Η Microsoft merilis pembaruan keamanan untuk bulan April 2024 untuk memperbaiki rekor 149 cacat , dua di antaranya telah dieksploitasi secara aktif di alam liar.
Dari 149 cacat, tiga diantaranya berperingkat Kritis, 142 berperingkat Penting, tiga berperingkat Sedang, dan satu berperingkat Tingkat Keparahan Rendah. Pembaruan tidak mungkin dilakukan 21 kerentanan dihadapi oleh perusahaan di browser Edge berbasis Chromium setelah rilis perbaikan patch Selasa Maret 2024 .
Dua kekurangan yang telah dieksploitasi secara aktif adalah sebagai berikut –
- CVE-2024-26234 (Skor CVSS: 6,7) – Kerentanan spoofing driver proxy
- CVE-2024-29988 (Skor CVSS: 8,8) – Fitur keamanan SmartScreen Prompt melewati kerentanan
Sedangkan penasehat Microsoft tidak memberikan informasi mengenai hal tersebut CVE-2024-26234, perusahaan siberkeamananSophos mengatakan pihaknya menemukan pada bulan Desember 2023 sebuah executable berbahaya (“Catalog.exe” atau “Layanan Klien Otentikasi Katalog”) yang tertanda dari penerbit kompatibilitas perangkat keras Microsoft Windows yang valid ( WHCP ) sertifikat.
Analisis Authenticode biner mengungkapkan penerbit permintaan asli ke Hainan YouHu Technology Co. Ltd, yang juga merupakan penerbit alat lain yang disebut LaiXi Android Screen Mirroring.
Yang terakhir digambarkan sebagai “perangkat lunak pemasaran… [yang] dapat menghubungkan ratusan ponsel dan mengendalikannya dalam batch dan mengotomatiskan tugas-tugas seperti mengikuti grup, menyukai, dan berkomentar”.
Di dalam layanan otentikasi yang seharusnya ada komponen yang disebut 3proksi yang dirancang untuk memantau dan mencegat lalu lintas jaringan pada sistem yang terinfeksi, yang secara efektif bertindak sebagai pintu belakang.
"Kami tidak memiliki bukti yang menunjukkan bahwa pengembang LaiXi dengan sengaja mengintegrasikan file berbahaya ke dalam produk mereka, atau bahwa pelaku ancaman melakukan serangan rantai pasokan untuk menyuntikkannya ke dalam proses pembuatan/pembangunan aplikasi LaiXi," dia telah menyatakan Peneliti Sophos Andreas Klopsch. .
Perusahaan keamanan siber tersebut juga mengatakan telah menemukan beberapa varian pintu belakang lainnya pada tanggal 5 Januari 2023, yang menunjukkan bahwa kampanye tersebut telah berjalan setidaknya sejak saat itu. Microsoft telah menambahkan file yang relevan ke daftar penarikannya.
“Untuk mengeksploitasi kerentanan bypass fitur keamanan ini, penyerang harus meyakinkan pengguna untuk meluncurkan file berbahaya menggunakan peluncur yang meminta agar antarmuka pengguna tidak ditampilkan,” kata Microsoft.
"Dalam skenario serangan email atau pesan instan, penyerang dapat mengirimkan file yang dibuat khusus kepada pengguna yang ditargetkan untuk mengeksploitasi kerentanan eksekusi kode jarak jauh."
Inisiatif Zero Day mengungkapkan bahwa terdapat bukti eksploitasi kelemahan tersebut secara liar, meskipun Microsoft telah menandainya dengan peringkat “Eksploitasi Paling Mungkin”.
Masalah penting lainnya adalah kerentanan CVE-2024-29990 (skor CVSS: 9.0), peningkatan kelemahan hak istimewa yang memengaruhi Rahasia Kontainer Layanan Microsoft Azure Kubernetes yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk mencuri kredensial.
“Penyerang dapat mengakses node AKS Kubernetes dan AKS Confidential Container yang tidak tepercaya untuk mengambil alih tamu dan kontainer rahasia di luar tumpukan jaringan tempat mereka terikat,” kata Redmond.
Secara keseluruhan, rilis ini terkenal karena mampu mengatasi hingga 68 eksekusi kode jarak jauh, 31 eskalasi hak istimewa, 26 bypass fitur keamanan, dan enam bug penolakan layanan (DoS). Menariknya, 24 dari 26 kesalahan bypass keamanan terkait dengan Boot Aman.
“Meskipun tidak satu pun dari kerentanan ini Secure Boot yang ditangani bulan ini tidak dieksploitasi secara liar, hal ini berfungsi sebagai pengingat bahwa kelemahan pada Secure Boot masih ada dan kita dapat melihat lebih banyak aktivitas jahat terkait Secure Boot di masa mendatang,” kata Satnam Narang, staf senior riset insinyur di Tenable, dalam pernyataannya. sebuah pernyataan.
Pengungkapan ini datang seperti yang dilakukan Microsoft menghadapi kritik tentang praktik keamanannya, dengan laporan terbaru dari Dewan Peninjau Keamanan dunia maya(CSRB) mengecam perusahaan tersebut karena tidak berbuat cukup banyak untuk mencegah kampanye spionase dunia maya yang diatur oleh aktor ancaman Tiongkok yang dilacak sebagai Storm. -0558 tahun lalu.
Hal ini juga mengikuti keputusan perusahaan untuk mempublikasikan data akar permasalahan untuk kelemahan keamanan menggunakan standar industri Common Weakness Enumeration (CWE). Namun, perlu dicatat bahwa perubahan tersebut hanya berlaku mulai dari nasihat yang diterbitkan mulai Maret 2024.
“Menambahkan penilaian CWE ke penasihat keamanan Microsoft membantu mengidentifikasi akar penyebab kerentanan secara keseluruhan,” kata Adam Barnett, insinyur perangkat lunak utama di Rapid7, dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Program CWE baru-baru ini memperbarui pedomannya memetakan CVE ke akar permasalahan CWE . Menganalisis tren CWE dapat membantu pengembang mengurangi kejadian di masa depan melalui peningkatan alur kerja dan pengujian Siklus Hidup Pengembangan Perangkat Lunak (SDLC), serta membantu para pembela HAM memahami ke mana harus mengarahkan upaya pertahanan mendalam dan memperkuat pengembangan untuk laba atas investasi yang lebih baik”.
Dalam perkembangan terkait, perusahaan keamanan siber Varonis mengungkap dua metode yang dapat digunakan penyerang untuk melewati log audit dan menghindari pemicuan pengunduhan saat mengekspor file dari SharePoint.
Pendekatan pertama memanfaatkan fitur "Buka dalam Aplikasi" SharePoint untuk mengakses dan mengunduh file, sedangkan pendekatan kedua menggunakan agen pengguna untuk Microsoft SkyDriveSync untuk mengunduh file atau bahkan seluruh situs, sehingga salah mengklasifikasikan peristiwa seperti sinkronisasi file, bukan unduhan.
“Teknik ini dapat melewati deteksi dan penegakan kebijakan alat tradisional, seperti broker keamanan akses cloud, pencegahan kehilangan data, dan SIEM, dengan menyamarkan unduhan sebagai peristiwa akses dan sinkronisasi yang tidak terlalu mencurigakan,” dia berkata Eric Saraga.
Perbaikan perangkat lunak pihak ketiga
Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain dalam beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, antara lain:
- Adobe
- AMD
- Android
- Keamanan Apache XML untuk C++
- Jaringan Aruba
- Kisah
- Bosch
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Benteng
- GitLab
- Google Chrome
- Google Cloud
- Google Pixel
- Hikvision
- Energi Hitachi
- HP
- Perusahaan HP
- HTTP / 2
- IBM
- Ivanta
- Jenkins
- Lenovo
- WebOS LG
- Distribusi Linux Debian, Oracle Linux, Red Hat, SUSE, dan Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR, dan Thunderbird
- NETGEAR
- NVIDIA
- Qualcomm
- Rockwell Automation
- Karat
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Synology
- VMware
- WordPress
- zoom
