Oh, hari yang diberkati: Microsoft's Patch Tuesday adalah kelas bulu dibandingkan dengan beberapa pembaruan keamanan 10-ton yang tidak biasa, dengan hanya 51 patch — tidak ada satupun yang dinilai kritis.

Untuk Februari, rilis Microsoft membahas CVE di Windows dan Komponen Windows , Azure Data Explorer, Server Web Kestrel, Microsoft Edge (berbasis Chromium), Perpustakaan Codec Windows, Microsoft Dynamics, Microsoft Dynamics GP, Microsoft Office dan Komponen Office, Windows Hyper-V Server, SQL Server, Visual Studio Code, dan Microsoft Teams.

Di antaranya, Microsoft membahas satu hari nol: CVE-2022-21989, kerentanan peningkatan hak istimewa Kernel Windows. Dan, salah satu pembaruannya adalah untuk CVE yang pertama kali diterbitkan pada tahun 2013.

Tanaman ini merupakan tambahan dari 19 CVE yang ditambal oleh Microsoft Edge (berbasis Chromium) awal bulan ini, sehingga total Februari menjadi 70 CVE.

Whaaa? Tidak ada CVE Kritis?!

Tentu saja, bukan ukuran yang penting. Tapi patch-a-palooza Februari ringan tidak hanya dalam jumlah CVE, tetapi juga karena tidak ada satu patch pun yang berlabel critical.

Apakah itu pernah terjadi?

Pada Senin sore, Dustin Childs, seorang peneliti dari Zero Trend Micro Day Initiative (ZDI) Zero Day Initiative (ZDI), sedang menggaruk-garuk kepalanya yang satu itu.



“Mungkin pernah terjadi sebelumnya, tetapi saya tidak dapat menemukan contoh rilis bulanan dari Microsoft yang tidak menyertakan setidaknya satu patch dengan peringkat kritis,” tulis Childs dalam analisis ZDI's Patch Tuesday. “Itu pasti tidak terjadi dalam memori baru-baru ini.”

Childs mencatat bahwa volume Februari ini “sejalan dengan rilis Februari dari tahun-tahun sebelumnya, yang (selain 2020) cenderung sekitar 50 CVE.”

Ini mengikuti kumpulan besar yang Microsoft dipanggang untuk Patch Selasa Januari 2022, ketika menangani total 97 kerentanan keamanan, termasuk sembilan CVE kritis – salah satunya adalah self-propagator dengan skor CVSS 9,8, dan enam di antaranya terdaftar sebagai zero-days yang diketahui publik.

Untuk menambah gangguan pencernaan karena terlalu banyak bekerja, patch Januari segera meledak. Sejak dirilis pada 11 Januari, pembaruan mulai merusak Windows, menyebabkan boot loop spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

“Sayang sekali bahwa pembaruan 11 Januari memiliki sejumlah kelemahan serius yang berarti mereka tidak dapat digunakan,” keluh seorang pembaca Threatpost. “Itu berarti server kami tidak ditambal dan rentan terhadap risiko keamanan lainnya karena bug lain, hingga set tambalan berikutnya keluar.”

Dari tambalan yang dirilis hari ini – “set tambalan berikutnya” yang ditunggu – 50 dinilai penting dan satu adalah tingkat keparahannya sedang.

Tidak Ada Eksploitasi Aktif (Belum)

Microsoft tidak mencantumkan bug Februari sebagai yang sedang dieksploitasi, meskipun ada yang terdaftar sebagai waktu rilis yang diketahui publik. Tetapi seperti yang ditunjukkan oleh ZDI's Childs, hal yang sama berlaku untuk rilis bulan lalu – selama dua hari, bagaimanapun, setelah itu perusahaan merevisi CVE-2022-21882 untuk menunjukkan bahwa “Microsoft menyadari serangan terbatas yang ditargetkan yang mencoba untuk mengeksploitasi kerentanan ini.”

Jika Microsoft mengetahui sebaliknya, atau berubah pikiran perusahaan, Childs berjanji bahwa ZDI akan memperbarui analisisnya. email: “Meskipun Microsoft menilai kerentanan sebagai 'lebih mungkin dieksploitasi,' kompleksitas untuk mengeksploitasi kerentanan tinggi, karena kerja keras tambahan yang diperlukan untuk mempersiapkan target.”

He menambahkan, “Jenis kerentanan ini sering dimanfaatkan oleh penyerang begitu mereka telah mengkompromikan target, baik melalui penggunaan kerentanan atau malware yang terpisah.”

Daftar Lengkap CVEs

Seperti yang dilakukannya, ZDI telah memasang daftar lengkap rilis CVE ed oleh Microsoft untuk bulan ini.

Childs juga mempelajari empat bug yang lebih menarik. Inilah yang dia katakan:
< ul> < ul>CVE-2022-21984 – Kerentanan Eksekusi Kode Jarak Jauh Server DNS Windows: Tambalan ini memperbaiki bug eksekusi kode jarak jauh di server DNS Microsoft. Server hanya terpengaruh jika pembaruan dinamis diaktifkan, tetapi ini adalah konfigurasi yang relatif umum. Jika Anda memiliki pengaturan ini di lingkungan Anda, penyerang dapat sepenuhnya mengambil alih DNS Anda dan mengeksekusi kode dengan hak istimewa yang lebih tinggi. Karena pembaruan dinamis tidak diaktifkan secara default, ini tidak mendapatkan peringkat kritis. Namun, jika server DNS Anda menggunakan pembaruan dinamis, Anda harus memperlakukan bug ini sebagai critical.CVE-2022-23280 – Kerentanan Bypass Fitur Keamanan Microsoft Outlook untuk Mac: “Bug Outlook ini dapat memungkinkan gambar muncul di Panel Pratinjau secara otomatis, bahkan jika opsi ini dinonaktifkan. Dengan sendirinya, mengeksploitasi ini hanya akan mengekspos informasi IP target. Namun, ada kemungkinan bug kedua yang memengaruhi rendering gambar dapat dipasangkan dengan bug ini untuk memungkinkan eksekusi kode jarak jauh. Jika Anda menggunakan Outlook untuk Mac, Anda harus memeriksa ulang untuk memastikan versi Anda telah diperbarui ke versi yang tidak terpengaruh.”CVE-2022-21995 – Kerentanan Eksekusi Kode Jarak Jauh Windows Hyper-V: “Tambalan ini memperbaiki kesalahan tamu-ke- host melarikan diri di server Hyper-V. Microsoft menandai kompleksitas eksploit CVSS sebagai yang tertinggi di sini, dengan menyatakan penyerang, 'harus menyiapkan lingkungan target untuk meningkatkan keandalan eksploit.' Karena ini adalah kasus untuk sebagian besar eksploit, tidak jelas bagaimana kerentanan ini berbeda. Jika Anda mengandalkan server Hyper-V di perusahaan Anda, sebaiknya perlakukan ini sebagai pembaruan penting.”CVE-2022-22005 – Kerentanan Eksekusi Kode Jarak Jauh Microsoft SharePoint Server: “Tambalan ini memperbaiki bug di SharePoint Server yang dapat memungkinkan pengguna yang diautentikasi untuk mengeksekusi kode .NET sembarang di server di bawah konteks dan izin akun layanan Aplikasi Web SharePoint. Penyerang akan membutuhkan izin 'Kelola Daftar' untuk mengeksploitasi ini, secara default, pengguna yang diautentikasi dapat membuat situs mereka sendiri dan, dalam hal ini, pengguna akan menjadi pemilik situs ini dan akan memiliki semua izin yang diperlukan.”l

iuu

Tenable's Narang juga menunjukkan bahwa Microsoft juga menambal empat kerentanan elevasi-of-privilege di Windows Print Spooler-nya, termasuk dua yang dinilai "lebih mungkin dieksploitasi."

"Salah satu dari dua kelemahan ini, CVE-2022-21999, dikreditkan kepada para peneliti di Sangfor, yang bertanggung jawab untuk mengungkapkan beberapa kerentanan PrintNightmare musim panas lalu,” Narang mengamati. “Karena Print Spooler ada di mana-mana, kerentanan seperti ini telah dimanfaatkan oleh kelompok ransomware.”

Juga Catatan: A Dusty Old-Timer

Danny Kim, arsitek utama di Virsec, mencatat bahwa dia merasa menarik bahwa Microsoft menerbitkan ulang CVE dari 2013 hingga memberi tahu pelanggan bahwa pembaruan untuk Windows 10/11 tersedia yang membahas CVE.

asli“CVE memungkinkan penyerang untuk menyuntikkan kode berbahaya ke dalam aplikasi yang ditandatangani tanpa membatalkan tanda tangan asli file,” jelasnya dalam email ke Threatpost pada hari Selasa . “Di Windows, tanda tangan digunakan untuk memverifikasi bahwa file belum dimodifikasi sejak dirilis oleh vendor asli. Dengan kemampuan untuk menyuntikkan kode berbahaya ke dalam aplikasi 'terverifikasi', penyerang dapat memperoleh kontrol penuh atas sistem terutama jika pengguna yang menjalankan aplikasi memiliki hak administratif.

Dia mengatakan bahwa penyerang dapat membuat akun pengguna baru dengan akses penuh, memungkinkan penyerang untuk login ke mesin sesuka hati.

Meskipun CVE berasal dari 2013, ini menyoroti dua fakta yang memprihatinkan, dia berkata: “Menambal adalah solusi yang bergerak lambat, dan aplikasi perlu dipantau setiap saat. Patching adalah solusi pasca-serangan yang bergerak terlalu lambat untuk mengimbangi serangan hari ini. Aplikasi, bahkan yang terverifikasi, tidak dapat diperiksa begitu saja saat memulai eksekusi – perilakunya sepanjang masa pakai aplikasi perlu dipantau dan diverifikasi terhadap perilaku yang diharapkan.”

Terapkan Patch ASAP

Terlepas dari kenyataan bahwa tidak ada CVE kritis atau eksploitasi aktif disebutkan dalam rilis Patch Selasa Februari, pro keamanan merekomendasikan, seperti yang selalu mereka lakukan, bahwa tambalan harus diterapkan sesegera mungkin.