Pada bulan September, Microsoft merilis pembaruan keamanan untuk dua kerentanan zero-day yang sedang dieksploitasi secara aktif di dunia maya. Kedua bug tersebut adalah CVE-2023-36761 dan CVE-2023-36802, yang merupakan kerentanan pengungkapan informasi di Microsoft Word dan kerentanan eskalasi hak akses di Microsoft Streaming Service Proxy1.
CVE-2023-36761 memungkinkan penyerang untuk mendapatkan hash NTLM, yang bisa digunakan untuk melakukan autentikasi jarak jauh tanpa perlu memecahkan hash tersebut2. Microsoft telah memperbaiki kerentanan serupa di Outlook pada bulan Maret lalu1. Microsoft sangat khawatir tentang dampak CVE-2023-36761, sehingga menyediakan pembaruan tidak hanya untuk versi Word terkini, tetapi juga untuk Word 2013, yang telah mencapai akhir masa dukungan pada bulan April 2023.2.
CVE-2023-36802 memungkinkan penyerang yang telah menguasai sistem target untuk mendapatkan hak akses sistem melalui eksploitasi driver kernel2. Kerentanan ini ditemukan di dalam layanan proxy streaming, yang merupakan penerus dari Office 365 Video, yang memungkinkan pemutaran video skala besar di berbagai perangkat dalam jaringan3. Kerentanan ini memiliki skor risiko CVSS 7.8, yang lebih rendah karena hanya bisa dieksekusi secara lokal. Namun, kerentanan ini tetap menimbulkan risiko eskalasi hak akses tinggi karena penyerang yang berhasil mengeksploitasi bisa mendapatkan hak akses sistem2.
Selain kedua bug zero-day tersebut, Microsoft juga memperbaiki empat kerentanan eksekusi kode jarak jauh (RCE) yang dinilai kritis. Tiga di antaranya memengaruhi Visual Studio: CVE-2023-36793, CVE-2023-36796, dan CVE-2023-36792. Ketiga kerentanan ini mengharuskan pengguna untuk membuka file paket berbahaya, dan oleh karena itu diklasifikasikan sebagai eksekusi kode sewenang-wenang daripada RCE tanpa interaksi pengguna2. Dalam setiap kasus, pembaruan tersedia untuk banyak instalasi Visual Studio dan .NET. Organisasi dengan jumlah pengembang besar kemungkinan lebih berisiko terkena dampaknya2.
Bug RCE kritis keempat adalah CVE-2023-38148, yang ditemukan di Windows Internet Connection Sharing (ICS), tetapi memerlukan penyerang untuk berada dalam jaringan fisik atau logis yang sama dengan sistem target2. Jenis eksploitasi ini biasanya dipasangkan dengan bug eksekusi kode untuk menyebarkan malware atau ransomware. Oleh karena itu, disarankan untuk segera menguji dan menerapkan pembaruan keamanan dari Microsoft.
