- Acara Patch Tuesday bulan ini membawa total 67 perbaikan kepada pengguna di mana-mana.
- Hampir setengah dari patch dirilis mengatasi masalah hak istimewa pengguna di komputer.
- Emengeksekusi kode arbitrer di komputer korban juga merupakan masalah yang diperbaiki sekarang.
- Komponen MSHTML dari Microsoft Office juga sedang dieksploitasi secara aktif.
Kopling pembaruan reguler perusahaan Redmond menjadi sangat penting bulan ini karena perusahaan merilis perbaikan untuk bug dengan tingkat keparahan kritis.
Ini saat ini dirujuk oleh referensi penunjukan kerentanannya, CVE-2021-40444.
Kami juga tahu bahwa saat ini sedang dieksploitasi, dalam dokumen Office, serta tambalan yang signifikan untuk produk Microsoft dan layanan cloud.
Microsoft memperbaiki pelanggaran keamanan melalui Patch Tuesday
Selama acara Patch Tuesday bulan ini, Microsoft merilis total 67 perbaikan untuk banyak produknya.
Jumlah perbaikan terbesar, yaitu 27, adalah untuk memperbaiki masalah yang mungkin digunakan penyerang untuk menaikkan tingkat hak istimewa mereka sendiri di komputer.
Jika Anda bertanya-tanya tentang nomor terbesar kedua, yang dalam hal ini adalah 14, menunjukkan kemampuan penyerang untuk mengeksekusi kode arbitrer di komputer korban.
Penting untuk diketahui bahwa semua kecuali satu dari kerentanan kritis termasuk dalam kategori Eksekusi Kode Jarak Jauh.
Ini termasuk bug -40444, yang dijuluki Kerentanan Eksekusi Kode Jarak Jauh Microsoft MSHTML.
Kerentanan kritis non-RCE adalah bug pengungkapan informasi yang memengaruhi Lingkup Azure (CVE-2021-36956), platform yang dibuat Microsoft, yang dimaksudkan untuk menambahkan lapisan keamanan ke perangkat Internet-of-Things (IoT).
Beberapa bug buruk yang memengaruhi browser Edge pada platform Android dan iOS juga diperbaiki oleh raksasa teknologi tersebut.
Pengguna browser itu di perangkat tersebut, tentu saja, harus mendapatkan versi tetap mereka dari toko aplikasi yang relevan untuk perangkat mereka, yang keduanya tunduk pada kerentanan yang dijelaskan oleh Microsoft sebagai pemalsuan.
Kerentanan kritis yang mempengaruhi Windows itu sendiri (CVE-2021-36965 dan CVE-2021-26435) berlaku untuk komponen yang disebut Layanan AutoConfig WLAN.
Jika Anda tidak tahu, ini adalah bagian dari mekanisme yang digunakan Windows 10 untuk memilih jaringan nirkabel yang akan disambungkan komputer, dan masing-masing ke Windows Scripting Engine.
Microsoft tidak memberikan informasi tambahan sebelum tenggat waktu rilis Patch Tuesday tentang mekanisme di mana bug ini mengeksekusi kode pada sistem.
Pengembang Redmond menangani bug Office yang besar bulan ini
Setelah bug ini ditemukan dan menjadi pengetahuan publik pada 7 September, peneliti dan analis keamanan mulai menukar contoh konsep bukti tentang bagaimana penyerang dapat memanfaatkan eksploitasi.
Sayangnya, profil tinggi dari bug ini berarti bahwa penyerang akan memperhatikan dan kemungkinan akan mulai mengeksploitasi kerentanan.
Bug jahat ini melibatkan komponen MSHTML dari Microsoft Office, yang dapat membuat halaman browser dalam konteks dokumen Office.
Dalam eksploitasi bug, penyerang membuat kontrol ActiveX yang dibuat dengan jahat dan kemudian menyematkan kode ke dalam dokumen Office yang memanggil kontrol ActiveX saat dokumen dibuka atau dipratinjau.
Tahapan penyerangan secara umum adalah:
- Target menerima dokumen Office .docx atau .rtf dan membukanya
- Dokumen menarik HTML jarak jauh dari alamat web berbahaya
- Situs web jahat mengirimkan arsip .CAB ke komputer target
- Eksploitasi meluncurkan executable dari dalam .CAB (biasanya dinamai dengan ekstensi .INF)
Script berbahaya menggunakan handler bawaan untuk .cpl file (Panel Kontrol Windows) untuk menjalankan file dengan ekstensi .inf (yang sebenarnya adalah .dll berbahaya) yang diekstrak dari file .cab.
Banyak orang tidak hanya membuat eksploitasi proof-of-concept (PoC) fungsional, tetapi beberapa telah membuat dan menerbitkan alat pembuat yang dapat digunakan siapa saja untuk mempersenjatai dokumen Office.
Versi asli dari exploit tersebut menggunakan Microsoft Word.dok dokumen, tetapi kami telah melihat beberapa versi yang menggunakan .rtf ekstensi file.
Penyerang menggunakan teknik tidak hanya untuk meluncurkan file .exe tetapi juga file .dll berbahaya, menggunakan rundll32. Tidak ada alasan untuk percaya bahwa eksploitasi tidak akan memperluas jangkauannya ke jenis dokumen Office lainnya juga.
Senang mengetahui bahwa pejabat Redmond melakukan yang terbaik yang mereka bisa untuk menjaga kita tetap aman, tetapi ini semua tentang upaya bersama, jadi kita juga harus melakukan bagian kita.
Apa pendapat Anda tentang pembaruan Patch Tuesday bulan ini? Bagikan pendapat Anda dengan kami di bagian komentar di bawah.
