Perbarui dengan informasi lebih lanjut dari Microsoft.Bahasa Indonesia:
Microsoft telah mengungkapkan kerentanan tingkat tinggi yang memengaruhi Office 2016, yang dapat memaparkan hash NTLM ke penyerang jarak jauh.
Dilacak sebagai CVE-2024-38200, kelemahan keamanan ini disebabkan oleh kelemahan pengungkapan informasi yang memungkinkan pelaku tidak berwenang untuk mengakses informasi yang dilindungi.
Zero-day memengaruhi beberapa versi Office 32-bit dan 64-bit, termasuk Office 2016, Office 2019, Office LTSC 2021, dan Aplikasi Microsoft 365 untuk Enterprise.
Meskipun penilaian eksploitasi Microsoft mengatakan bahwa eksploitasi CVE-2024-38200 kecil kemungkinannya, MITRE telah ditandai Kemungkinan eksploitasi untuk jenis kelemahan ini sangat mungkin terjadi.
“Dalam skenario serangan berbasis web, penyerang dapat meng-hosting situs web (atau memanfaatkan situs web yang disusupi yang menerima atau meng-hosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus untuk mengeksploitasi kerentanan,” demikian penjelasan penasihat Microsoft.
“Namun, penyerang tidak akan memiliki cara untuk memaksa pengguna mengunjungi situs web tersebut. Sebaliknya, penyerang harus meyakinkan pengguna untuk mengeklik tautan, biasanya melalui bujukan dalam email atau pesan Instant Messenger, lalu meyakinkan pengguna untuk membuka berkas yang dibuat khusus tersebut.”
Perusahaan sedang mengembangkan pembaruan keamanan untuk mengatasi bug zero-day ini tetapi belum mengumumkan tanggal rilis.
Sejak menerbitkan artikel ini, Microsoft membagikan informasi lebih lanjut tentang kelemahan CVE-2024-38200 dalam advisori tersebut, dengan menyatakan bahwa mereka merilis perbaikan melalui Feature Flighting pada 7/30/2024
“Tidak, kami mengidentifikasi perbaikan alternatif untuk masalah ini yang kami aktifkan melalui Feature Flighting pada 30/7/2024,” demikian bunyi penasihat CVE-2024-38200 yang diperbarui.
“Pelanggan sudah terlindungi di semua versi Microsoft Office dan Microsoft 365 yang didukung. Pelanggan tetap harus memperbarui ke pembaruan 13 Agustus 2024 untuk versi final perbaikan.”
Saran tersebut lebih lanjut menyatakan bahwa kelemahan ini dapat diatasi dengan memblokir lalu lintas NTLM keluar ke server jarak jauh.
Microsoft mengatakan Anda dapat memblokir lalu lintas NTLM keluar menggunakan tiga metode berikut:
- Mengonfigurasi Keamanan Jaringan: Batasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh kebijakan grup untuk mengizinkan, memblokir, atau mengaudit lalu lintas NTLM keluar dari komputer yang menjalankan Windows 7, Windows Server 2008, atau yang lebih baru ke server jarak jauh mana pun yang menjalankan sistem operasi Windows. Dalam kasus ini, Anda ingin menggunakan kebijakan tersebut untuk memblokir lalu lintas NTLM.
- Menambahkan pengguna ke Grup Keamanan Pengguna yang Dilindungiyang membatasi penggunaan NTLM sebagai mekanisme otentikasi
- Memblokir semua lalu lintas keluar ke port TCP 445.
Microsoft mencatat pemanfaatan salah satu mitigasi ini dapat mencegah akses sah ke server jarak jauh yang mengandalkan autentikasi NTLM.
Walaupun Microsoft tidak membagikan detail lebih lanjut tentang kerentanan tersebut, panduan ini menunjukkan kelemahan tersebut dapat digunakan untuk memaksa koneksi NTLM keluar, seperti ke berbagi SMB di server penyerang.
Ketika ini terjadi, Windows mengirimkan hash NTLM milik pengguna, termasuk kata sandi hash mereka, yang kemudian dapat dicuri oleh penyerang.
Sebagai didemonstrasikan berulang kali di masa lalu, hash ini dapat dipecahkan, yang memungkinkan pelaku ancaman memperoleh akses ke nama login dan kata sandi teks biasa.
Hash NTLM juga dapat digunakan dalam Serangan Relay NTLM, seperti yang terlihat sebelumnya dengan Bayangan MemaksaBahasa Indonesia: DFSMemaksaBahasa Indonesia: untuk Petit PotDan KentangJarakJauh0 serangan, untuk mendapatkan akses ke sumber daya lain di jaringan.
Detail lebih lanjut akan dibagikan di Defcon
Microsoft menghubungkan penemuan kelemahan tersebut dengan konsultan keamanan PrivSec Consulting Jim Rush dan anggota Tim Synack Red Metin Yunus Kandemir.
Direktur Pelaksana PrivSec Peter Jakowetz mengatakan kepada BleepingComputer bahwa Rush akan mengungkapkan informasi lebih lanjut tentang kerentanan ini dalam pembicaraan Defcon “NTLM – The last ride” mendatang.
“Akan ada pembahasan mendalam mengenai beberapa bug baru yang kami ungkapkan ke Microsoft (termasuk melewati perbaikan CVE yang ada), beberapa teknik yang menarik dan berguna, menggabungkan teknik dari beberapa kelas bug yang menghasilkan beberapa penemuan tak terduga dan beberapa bug yang benar-benar matang,” Rush menjelaskan.
“Kami juga akan mengungkap beberapa pengaturan bawaan yang seharusnya tidak ada dalam pustaka atau aplikasi yang masuk akal serta beberapa celah mencolok dalam beberapa kontrol keamanan terkait Microsoft NTLM.”
Seorang juru bicara Synack tidak langsung bersedia memberikan komentar saat dihubungi oleh BleepingComputer hari ini untuk mendapatkan rincian lebih lanjut mengenai kerentanan CVE-2024-38200.
Microsoft juga berupaya menambal kelemahan zero-day yang dapat dieksploitasi untuk “membuka patch” sistem Windows terkini dan memperkenalkan kembali kerentanan lama.
Perusahaan tersebut juga mengatakan awal minggu ini bahwa mereka sedang mempertimbangkan untuk menambal Kontrol Aplikasi Cerdas Windows, bypass SmartScreen dieksploitasi sejak 2018
Pembaruan 8/10/24: Menambahkan informasi tambahan dari Microsoft tentang cara mengatasi kelemahan tersebut.
