Kerentanan kritis Microsoft dari tahun 2020 ditambahkan ke daftar kelemahan yang dieksploitasi

Kerentanan eksekusi kode jarak jauh dengan tingkat keparahan tinggi yang memengaruhi beberapa versi Microsoft Windows Server dan Windows 10 telah ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA.

Ini adalah salah satu dari 15 kelemahan yang telah ditambahkan ke katalog kerentanan yang dieksploitasi oleh Cybersecurity and Infrastructure Security Agency (CISA) federal mulai hari ini.

Cacat eksekusi kode jarak jauh Microsoft Windows (CVE-2020-0796) awalnya diungkapkan pada Maret 2020 dan membawa peringkat keparahan tertinggi — 10,0 dari 10,0. Kerentanan tersebut dipublikasikan secara luas pada saat pengungkapannya, dan telah disebut di masa lalu dengan nama termasuk “EternalDarkness” dan “SMBGhost.”

Meskipun tidak jelas apa yang secara spesifik menyebabkan penambahan kerentanan ke katalog CISA sekarang, inklusi baru harus berfungsi sebagai pengingat untuk setiap organisasi dengan sistem rentan yang tersisa untuk memanfaatkan patch yang tersedia. VentureBeat telah menghubungi CISA untuk mengonfirmasi bahwa ini adalah pertama kalinya kerentanan diketahui telah dieksploitasi. CVE-2020-0796 enam bulan lagi — 10 Agustus 2022.

“Tentu saja, intelijen tentang eksploitasi apa yang merupakan materi aktif,” kata John Bambenek, pemburu ancaman utama di perusahaan operasi keamanan dan TI digital Netenrich, dalam email ke VentureBeat. “Namun, ketika Anda bisa menunggu hingga Agustus untuk menambal, katakanlah, Eternal Darkness, sulit untuk melihat urgensi yang nyata.”

Kerentanan eksekusi kode jarak jauh (RCE) Microsoft adalah kelemahan paling parah di antara kerentanan yang baru ditambahkan, meskipun dua lainnya membawa peringkat keparahan 9,8 dari 10,0. Itu adalah kerentanan eksekusi kode yang memengaruhi beberapa versi Jenkins (CVE-2018-1000861) dan kerentanan validasi input yang tidak tepat di beberapa versi Apache ActiveMQ (CVE-2016-3088).

Penambahan katalog CISA “berdasarkan bukti bahwa pelaku ancaman secara aktif mengeksploitasi kerentanan,” kata CISA di halaman pengungkapannya.

“Jenis kerentanan ini adalah vektor serangan yang sering untuk pelaku cyber jahat dari semua jenis dan menimbulkan risiko signifikan bagi perusahaan federal, ”kata CISA. Dengan memasukkan kerentanan dalam Katalog Kerentanan yang Diketahui yang Dieksploitasi, CISA mengarahkan agen federal untuk memperbarui sistem mereka dengan tambalan yang tersedia.

Semua kerentanan yang baru ditambahkan memiliki tanggal jatuh tempo perbaikan pada 10 Agustus, dengan satu pengecualian. Kerentanan eskalasi hak istimewa lokal Microsoft Windows (CVE-2021-36934) memiliki batas waktu 24 Februari. Cacat ini memiliki peringkat keparahan 7.8.

Eksekusi kode jarak jauh

Untuk CVE-2020-0796, kerentanan Windows RCE “ada dengan cara protokol Blok Pesan Server Microsoft 3.1.1 (SMBv3) menangani permintaan tertentu,” kata Microsoft di halaman pengungkapannya.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan dapat memperoleh kemampuan untuk mengeksekusi kode pada server atau klien target,” perusahaan berkata.

“Untuk mengeksploitasi kerentanan terhadap server, penyerang yang tidak diautentikasi dapat mengirim paket yang dibuat khusus ke server SMBv3 yang ditargetkan,” kata Microsoft. “Untuk mengeksploitasi kerentanan terhadap klien, Gimbal / TrueX SMBv3 berbahaya dan meyakinkan pengguna untuk terhubung ke sana.”

Tambalan yang mengatasi kerentanan mengoreksi cara protokol SMBv3 menangani permintaan tersebut, menurut perusahaan.

Versi Microsoft Windows yang terpengaruh oleh kerentanan CVE-2020-0796 RCE adalah:

Windows Server

• Versi 1903 (Instalasi Inti Server)
• Versi 1909 (Instalasi Inti Server)

Windows 10

Versi 1903 untuk Sistem 32-bit

Versi 1903 untuk Sistem berbasis ARM64

Versi 1903 untuk Sistem berbasis x64

Versi 1909 untuk Sistem 32-bit

Versi 1909 untuk Sistem berbasis ARM64

Versi 1909 untuk Sistem berbasis x64

Dalam analisis yang diposting pada Maret 2020, VMware peneliti mengatakan bahwa selain memungkinkan pengguna yang tidak diautentikasi untuk mengeksekusi kode dari jarak jauh dengan mengirimkan paket “yang dibuat khusus” ke Server SMBv3 yang rentan, “jika penyerang dapat meyakinkan atau mengelabui pengguna agar terhubung ke Server SMBv3 berbahaya, maka SMB3 pengguna klien juga dapat dieksploitasi.”

“Terlepas dari apakah target atau host berhasil dieksploitasi, ini akan memberikan penyerang kemampuan untuk mengeksekusi kode arbitrer,” kata VMware.

Cacat ‘Wormable’

Dalam sebuah blog pada bulan Maret 2020, Satnam Narang dari Tenable menunjukkan bahwa kerentanan telah dicirikan sebagai “wormable.”

Kerentanan “membangkitkan kenangan EternalBlue, terutama CVE-2017-0144, sebuah Kerentanan RCE di Microsoft SMBv1 yang digunakan sebagai bagian dari serangan ransomware WannaCry,” kata Narang. “Ini jelas merupakan perbandingan yang tepat, sehingga para peneliti menyebutnya sebagai EternalDarkness.”

Kerentanan baru lainnya yang ditambahkan ke Katalog Kerentanan yang Diketahui dari CISA termasuk kelemahan tambahan dalam produk Microsoft dan dua kelemahan dalam perangkat lunak Apple.

“Kudos to CISA untuk menjaga profesional keamanan tetap fokus pada kerentanan parah yang diketahui dapat dieksploitasi,” kata Bud Broomhead, CEO di vendor keamanan IoT perusahaan Viakoo, dalam email ke VentureBeat. “Dengan banyak tim keamanan yang terlalu banyak bekerja dan kewalahan, kejelasan dari CISA tentang apa yang layak mendapat prioritas dan perhatian mereka sangat berharga.”

Dalam hal waktu kapan kerentanan muncul terdeteksi — versus ketika ditambahkan ke katalog CISA — “itu tergantung pada saat penentuan dibuat bahwa kerentanan benar-benar dieksploitasi,” kata Broomhead. “Dengan hampir 170.000 kerentanan yang diketahui, prioritas harus diberikan kepada yang menyebabkan kerusakan nyata saat ini, bukan yang secara teori dapat menyebabkan kerusakan.”

Ini selengkapnya daftar 15 kerentanan yang baru ditambahkan ke katalog CISA:

CVE-2021-36934: Kerentanan Peningkatan Hak Istimewa Lokal Microsoft Windows SAM

CVE-2020-0796: Kerentanan Eksekusi Kode Jarak Jauh Microsoft SMBv3

CVE-2018 -1000861: Jenkins Stapler Web Framework Deserialisasi Kerentanan Data Tidak Tepercaya

CVE-2017 -9791: Apache Struts 1 Kerentanan Validasi Input yang Tidak Benar

CVE-2017-8464 : Microsoft Windows Shell (.lnk) Kerentanan Eksekusi Kode Jarak Jauh

CVE-2017 -10271: Kerentanan Eksekusi Kode Jarak Jauh Oracle Corporation WebLogic Server

CVE-2017- 026 3: Kerentanan Peningkatan Hak Istimewa Microsoft Win32k

CVE-2017-0262: Microsoft Office Kerentanan Eksekusi Kode Jarak Jauh

CVE-2017-0145: Eksekusi Kode Jarak Jauh Microsoft SMBv1 Kerentanan

CVE-2017-0144: Kerentanan Eksekusi Kode Jarak Jauh Microsoft SMBv1

CVE-2016-3088: Apache ActiveMQ Kerentanan Validasi Input yang Tidak Tepat

CVE-2015-2051: D-Link DIR-645 Router Eksekusi Kode Jarak Jauh

CVE-2015-1635: Kerentanan Eksekusi Kode Jarak Jauh Microsoft HTTP.sys

CVE-2015-1130: Kerentanan Bypass Otentikasi Apple OS X

CVE-2014-4404: Kerentanan Overflow Buffer Berbasis Tumpukan Apple OS X

Misi VentureBeat adalah menjadi digital untuk wn square bagi pengambil keputusan teknis untuk mendapatkan pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Belajarlah lagi

Baca selengkapnya