-Day yang belum ditambal
Cacat yang belum ditambal tersebut memungkinkan penyerang dengan “hak istimewa pengguna dasar untuk memperkenalkan kembali kerentanan yang sebelumnya telah diatasi atau menghindari beberapa fitur Keamanan Berbasis Virtualisasi (VBS),” menurut Microsoft. Perusahaan tersebut telah menilai bug tersebut hanya memiliki tingkat keparahan sedang karena penyerang perlu mengelabui administrator atau pengguna dengan izin yang didelegasikan untuk melakukan pemulihan sistem.
Namun, Scott Caveza, staf insinyur penelitian di Tenable, mengatakan bahwa jika penyerang menggabungkan CVE-2024-38202 dengan CVE-2024-21302 (cacat EoP dalam pembaruan terkini yang memengaruhi Windows Secure Kernel), mereka akan dapat mengembalikan pembaruan perangkat lunak tanpa perlu berinteraksi dengan pengguna yang memiliki hak istimewa. “CVE-2024-38202 memang memerlukan 'interaksi tambahan oleh pengguna yang memiliki hak istimewa,' menurut Microsoft,” katanya. “Namun, penggabungan CVE-2024-21302 memungkinkan penyerang untuk menurunkan versi atau mengembalikan versi perangkat lunak tanpa perlu berinteraksi dengan korban dengan hak istimewa yang lebih tinggi.”
Caveza mengatakan setiap kerentanan dapat dieksploitasi secara terpisah, tetapi jika digabungkan, keduanya berpotensi menimbulkan dampak yang lebih signifikan.
Secara keseluruhan, tujuh bug yang diungkapkan Microsoft minggu ini dinilai kritis. Perusahaan menilai 79 CVE — termasuk zero-day yang dieksploitasi secara aktif oleh penyerang — sebagai “Penting,” atau tingkat keparahan sedang, karena melibatkan beberapa tingkat interaksi pengguna atau persyaratan lain bagi penyerang untuk mengeksploitasinya. “Meskipun ini bukan rilis terbesar, tidak biasa melihat begitu banyak bug yang terdaftar sebagai publik atau sedang diserang secara aktif dalam satu rilis,” kata Dustin Childs, kepala kesadaran ancaman di Zero Day Initiative (ZDI) Trend Micro. dalam sebuah postingan blog.
Zero-Days Dalam Eksploitasi Aktif
Dua dari kerentanan yang diserang secara aktif memungkinkan eksekusi kode jarak jauh (RCE) pada sistem yang terpengaruh. Salah satunya, CVE-2024-38189memengaruhi Kode Jarak Jauh Microsoft Project dan memengaruhi organisasi yang telah menonaktifkannya Pengaturan Pemberitahuan Makro VBA pada sistem mereka. Dalam situasi ini, penyerang dapat mengeksekusi kode arbitrer dari jarak jauh jika mereka dapat meyakinkan pengguna untuk membuka file Microsoft Office Project yang berbahaya. “Sangat aneh melihat bug eksekusi kode di Project, tetapi bukan hanya ada satu di sini, bug ini juga dieksploitasi secara liar,” kata Childs. “Sebagian besar, ini adalah bug yang biasa dibuka dan dimiliki sendiri, tetapi dalam kasus ini, target memungkinkan makro untuk dijalankan dari Internet.”
RCE zero-day lainnya dalam pembaruan terbaru Microsoft adalah CVE-2024-38178, kerentanan kerusakan memori di Windows Scripting Engine Memory atau Script Host. “Pemanfaatan kerentanan ini secara sukses mengharuskan penyerang untuk terlebih dahulu mempersiapkan target sehingga menggunakan Edge dalam Mode Internet Explorer: Pengguna harus mengeklik URL yang dibuat khusus agar dapat disusupi oleh serangan tersebut,” kata Microsoft.
Kev Breen, direktur senior penelitian ancaman di Immersive Labs, mengatakan meskipun IE bukan mode default bagi sebagian besar pengguna saat ini, fakta bahwa penyerang secara aktif mengeksploitasi kelemahan tersebut menunjukkan bahwa ada organisasi yang menggunakan konfigurasi ini. “Mode Internet Explorer digunakan saat situs web atau aplikasi lama dibuat khusus untuk Internet Explorer dan tidak didukung oleh browser HTML5 modern seperti browser berbasis Chromium,” kata Breen dalam pernyataan melalui email. “Untuk situs dan aplikasi ini, organisasi atau pengguna dapat mengaktifkan mode lama ini untuk menjaga kompatibilitas dengan aplikasi tersebut,” dan dengan demikian dapat berisiko melalui kelemahan yang baru diungkapkan tersebut.
Tiga dari zero-day dalam pembaruan ini yang secara aktif dieksploitasi oleh penyerang — CVE-2024-38106Bahasa Indonesia: CVE-2024-38107Dan CVE-2024-38193 — mengaktifkan serangan untuk meningkatkan hak istimewa ke status admin sistem.
Di antara semuanya, CVE-2024-38106 sangat serius karena terdapat di Kernel Windows. “Masalah mendasar dengan CVE-2024-38106 berasal dari kondisi balapan yang dikombinasikan dengan penanganan memori yang tidak tepat di dalam Kernel Windows,” kata Mike Walters, presiden dan CEO Action 1, dalam komentar melalui email. “Data sensitif, yang seharusnya diamankan dalam memori terkunci, justru rentan di wilayah yang dapat diakses dan dimodifikasi,” jika penyerang dapat memenangkan kondisi balapan dengan waktu yang tepat.
CVE-2024-38107 pada Windows Power Dependency dan CVE-2024-38193 pada Windows Ancillary Function Driver untuk WinSock juga memungkinkan penyerang untuk mendapatkan hak istimewa tingkat sistem. Ketiga kelemahan EoP tersebut memengaruhi berbagai komponen inti OS, kata Breen. “Seorang penyerang harus sudah mendapatkan eksekusi kode pada mesin korban, baik melalui gerakan lateral atau eksploitasi lain, misalnya, dokumen berbahaya,” untuk memanfaatkan kelemahan tersebut.
Eksploitasi zero-day aktif lainnya adalah CVE-2024-38213, kelemahan yang memungkinkan penyerang untuk melewati perlindungan keamanan Windows Mark of the Web (MoTW). Kelemahan ini serupa dengan kerentanan serupa lainnya di MoTW dan memberi penyerang cara untuk menyelinapkan file dan konten Web berbahaya ke dalam lingkungan perusahaan tanpa menandainya sebagai tidak tepercaya. “Kerentanan ini tidak dapat dieksploitasi sendiri,” kata Breen “dan biasanya dilihat sebagai bagian dari rantai eksploitasi, misalnya, memodifikasi dokumen berbahaya atau file exe untuk menyertakan jalan pintas ini sebelum mengirim file melalui email atau mendistribusikannya di situs web yang disusupi.”
