Cyberthreat.id - Microsoft pada Selasa (9 Juni 2020) kemarin mengeluarkan pembaruan 'Patch Tuesday' yang memperbaiki 129 kerentanan di seluruh produk dan layanannya. Rilis ini menandai pembaruan keamanan bulanan terbesar Microsoft hingga saat ini sekaligus bulan keempat berturut-turut lebih dari 100 Common Vulnerabilities and Exposures (CVE) yang ditambal.

Sebelas bug yang ditangani pada rilis terbaru dikategorikan sebagai 'Critical', dan 118 diklasifikasikan 'Penting'. Kerentanan itu diantaranya terdapat di Microsoft Windows, Internet Explorer, browser Edge, ChakraCore, Office, Layanan Office dan Aplikasi Web, Windows Defender, Microsoft Dynamics, Visual Studio, Azure DevOps, dan Microsoft Apps untuk Android.

"Tidak ada (kerentanan) yang diketahui publik atau berada dalam serangan aktif," tulis DarkReading, Selasa (9 Juni 2020).

Ada beberapa tren menarik dalam rilis yang tergolong masif ini, termasuk perbaikan untuk tiga kelemahan dalam protokol Microsoft Server Message Block (SMB). Dua di antaranya berada di SMBv3: Satu adalah bug penolakan layanan (CVE-2020-1284) yang mengharuskan penyerang diautentikasi;  lainnya adalah kerentanan pengungkapan informasi (CVE-2020-1206) yang tidak memerlukan otentikasi.

Yang ketiga adalah CVE-2020-1301, cacat eksekusi kode jauh (RCE) di SMBv1 yang membutuhkan otentikasi.

Satnam Narang, staf insinyur riset Tenable, menunjukkan perbaikan yang terakhir mengingatkan pakar terhadap EternalBlue, kerentanan RCE di SMBv1 yang digunakan dalam serangan ransomware WannaCry. Namun, tidak seperti EternalBlue, CVE-2020-1301 membutuhkan penyerang yang terautentikasi. Ini mempengaruhi Windows 7 dan 2008, yang keduanya mencapai akhir dukungan (end of support) pada Januari 2020 tetapi telah menerima tambalan.

"Meskipun demikian, kami sangat menyarankan menonaktifkan SMBv1, karena ini merupakan protokol lama yang seharusnya tidak lagi digunakan," kata Narang.

Perusahaan sangat disarankan untuk memutakhirkan Windows 7 dan 2008 karena Microsoft jarang merilis tambalan untuk sistem operasi yang tidak lagi mendapat dukungan.

Kerentanan eksekusi kode jauh (RCE) umum terjadi bulan ini dan merupakan sembilan dari 11 kelemahan Kritis yang diperbaiki di Patch Tuesday kemarin.  Microsoft menambal cacat kritis RCE di SharePoint Server, jika dieksploitasi memungkinkan penyerang melakukan tindakan dalam konteks keamanan proses kumpulan aplikasi SharePoint.  CVE-2020-1181 ada dalam cara SharePoint memproses kontrol Web ASP.NET yang tidak aman. Ini memengaruhi SharePoint 2010 hingga 2019 dan membutuhkan penyerang yang diautentikasi.

"Karena kerumitan rantai serangan, Microsoft menganggap eksploitasi kerentanan ini lebih kecil," kata Chris Hass, direktur keamanan dan penelitian informasi Automox. 

"Namun, jika seorang penyerang bisa melakukannya, itu bisa sangat merusak sistem yang terpengaruh."

Bug RCE yang lebih penting dibahas dalam Windows Graphic Device Interface (CVE-2020-1248) dan Windows OLE (CVE-2020-1281). Yang pertama dapat dieksploitasi dengan berbagai cara: Penyerang dapat membuat situs web berbahaya dan memikat korban untuk melihatnya, atau mereka dapat menginfeksi korban menggunakan file yang dibuat khusus. Yang terakhir membutuhkan pembukaan file yang dibuat khusus untuk dieksekusi.

Microsoft juga menambal kerentanan RCE di Excel (CVE-2020-1225 dan CVE-2020-1226), Word untuk Android (CVE-2020-1223), LNK (CVE-2020-1299), Windows Shell (CVE-2020-1286), dan Jet Database Engine (CVE-2020-1208 dan CVE-2020-1236). Itu ditujukan beberapa kelemahan eksekusi kode jauh di sistem operasi Windows, dari Windows 7 ke Windows 2019.

Mesin Windows VBScripting menerima beberapa tambalan untuk kekurangan RCE. Tiga diantaranya dikategorikan Critical dan memungkinkan penyerang mendapatkan hak pengguna saat ini; tiga dianggap Penting dan dapat membiarkan penyerang menargetkan korban melalui browser Microsoft. 

Semuanya dapat dieksploitasi jika penyerang membuat situs web jahat yang dirancang untuk mengeksploitasi kerentanan melalui Internet Explorer, dan kemudian meyakinkan pengguna untuk melihat situs web.

Keterlibatan pengguna diperlukan dalam banyak serangan RCE ini. Situasi ini membuktikan adanya masalah mengingat berapa banyak orang yang mengklik tautan, membuka file, dan mengunjungi situs web yang berpotensi mencurigakan.

Verizon DBIR tahun 2020 menemukan bahwa kesalahan manusia terus mengganggu keamanan dunia maya perusahaan. Jika kekurangan/kerentanan ini dibiarkan, mereka berpotensi memberikan penyerang rute masuk ke bisnis.[]