Bug EoP Microsoft Windows Hyper-V sedang dieksploitasi secara aktif • The Register

Selasa Patch Bersihkan buku harian administrator sistem Microsoft Anda: Kumpulan perbaikan pada Patch Tuesday Juli milik Redmond sungguh hebat, dengan sedikitnya dua bug yang sedang dieksploitasi secara aktif.

Pembaruan perangkat lunak hari Selasa membahas lebih dari 130 CVE Microsoft.

Yang pertama dari dua kerentanan yang pasti terjadi di bawah eksploitasi aktif – CVE-2024-38080 – adalah kelemahan peningkatan hak istimewa Windows Hyper-V dengan peringkat CVSS 7,8 dari 10, yang dianggap “penting” oleh Microsoft.

Kita tidak tahu seberapa luas eksploitasi yang satu ini, meskipun Microsoft mencatat “seorang penyerang yang berhasil mengeksploitasi kerentanan ini bisa mendapatkan hak istimewa sistem.” Ditambah lagi, seperti yang dikatakan Dustin Childs dari Zero Day Initiative menunjukaneksploitasi ini akan terbukti cukup berguna untuk ransomware. Jika Anda menjalankan Hyper-V, uji dan terapkan pembaruan ini.

Bug kedua yang terdaftar telah ditemukan dan dieksploitasi oleh penjahat sebelum Redmond mengeluarkan patch adalah kerentanan spoofing platform MSHTML Windows yang dilacak sebagai CVE-2024-38112MSHTML (alias Trident) adalah mesin peramban milik Microsoft untuk Internet Explorer, dan yang ini menerima skor keparahan CVSS 7,5.

Memang diperlukan interaksi pengguna untuk mengeksploitasinya. Seperti yang dijelaskan Redmond: “Seorang penyerang harus mengirim file berbahaya kepada korban yang harus dieksekusi oleh korban.” Haifei Li dari Check Point Research menemukan dan melaporkan kelemahan tersebut kepada Microsoft.

Hasil eksploitasinya tidak jelas, meskipun tampaknya hal itu menyebabkan sesuatu seperti informasi atau sumber daya terekspos ke orang yang salah. Mengingat maraknya serangan rekayasa sosial yang berhasil akhir-akhir ini – dan fakta bahwa Microsoft telah mendeteksi eksploitasi CVE ini – kami telah melihat berkali-kali bahwa membuat pengguna mengeklik tautan berbahaya cukup mudah. ​​Jadi, tambal ini sebelum klik buruk berikutnya memicu CVE-2024-38112.

Bug CVE pertama dari dua bug yang terdaftar sebagai bug yang diungkapkan ke publik namun tidak dieksploitasi ke publik adalah CVE-2024-35264 – kerentanan eksekusi kode jarak jauh di .NET dan Visual Studio. Untuk mengeksploitasi kerentanan ini, penyerang perlu memicu kondisi persaingan untuk mengizinkan akses data yang tidak sesuai. Namun, mereka dapat menggunakannya untuk mencapai eksekusi kode jarak jauh (RCE).

Menurut Redmond: “Seorang penyerang dapat mengeksploitasi hal ini dengan menutup aliran http/3 saat isi permintaan sedang diproses yang menyebabkan kondisi persaingan.” Radek Zikmund dari Microsoft sendiri menemukan kelemahan ini.

Bug kedua yang diketahui tetapi belum dieksploitasi – CVE-2024-37985 – memengaruhi sistem operasi Redmond berbasis Arm dan memperoleh peringkat CVSS 5,9. Ini adalah serangan saluran samping dari tahun 2023 dijuluki Ambil Bangku yang dapat disalahgunakan untuk membocorkan informasi rahasia.

Lima CVE Microsoft yang penting

Dari CVE Microsoft yang tersisa, lima di antaranya memiliki tingkat keparahan kritis dan tiga di antaranya – CVE-2024-38074Bahasa Indonesia: CVE-2024-38076 Dan CVE-2024-38077 – adalah bug RCE dengan peringkat 9,8 di Windows Remote Desktop Licensing Service. Redmond menggambarkan ketiganya sebagai “tidak mungkin dieksploitasi.”

Saran Childs dari Zero Day Initiative mengenai CVE-2024-38077 adalah bahwa “eksploitasi ini harus mudah, karena setiap pengguna yang tidak diautentikasi dapat mengeksekusi kode mereka hanya dengan mengirimkan pesan berbahaya ke server yang terpengaruh.”

Ia menyarankan untuk memastikan server-server ini tidak dapat diakses melalui internet. “Jika banyak server ini terhubung ke internet, saya perkirakan akan segera terjadi eksploitasi,” Childs memperingatkan. “Sekarang juga saat yang tepat untuk mengaudit server Anda guna memastikan server tersebut tidak menjalankan layanan yang tidak perlu.”

Dua bug kritis Microsoft lainnya termasuk CVE-2024-38060 – RCE dengan peringkat 8,8 pada Komponen Pencitraan Windows yang dapat dieksploitasi oleh setiap pengguna terautentikasi yang mengunggah file TIFF berbahaya ke server.

Hal yang perlu diperhatikan adalah CVE-2024-38023 – kelemahan dengan peringkat 7,2 di Microsoft SharePoint Server yang juga dapat menyebabkan RCE. “Penyerang yang diautentikasi dengan izin Pemilik Situs dapat menggunakan kerentanan untuk menyuntikkan kode sembarangan dan menjalankan kode ini dalam konteks SharePoint Server,” jelas Redmond.

Adobe mencerahkan

Dump patch bulanan Adobe hanya membahas tiga produk dan tujuh CVE – tidak satu pun di antaranya tampaknya ditemukan dan dieksploitasi oleh penjahat.

Itulah kabar baiknya. Kabar buruknya adalah enam dari tujuh bug kritis dapat menyebabkan eksekusi kode sembarangan.

Pembaruan hari ini mengatasi satu kerentanan kritis – CVE-2024-34123 – di Adobe Premiere Prodan empat kelemahan kritis lainnya – CVE-2024-20781, CVE-2024-20782, CVE-2024-20783, CVE-2024-20785 – di DalamDesain. Patch untuk Jembatan Adobe memperbaiki dua kerentanan – salah satunya (CVE-2024-34139) dinilai kritis dan lainnya (CVE-2024-34140) penting karena dapat memungkinkan kebocoran memori.

Catatan keamanan SAP

SAP merilis 18 perbaikan baru dan yang diperbarui, dua di antaranya merupakan perbaikan berprioritas tinggi.

Catatan keamanan #3483344 adalah yang paling kritis dari semuanya. Ini adalah kerentanan pemeriksaan otorisasi yang hilang dalam SAP Product Design Cost Estimating (PDCE) yang memperoleh skor CVSS 7,7.

“Modul fungsi yang diaktifkan dari jarak jauh di SAP PDCE memungkinkan penyerang jarak jauh untuk membaca data tabel generik dan dengan demikian menimbulkan risiko tinggi terhadap kerahasiaan sistem,” kata peneliti keamanan SAP Onapsis Research Labs Thomas Fritsch diperingatkan“Patch tersebut menonaktifkan modul fungsi yang rentan.”

Fortinet memperbaiki kekurangannya

Fortinet memperbaiki kerentanan skrip lintas situs yang dilacak sebagai CVE-2024-26006 di FortiOS dan UI SSL VPN web FortiProxy. “Hal ini dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melakukan serangan Cross-Site Scripting melalui rekayasa sosial pengguna yang menjadi target untuk menandai server samba yang berbahaya, lalu membuka penanda tersebut,” vendor memperingatkan.

Kelompok infosec juga menambal CVE-2024-26015 dalam fitur validasi alamat IP FortiOS dan FortiProxy. Ini adalah bug yang dapat disalahgunakan oleh penyerang yang tidak diautentikasi untuk melewati daftar blokir IP menggunakan permintaan yang dibuat khusus.

Citrix ikut serta dalam pesta

Citrix mengatasi CVE-2024-6151 dan CVE-2024-6286 – keduanya merupakan kelemahan peningkatan hak istimewa yang mendapat peringkat 8.5 Agen Pengiriman Virtual Windows dan Aplikasi Citrix Workspace – yang dapat memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan hak istimewa sistem.

Aplikasi Citrix Workspace adalah klien untuk desktop dan aplikasi virtual dan diterapkan pada banyak titik akhir yang tidak dikelola secara ketat, sehingga ini merupakan bug yang perlu Anda perhatikan.

Dan…Android

Melengkapi pesta patch bulan Juli, Google merilis patch untuk 27 CVE di Bahasa Indonesia: AndroidYang terburuk dari semuanya adalah CVE-2024-31320 – kerentanan keamanan kritis dalam komponen Framework yang dapat menyebabkan peningkatan hak istimewa lokal tanpa memerlukan hak istimewa eksekusi tambahan. ®

Sumber