Microsoft telah mengungkapkan kerentanan zero-day tingkat tinggi yang memengaruhi Office 2016 dan yang lebih baru, yang masih menunggu perbaikan.
Dilacak sebagai CVE-2024-38200, kelemahan keamanan ini disebabkan oleh kelemahan pengungkapan informasi yang memungkinkan pelaku tidak berwenang untuk mengakses informasi yang dilindungi seperti status sistem atau data konfigurasi, info pribadi, atau metadata koneksi.
Zero-day memengaruhi beberapa versi Office 32-bit dan 64-bit, termasuk Office 2016, Office 2019, Office LTSC 2021, dan Aplikasi Microsoft 365 untuk Enterprise.
Meskipun penilaian eksploitasi Microsoft mengatakan bahwa eksploitasi CVE-2024-38200 kecil kemungkinannya, MITRE telah ditandai Kemungkinan eksploitasi untuk jenis kelemahan ini sangat mungkin terjadi.
“Dalam skenario serangan berbasis web, penyerang dapat meng-hosting situs web (atau memanfaatkan situs web yang disusupi yang menerima atau meng-hosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus untuk mengeksploitasi kerentanan,” demikian penjelasan penasihat Microsoft.
“Namun, penyerang tidak akan memiliki cara untuk memaksa pengguna mengunjungi situs web tersebut. Sebaliknya, penyerang harus meyakinkan pengguna untuk mengeklik tautan, biasanya melalui bujukan dalam email atau pesan Instant Messenger, lalu meyakinkan pengguna untuk membuka berkas yang dibuat khusus tersebut.”
Perusahaan sedang mengembangkan pembaruan keamanan untuk mengatasi bug zero-day ini tetapi belum mengumumkan tanggal rilis.
Detail lebih lanjut akan dibagikan di Defcon
Meskipun Redmond belum membagikan detail apa pun mengenai kelemahan tersebut, penemuannya dikaitkan dengan konsultan keamanan PrivSec Consulting Jim Rush dan anggota Tim Synack Red Metin Yunus Kandemir.
Direktur Pelaksana PrivSec Peter Jakowetz mengatakan kepada BleepingComputer bahwa Rush akan mengungkapkan informasi lebih lanjut tentang kerentanan ini dalam pembicaraan Defcon “NTLM – The last ride” mendatang.
“Akan ada pembahasan mendalam mengenai beberapa bug baru yang kami ungkapkan ke Microsoft (termasuk melewati perbaikan CVE yang ada), beberapa teknik yang menarik dan berguna, menggabungkan teknik dari beberapa kelas bug yang menghasilkan beberapa penemuan tak terduga dan beberapa bug yang benar-benar matang,” Rush menjelaskan.
“Kami juga akan mengungkap beberapa pengaturan bawaan yang seharusnya tidak ada dalam pustaka atau aplikasi yang masuk akal serta beberapa celah mencolok dalam beberapa kontrol keamanan terkait Microsoft NTLM.”
Seorang juru bicara Synack tidak langsung bersedia memberikan komentar saat dihubungi oleh BleepingComputer hari ini untuk mendapatkan rincian lebih lanjut mengenai kerentanan CVE-2024-38200.
Microsoft juga berupaya menambal kelemahan zero-day yang dapat dieksploitasi untuk “membuka patch” sistem Windows terkini dan memperkenalkan kembali kerentanan lama.
Perusahaan tersebut juga mengatakan awal minggu ini bahwa mereka sedang mempertimbangkan untuk menambal Kontrol Aplikasi Cerdas Windows, bypass SmartScreen dieksploitasi sejak 2018
