Microsoft melaporkan total 55 kerentanan, enam di antaranya dinilai kritis, dengan 49 sisanya dinilai penting. Kelemahan tersebut terdapat pada Microsoft Windows dan Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (berbasis Chromium), Exchange Server, Microsoft Office dan Office Components, Windows Hyper-V, Windows Defender, dan Visual Studio. .
Secara keseluruhan, ini adalah bulan yang cukup cerah, menurut Dustin Childs dari Zero Day Initiative (ZDI). “Secara historis, 55 patch pada bulan November adalah jumlah yang relatif rendah,” komentarnya. “Bahkan kembali ke 2018 ketika hanya ada 691 CVE yang diperbaiki sepanjang tahun, ada lebih banyak CVE November.”
Tetap, seperti biasa, Patch Tuesday ini memberikan perbaikan prioritas tinggi, yang paling mendesak adalah duo yang sedang diserang.
Prioritas Tinggi, Pasangan Bugs
CVE-2021-42321 yang Dieksploitasi Secara Aktif: Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server.
Ini adalah kelemahan eksekusi kode jarak jauh (RCE) kritis di Exchange Server yang disebabkan oleh masalah dengan validasi argumen perintah-let (cmdlet) – yaitu, perintah ringan yang digunakan di lingkungan PowerShell. Mereka dipanggil oleh runtime PowerShell dalam konteks skrip otomatisasi yang disediakan di baris perintah atau dipanggil secara terprogram oleh runtime PowerShell melalui API. Microsoft mengatakan bahwa kerentanan, dengan peringkat 8,8 dalam kekritisan, memiliki kompleksitas serangan yang rendah.
Untuk mengeksploitasi kelemahan ini, penyerang perlu diautentikasi, yang membatasi beberapa dampak, seperti yang dicatat oleh Satnam Narang, staf insinyur penelitian di Tenable. Microsoft mengatakan mereka menyadari “serangan bertarget terbatas” menggunakan kerentanan ini di alam liar.
Microsoft memiliki posting blog yang menjelaskan kerentanan dan bagaimana itu dieksploitasi.
Microsoft Exchange Server telah menjadi subjek dari beberapa kerentanan penting sepanjang tahun 2021, termasuk ProxyLogon dan kerentanan terkait serta ProxyShell, Narang menunjukkan.
“Meskipun belum dikonfirmasi, ini mungkin mirip dengan kerentanan Exchange Server yang ditemukan pada kompetisi peretasan Piala Tianfu bulan lalu,” saran Narang.
Breen mengatakan bahwa badan federal atau pemerintah di Amerika Serikat mungkin terikat oleh arahan CISA 22-01 baru-baru ini yang menekankan pada penambalan eksploitasi yang lebih cepat yang secara aktif digunakan oleh penyerang. “Kerentanan ini – bersama dengan CVE-2021-42292 – kemungkinan akan masuk dalam kategori itu,” katanya dalam email pada hari Selasa.
Meskipun memainkan peran utama di Piala Tianfu, kelemahan ini sebenarnya ditemukan oleh Microsoft Threat Intelligence Pusat (MSTIC). Microsoft mengatakan bahwa itu telah aktif digunakan dalam serangan.
CVE-2021-42292: Microsoft Excel Security Feature Bypass Vulnerability.
Tambalan ini memperbaiki fitur keamanan melewati kerentanan di Microsoft Excel untuk komputer Windows dan MacOS yang dapat memungkinkan eksekusi kode saat membuka file yang dibuat khusus. Itu juga ditemukan oleh MSTIC, yang mengatakan bahwa itu juga telah dieksploitasi di alam liar sebagai zero day.
Menurut Pembaruan Keamanan November Zero Day Initiative (ZDI) Trend Micro, “Ini mungkin karena memuat kode yang seharusnya berada di belakang prompt , tetapi untuk alasan apa pun, prompt itu tidak muncul, sehingga melewati fitur keamanan itu.”
Microsoft tidak menyarankan apa efek kerentanan yang mungkin terjadi, tetapi skor CVSS-nya sebesar 7,8 memberinya peringkat keparahan tinggi. Kevin Breen, direktur penelitian ancaman dunia maya di Immersive Labs, mengatakan kepada Threatpost pada hari Selasa bahwa kurangnya detail “dapat membuat sulit untuk diprioritaskan, tetapi apa pun yang dieksploitasi di alam liar harus berada di bagian paling atas daftar Anda untuk ditambal. ”
Microsoft mengatakan bahwa Outlook Preview Pane bukan vektor serangan untuk kelemahan ini, jadi target perlu membuka file agar eksploitasi terjadi.
Update tersedia untuk sistem Windows, tetapi pembaruan untuk Office untuk Mac tidak out yet.
Breen menyarankan bahwa mengingat kurangnya deskripsi dan kurangnya pembaruan untuk kerentanan yang dieksploitasi di alam liar, “mungkin ada baiknya memberi tahu siapa pun di organisasi Anda yang menggunakan Office untuk Mac untuk lebih berhati-hati sampai patch tersedia.”
Bug Catatan Lainnya
CVE-2021-42298: Kerentanan Eksekusi Kode Jarak Jauh Microsoft Defender.
Defender dirancang untuk memindai setiap file dan dijalankan dengan beberapa level atau hak istimewa tertinggi dalam sistem operasi tem. Ini berarti penyerang dapat memicu eksploitasi hanya dengan mengirim file – korban bahkan tidak perlu membuka atau menjalankan apa pun, jelas Kevin Breen, direktur penelitian ancaman dunia maya di Immersive Labs.
Breen mengatakan kepada Threatpost pada hari Selasa bahwa inilah alasannya bahwa CVE-2021-42298 ditandai sebagai “lebih mungkin dieksploitasi.”
“Karena tidak dieksploitasi di alam liar, itu harus diperbarui tanpa intervensi manual dari administrator,” katanya melalui email. “Karena itu, sangat penting untuk memeriksa untuk memastikan bahwa penginstalan Defender Anda mendapatkan pembaruan yang disetel dengan benar.”
Penasihat Microsoft mencakup langkah-langkah untuk memverifikasi bahwa pengguna telah menginstal versi terbaru.
CVE-2021-38666: Kerentanan Eksekusi Kode Jarak Jauh Klien Desktop Jarak Jauh .
Microsoft mengatakan bahwa dalam kasus koneksi Desktop Jarak Jauh, penyerang dengan kontrol Server Desktop Jarak Jauh dapat memicu RCE pada mesin klien RDP saat korban terhubung ke server penyerang dengan Klien Desktop Jarak Jauh yang rentan.
Itu bukan yang paling jelas deskripsi, Breen mencatat, tetapi vektor serangan menunjukkan bahwa klien desktop jarak jauh yang diinstal pada semua versi Windows yang didukung mengandung kerentanan.
“Untuk mengeksploitasinya, penyerang harus membuat server mereka sendiri dan meyakinkan pengguna untuk terhubung ke penyerang ,” jelas Breen. “Ada beberapa cara penyerang bisa melakukan ini, salah satunya bisa mengirim target file pintasan RDP, baik melalui email atau unduhan. Jika target membuka file ini, yang dengan sendirinya tidak berbahaya, mereka dapat memberi penyerang akses ke sistem mereka.”
Breen mengatakan dalam email bahwa selain menambal kelemahan ini, langkah yang masuk akal adalah menambahkan deteksi untuk file RDP dibagikan dalam email atau unduhan.
CVE-2021-38631 & CVE-2021-41371: Kerentanan Pengungkapan Informasi di Microsoft Remote Desktop Protocol (RDP).
Kelemahan ini sebelumnya diungkapkan kepada publik oleh peneliti keamanan. Eksploitasi yang berhasil akan memungkinkan penyerang melihat kata sandi RDP untuk sistem yang rentan.
Masalah ini memengaruhi RDP yang berjalan di Windows 7 – 11 dan Windows Server 2008 – 2019. Mereka diberi peringkat “Penting” oleh Microsoft. Mengingat minat yang dimiliki penjahat dunia maya (terutama broker akses awal ransomware) di RDP, “kemungkinan itu akan dieksploitasi di beberapa titik,” kata Liska.
Kerentanan Pertukaran Berkelanjutan
Kerentanan pertukaran telah menjadi perhatian khusus tahun ini, kata Allan Liska, senior arsitek keamanan di Recorded Future. Liska menunjuk aktor negara bangsa China dan penjahat dunia maya di balik ransomware DearCry (juga diyakini beroperasi di luar China) karena telah mengeksploitasi kerentanan sebelumnya di Microsoft Exchange (CVE-2021-26855 dan CVE-2021-27065).
“Sementara Microsoft hanya menilai kerentanan sebagai ‘Penting’ karena penyerang harus diautentikasi untuk mengeksploitasinya, Recorded Future telah mencatat bahwa mendapatkan akses kredensial yang sah ke sistem Windows telah menjadi hal yang sepele bagi negara negara dan pelaku kejahatan dunia maya, ”kata Liska melalui email. Oleh karena itu, ia merekomendasikan untuk memprioritaskan cacat ini untuk patching.
Prioritaskan CVE-2021-42292, Too
Microsoft tidak jelas tentang fitur keamanan mana yang dilewati oleh fitur keamanan ini melewati kerentanan untuk Microsoft Excel untuk komputer Windows dan MacOS, yang memengaruhi versi 2013 – 2021 Tapi fakta bahwa itu dieksploitasi di alam liar “mengkhawatirkan,” kata Liska dan “berarti itu harus diprioritaskan untuk ditambal.”
Microsoft Excel sering menjadi target penyerang negara-bangsa dan penjahat dunia maya, katanya.
110921 17: 21 PEMBARUAN: Kesalahan pengaitan masukan yang dikoreksi dari Kevin Breen.
Ingin memenangkan kembali kendali atas sandi tipis yang ada di antara jaringan Anda dan serangan siber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” pada Rabu ., 17 November jam 2 siang ET. Dipersembahkan oleh Specops.
Daftar SEKARANG untuk acara LANGSUNG dan kirimkan pertanyaan sebelumnya ke Becky Bracken dari Threatpost di becky.bracken@threatpost.com.
Tulis komentar
Bagikan artikel ini:
<
ul>iKerentananli
<
ul>uuKeamanan Web