image credit: Pixabay.com
Tiga zero day NTFS belum lama ini menjadi momok bagi Microsoft karena menjadi kerentanan yang cukup berbahaya dan merepotkan, berikut ulasannya.
Setelah Februari yang relatif tenang, Microsoft minggu ini merilis patch untuk enam kerentanan zero-day yang sudah dieksploitasi secara aktif oleh para penyerang, dan 51 bug lainnya di seluruh rangkaian produk perusahaan.
Zero-day dalam pembaruan keamanan Microsoft bulan Maret hanya kurang satu dari rekor perusahaan sepanjang masa sebanyak tujuh untuk Patch Tuesday dan kemungkinan akan berarti minggu yang tidak bisa tidur bagi tim keamanan yang perlu mengatasi bug sebelum penyerang dapat mengeksploitasinya.
|
Baca juga: 3 Definisi Zero Day |
Tiga Zero-Day NTFS
Tiga zero-day NTFS atau yang memengaruhi file NTFS untuk versi Windows dan Windows Server terkini. Yang paling serius di antaranya adalah bug eksekusi kode jarak jauh,
- CVE-2025-24993 (skor CVSS: 7.2). Kerentanan buffer overflow berbasis tumpukan memberi penyerang yang sudah memiliki akses ke sistem yang terpengaruh, cara untuk mengeksekusi kode arbitrer di dalamnya.
- CVE-2025-24984, dengan skor CVSS 4,3
- CVE-2025-24991 (skor CVSS: 5,1). Keduanya merupakan bug pengungkapan informasi yang memungkinkan pengguna yang tidak berwenang mengakses informasi sensitif.
Namun, dua yang terakhir memerlukan upaya tertentu agar penyerang dapat mengeksploitasinya. Dengan CVE-2025-24991, penyerang perlu mengelabui pengguna agar memasang hard disk virtual (VHD) yang berbahaya untuk memicu kelemahan tersebut.
Sedangkan dengan CVE-2025-24984, penyerang harus dapat secara fisik mencolokkan drive USB berbahaya ke sistem yang terpengaruh, menurut Microsoft.
Ketiga kelemahan NTFS mengharuskan penyerang untuk meyakinkan target agar memasang hard disk virtual yang dibuat khusus.
Tergantung pada kelemahan yang digunakan, penyerang dapat mengeksekusi kode secara sembarangan pada sistem atau dapat membaca bagian memori, yang mungkin mengungkapkan informasi sensitif.
Mengurangi Risiko
Cara terbaik untuk mengurangi risiko yang terkait dengan kelemahan seperti CVE-2025-24933 adalah dengan membatasi asal file VHD hanya ke sumber tepercaya atau internal, imbuh Henry Smith, teknisi keamanan senior di Automox, dalam email.
Ini membantu meminimalkan risiko yang ditimbulkan oleh file berbahaya dan mengurangi kemungkinan menjadi korban serangan yang melibatkan VHD yang dibuat-buat.
Perusahaan juga harus mempertimbangkan untuk menerapkan citra emas internal yang aman untuk kasus penggunaan VHD yang disetujui.
Kerentanan zero-day keempat yang ditambal Microsoft minggu ini adalah CVE-2025-24985 (skor CVSS: 7.2) di Windows Fast FAT File System Driver.
Bug tersebut merupakan kombinasi dari masalah integer overflow dan masalah heap-based buffer overflow dan memungkinkan penyerang jarak jauh yang tidak sah untuk mengeksekusi kode sembarangan pada sistem yang terpengaruh.
Kerentanan tersebut menandai kelemahan pertama Windows Fast FAT File System Driver dalam tiga tahun dan merupakan yang pertama yang secara aktif dieksploitasi oleh penyerang sebagai zero-day.
CVE-2025-24985 sebagai salah satu dari empat kelemahan dalam pembaruan patch Microsoft terbaru, yang lainnya adalah zero-day NTFS yang berpotensi dapat disatukan oleh penyerang untuk memaksimalkan dampak serangan.
Karena kerentanan ini memungkinkan penyerang untuk melewati keamanan tingkat aplikasi sepenuhnya, mendapatkan akses tingkat kernel atau memori langsung, kerentanan ini menimbulkan risiko operasional yang parah dan jangka panjang.
|
Baca juga: Lonjakan Zero Day Penyebab dan Mitigasinya |
Eksploitasi Kerentanan
Eksploitasi aktif kerentanan tersebut menunjukkan bahwa kelompok Advance Persistent Threat (APT) dan organisasi penjahat dunia maya telah memanfaatkannya.
Salah satu bug lain yang telah dieksploitasi yang diungkapkan Microsoft dalam pembaruannya di bulan Maret adalah CVE-2025-26633 (skor CVSS: 6,5).
Sebuah kerentanan yang dapat melewati fitur keamanan di alat administratif Microsoft Management Console (MMC).
Bug tersebut berasal dari kegagalan MMC untuk membersihkan input pengguna dengan benar.
Untuk mengeksploitasinya, penyerang perlu meyakinkan calon korban untuk membuka file berbahaya atau mengklik tautan yang mengarahkan pengguna ke situs web berbahaya. Ini adalah zero-day kedua di MMC yang dieksploitasi secara liar sebagai zero day, setelah CVE-2024-43572, yang ditambal Microsoft pada bulan Oktober 2024, kata Narang dari Tenable.
Membatasi hak administratif lokal mengurangi potensi penyalahgunaan akun istimewa, membatasi peluang bagi penyerang untuk merusak sistem atau memasang malware, melalui bug seperti CVE-2025-26633, menurut peneliti keamanan.
Filip Jurčacko, teknisi keamanan dari ESET, menemukan dan melaporkan salah satu zero-day yang diungkapkan Microsoft minggu ini.
Bug tersebut, yang dilacak sebagai CVE-2025-24983 (skor CVSS: 6,5), merupakan kelemahan peningkatan hak istimewa Subsistem Kernel Windows Win32, satu-satunya yang ada dalam pembaruan Microsoft bulan Maret.
Penyerang dapat menggunakan kerentanan tersebut dalam situasi pasca-kompromi untuk meningkatkan hak istimewa hingga ke tingkat administrator sistem.
Hal ini memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tertinggi pada mesin yang terpengaruh, kata Jurčacko dalam sebuah pernyataan.
|
Baca juga: Teknologi Kamprehensif Zero Day Batu Sandungan Zero Day |
Enam Cacat Kritis
Secara keseluruhan, Microsoft menilai enam dari kerentanan yang diungkapkannya bulan ini sebagai yang memiliki tingkat keparahan kritis:
- CVE-2025-24084 (skor CVSS 7,3)
- CVE-2025-24045 (skor CVSS 8,1)
- CVE-2025-24035 (skor CVSS 8,1)
- CVE-2025-24064 (skor CVSS 7,1)
- CVE-2025-26645 (skor CVSS 8,8)
- CVE-2025-24057 (skor CVSS 7,8)
Di antara ini, SANS Institute menilai CVS-2025-24064, kerentanan eksekusi kode jarak jauh di Windows Domain Name Service, sebagai yang patut diperhatikan.
“Seorang penyerang kode jarak jauh akan mengeksploitasi kerentanan ini dengan mengirimkan pesan pembaruan DNS dinamis yang “tepat waktu”,” kata SANS
“Banyak server DNS Windows mendukung pembaruan dinamis, sehingga memudahkan penetapan nama host ke alamat IP internal. Tidak jelas apakah server dapat dieksploitasi jika pembaruan dinamis dinonaktifkan.”
Lebih dari satu dari lima (22%) bug yang diungkapkan Microsoft bulan ini dieksploitasi, diungkapkan ke publik, atau memiliki skor keparahan kritis.
Angka itu tinggi terutama karena jumlah CVE yang lebih rendah, 57 secara keseluruhan dalam rilis Maret.
Sumber berita:
