kembali ke atas
Kamis, 20 Juni 2024
rumahKomputerMicrosoft memperbaiki 149 kelemahan dalam rilis patch besar-besaran...

Microsoft memperbaiki 149 kelemahan dalam rilis patch besar-besaran di bulan April

Microsoft merilis pembaruan keamanan untuk bulan April 2024 untuk memperbaiki rekor 149 cacat , dua di antaranya telah dieksploitasi secara aktif di alam liar.

Dari 149 cacat, tiga diantaranya berperingkat Kritis, 142 berperingkat Penting, tiga berperingkat Sedang, dan satu berperingkat Tingkat Keparahan Rendah. Pembaruan tidak mungkin dilakukan 21 kerentanan dihadapi oleh perusahaan di browser Edge berbasis Chromium setelah rilis perbaikan patch Selasa Maret 2024 .

Dua kekurangan yang telah dieksploitasi secara aktif adalah sebagai berikut –

  • CVE-2024-26234 (Skor CVSS: 6,7) – Kerentanan spoofing driver proxy
  • CVE-2024-29988 (Skor CVSS: 8,8) – Fitur keamanan SmartScreen Prompt melewati kerentanan

Meskipun penasihat Microsoft tidak memberikan informasi tentang CVE-2024-26234, perusahaan keamanan siber Sophos mengatakan pada bulan Desember 2023 pihaknya menemukan file berbahaya yang dapat dieksekusi (“Catalog.exe” atau “Layanan Klien Otentikasi Katalog”) yang tertanda dari penerbit kompatibilitas perangkat keras Microsoft Windows yang valid ( WHCP ) sertifikat.

Analisis Authenticode biner mengungkapkan penerbit permintaan asli ke Hainan YouHu Technology Co. Ltd, yang juga merupakan penerbit lain y disebut Pencerminan Layar Android LaiXi.

Yang terakhir digambarkan sebagai “perangkat lunak pemasaran… [yang] dapat menghubungkan ratusan ponsel dan mengendalikannya dalam batch dan mengotomatiskan tugas-tugas seperti mengikuti grup, menyukai, dan berkomentar”.

Di dalam layanan otentikasi yang seharusnya ada komponen yang disebut 3proksi yang dirancang untuk memantau dan mencegat lalu lintas jaringan pada sistem yang terinfeksi, yang secara efektif bertindak sebagai pintu belakang.

"Kami tidak memiliki bukti yang menunjukkan bahwa pengembang LaiXi dengan sengaja mengintegrasikan file berbahaya ke dalam produk mereka, atau bahwa pelaku ancaman melakukan serangan rantai pasokan untuk menyuntikkannya ke dalam proses pembuatan/pembangunan aplikasi LaiXi," dia telah menyatakan Peneliti Sophos Andreas Klopsch. .

Perusahaan keamanan siber tersebut juga mengatakan telah menemukan beberapa varian pintu belakang lainnya pada tanggal 5 Januari 2023, yang menunjukkan bahwa kampanye tersebut telah berjalan setidaknya sejak saat itu. Microsoft telah menambahkan file yang relevan ke daftar penarikannya.

Kelemahan keamanan lain yang dilaporkan telah diserang secara aktif adalah CVE-2024-29988, yang – sebagai CVE-2024-21412 dan CVE-2023-36025– memungkinkan penyerang melewati perlindungan Smartscreen Microsoft Defender saat membuka file yang dibuat khusus.

“Untuk mengeksploitasi kerentanan bypass fitur keamanan ini, penyerang harus meyakinkan pengguna untuk meluncurkan file berbahaya menggunakan peluncur yang meminta agar antarmuka pengguna tidak ditampilkan,” kata Microsoft.

"Dalam skenario serangan email atau pesan instan, penyerang dapat mengirimkan file yang dibuat khusus kepada pengguna yang ditargetkan untuk mengeksploitasi kerentanan eksekusi kode jarak jauh."

Inisiatif Zero Day mengungkapkan bahwa terdapat bukti eksploitasi kelemahan tersebut secara liar, meskipun Microsoft telah menandainya dengan peringkat “Eksploitasi Paling Mungkin”.

Masalah penting lainnya adalah kerentanan CVE-2024-29990 (skor CVSS: 9.0), peningkatan kelemahan hak istimewa yang memengaruhi Rahasia Kontainer Layanan Microsoft Azure Kubernetes yang dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk mencuri kredensial.

“Penyerang dapat mengakses node AKS Kubernetes dan AKS Confidential Container yang tidak tepercaya untuk mengambil alih tamu dan kontainer rahasia di luar tumpukan jaringan tempat mereka terikat,” kata Redmond.

Secara keseluruhan, rilis ini terkenal karena mampu mengatasi hingga 68 eksekusi kode jarak jauh, 31 eskalasi hak istimewa, 26 bypass fitur keamanan, dan enam bug penolakan layanan (DoS). Menariknya, 24 dari 26 kesalahan bypass keamanan terkait dengan Boot Aman.

“Meskipun tidak satu pun dari kerentanan ini yang ditangani bulan ini tidak dieksploitasi secara liar, hal ini berfungsi sebagai pengingat bahwa kelemahan pada Secure Boot masih ada dan kita dapat melihat lebih banyak aktivitas jahat terkait Secure Boot di masa mendatang,” kata Satnam Narang, staf senior riset insinyur di Tenable, dalam pernyataannya. sebuah pernyataan.

Pengungkapan ini datang seperti yang dilakukan Microsoft menghadapi kritik tentang praktik keamanannya, dengan laporan terbaru dari Dewan Peninjau dari (CSRB) mengecam perusahaan tersebut karena tidak berbuat cukup banyak untuk mencegah kampanye spionase dunia maya yang diatur oleh aktor ancaman Tiongkok yang dipantau sebagai Storm. -0558 tahun lalu.

Hal ini juga mengikuti keputusan perusahaan untuk mempublikasikan data akar permasalahan untuk kelemahan keamanan menggunakan standar industri Common Weakness Enumeration (CWE). Namun, perlu dicatat bahwa perubahan tersebut hanya berlaku mulai dari nasihat yang diterbitkan mulai Maret 2024.

“Menambahkan penilaian CWE ke penasihat keamanan Microsoft membantu mengidentifikasi akar penyebab kerentanan secara keseluruhan,” kata Adam Barnett, insinyur perangkat lunak utama di Rapid7, dalam sebuah pernyataan yang dibagikan kepada The Hacker News.

“Program CWE baru-baru ini memperbarui pedomannya memetakan CVE ke akar permasalahan CWE . Menganalisis tren CWE dapat membantu pengembang mengurangi kejadian di masa depan melalui peningkatan alur kerja dan pengujian Siklus Hidup Pengembangan Perangkat Lunak (SDLC), serta membantu para pembela HAM memahami ke mana harus mengarahkan upaya pertahanan mendalam dan memperkuat pengembangan untuk menjadi lebih baik. dari investasi tersebut".

Dalam perkembangan terkait, perusahaan keamanan siber Varonis mengungkap dua metode yang dapat digunakan penyerang untuk melewati log audit dan menghindari pemicuan pengunduhan saat mengekspor file dari SharePoint.

Pendekatan pertama memanfaatkan fitur "Buka dalam Aplikasi" SharePoint untuk mengakses dan mengunduh file, sedangkan pendekatan kedua menggunakan agen pengguna untuk Microsoft SkyDriveSync untuk mengunduh file atau bahkan seluruh situs, sehingga salah mengklasifikasikan peristiwa seperti sinkronisasi file, bukan unduhan.

Microsoft, yang mengetahui masalah ini pada November 2023, belum merilis perbaikan, meskipun perbaikan tersebut telah ditambahkan ke jadwal patch yang tertunda. Sementara itu, organisasi disarankan untuk memonitor log audit secara ketat untuk mendeteksi kejadian akses yang mencurigakan, terutama yang melibatkan pengunduhan file dalam jumlah besar dalam waktu singkat.

“Teknik ini dapat melewati deteksi dan penegakan kebijakan alat tradisional, seperti broker keamanan akses cloud, pencegahan kehilangan data, dan SIEM, dengan menyamarkan unduhan sebagai peristiwa akses dan sinkronisasi yang tidak terlalu mencurigakan,” dia berkata Eric Saraga.

Perbaikan perangkat lunak pihak ketiga

Selain Microsoft, pembaruan keamanan juga telah dirilis oleh vendor lain dalam beberapa minggu terakhir untuk memperbaiki beberapa kerentanan, antara lain:

Marizas Dimitris
Marizas Dimitrishttps://www.techwar.gr
Sebagai penggemar setia ponsel Samsung, Dimitris telah mengembangkan hubungan khusus dengan produk perusahaan, menghargai desain, kinerja, dan inovasi yang mereka tawarkan. Menulis dan membaca berita teknologi dari seluruh dunia.
ARTIKEL TERKAIT

TINGGALKAN BALASAN

masukkan komentar Anda!
silakan masukkan nama Anda di sini

Paling Populer

Artikel Terakhir