Ini termasuk sebuah patch untuk celah keamanan zero-day Windows Spoofing Windows LSA kategori "important" yang dieksploitasi melalui serangan man-in-the-middle. Secara keseluruhan, Patch Tuesday tersebut akan memperbaiki tujuh kerentanan yang masuk kategori “critical”, 65 kerentanan kategori “important,” dan satu kerentanan “low”.
Apabila dibandingkan rekor patch bulan Apil lalu, patch Microsoft bulan ini memang masih tergolong rendah merilis rekor. Meski demikian, para pemerhati keamanan merekomendasikan untuk selalu waspada mengingat dampaknya yang dapat menggangu keamanan infrastruktur jaringan, bahkan di ranah cloud.
Dari 65 kerentanan kategori “important,” satu yang juga perlu dicermati oleh peneliti keamanan adalah kerentanan CVE-2022-22019 (Common Vulnerabilities and Exposures-2022-22019) yang ditemukan oleh peneliti Akamai Ben Barnea melalui tulisan blog-nya belum lama ini.
"Kerentanan CVE-2022-22019 terbaru ini menjadi menarik karena memanfaatkan tiga kerentanan Remote Procedure Call (RPC) runtime library yang sebelumnya telah diungkap dan diperbaiki oleh Microsoft pada patch bulan April lalu," kata Ben Barnea, Security Researcher, Akamai.
Microsoft bahkan memberikan penilaian tingkat keparahan kerentanan CVSS (Common Vulnerability Scoring System) dengan skor 9.8 (skor 10 terparah).
Ketiga kerentanan tersebut (CVE-2022-26809, CVE-2022-24492, dan CVE-2022-24528) membawa dampak risiko keamanan luas bagi sistem operasi Windows, mulai dari Windows 7, 8, 10, dan 11, hingga Windows Servers 2008, 2012, 2019, dan 2022.
Celah tersebut jika belum dimitigasi dengan patch memungkinkan penyerang jarak jauh yang tidak diautentikasi dapat mengeksekusi kode pada sistem Windows (Windows machine) yang rentan dengan hak istimewa dari layanan RPC.
Sebagai informasi, RPC adalah framework bagi suatu klien untuk menjalankan suatu prosedur di server dan mengembalikan hasilnya jika ada.
Sayangnya, berkaca dari track record kejadian/insiden terdahulu, RPC cenderung rentan terhadap serangan buffer overflow yang memungkinkan penyerang untuk menyuntikkan kode berbahaya yang dapat dieksekusi dari jarak jauh.
Buruknya lagi, banyak layanan RPC berjalan dengan hak istimewa yang lebih tinggi sehingga penyerang dapat mengedalikan kendali penuh sistem yang rentan tersebut.
Akamai menemukan bahwa patch sebelumnya dari Microsoft hanya mengatasi sebagian masalah sehingga memungkinkan adanya kerentanan baru yang membuat integer overflow yang sama yang seharusnya tuntas diperbaiki oleh patch sebelumnya.
Untuk lebih memahami kerentanan RPC baru ini, kita harus mundur ke kerentanan yang ditambal sebelumnya di bulan April lalu. Terdapat suatu integer overflow bug dalam kode RPC runtime library.
Apabila disalahgunakan, bug ini dapat menyebabkan buffer overflow di heap (memori), ketika data disalin ke sebuah buffer yang terlalu kecil alokasinya. Dengan demikian, data akan ditulis di luar batasan buffer di heap.
Apabila dieksploitasi oleh pihak yang memahaminya, celah keamanan ini dapat menyebabkan terjadinya eksekusi kode berbahaya dari jarak jauh.
Patch sebelumnya melakukan pemeriksaan integer overflow sebelum menambahkan ukuran header, sehingga tidak memperhitungkan header tersebut. Akibatnya, integer overflow yang sama yang coba diatasi oleh patch sebelumnya justru kembali terjadi.
Patch terbaru untuk memitigasi kerentanan lanjutan RPC runtime library di Windows dilakukan dengan menambahkan panggilan lainnya untuk memvalidasi bahwa penambahan 24 byte tidak lagi mengalami overflow.
Selain melakukan patch terbaru dari Microsoft tersebut, dua langkah mitigasi tambahan lainnya perlu dilakukan juga oleh para admin jaringan. Setelah update patch bulan Mei dilakukan, lakukan pemblokiran lalu lintas jaringan pada protokol TCP port 445 untuk perangkat di luar perimeter perusahaan.
Langkah kedua adalah membatasi gerakan lateral dari dengan hanya mengizinkan port TCP 445 masuk pada sistem perangkat/mesin yang memang membutuhkannya, seperti server DC (domain controller), pinter server cetak, file server, dan sejenisnya.
Kerentanan RPC pada Windows sebagai bagian dari eksploitasi zero-day atau zero-day exploit (0day) selalu akan menjadi sasaran empuk bagi para hacker.
Hacker biasanya akan langsung gercep (gerak cepat) mengeksploitasi celah zero-day mengingat belum adanya proses pencegahan dan mitigasi dari pihak mana pun. Inilah yang menjadikan serangan zero-day berpontensi menjadi ancaman keamanan yang berbahaya bagi siapa saja.
Rutinitas dan berkelanjutan dalam melakukan proses patch dari vendor software resmi merupakan langkah keamanan paling fundamental. Apabila suatu kerentanan ditemukan, segera lakukan patch yang baru dirilis untuk memitigasi kerentanan tersebut.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
