Ancaman Serius Terhadap Keamanan Data di Microsoft Office

Microsoft baru-baru ini mengeluarkan peringatan terkait kerentanan zero-day yang belum ditambal di beberapa versi Office. Kerentanan ini, yang dapat dieksploitasi oleh penyerang untuk mengakses informasi sensitif secara ilegal, telah diidentifikasi dengan kode CVE-2024-38200. Dengan skor CVSS sebesar 7.5, kerentanan ini termasuk dalam kategori berisiko tinggi. Masalah ini digambarkan sebagai celah spoofing yang berdampak pada beberapa edisi Microsoft Office, termasuk:

• Microsoft Office 2016 untuk versi 32-bit dan 64-bit
• Microsoft Office LTSC 2021 untuk versi 32-bit dan 64-bit
• Microsoft 365 Apps for Enterprise untuk sistem 32-bit dan 64-bit
• Microsoft Office 2019 untuk versi 32-bit dan 64-bit

Kerentanan ini pertama kali ditemukan dan dilaporkan oleh dua peneliti keamanan, Jim Rush dan Metin Yunus Kandemir, yang berperan penting dalam mengungkap potensi ancaman ini.

Ancaman Serangan Melalui Situs Web

Dalam skenario serangan yang dibayangkan oleh Microsoft, penyerang dapat memanfaatkan situs web untuk mengelabui pengguna agar mengunduh dan membuka file berbahaya. Penyerang bisa menggunakan situs web yang telah dikompromikan atau membuat situs baru yang menyajikan file yang dirancang khusus untuk mengeksploitasi kelemahan ini. Namun, Microsoft menekankan bahwa penyerang tidak dapat memaksa pengguna untuk mengunjungi situs web ini secara langsung. Sebaliknya, mereka harus meyakinkan korban untuk mengklik tautan tertentu, biasanya melalui email phishing atau pesan instan yang dirancang untuk menarik perhatian pengguna. Setelah korban tertarik dan membuka file berbahaya, kerentanan ini dapat dieksploitasi.

Solusi Sementara dan Rencana Patch

Meskipun patch resmi untuk kerentanan CVE-2024-38200 baru akan dirilis pada 13 Agustus sebagai bagian dari pembaruan Patch Tuesday bulanan, Microsoft telah mengambil langkah cepat dengan menyediakan perbaikan sementara melalui fitur yang disebut Feature Flighting. Fitur ini telah diaktifkan sejak 30 Juli 2024 untuk memberikan perlindungan sementara sebelum patch penuh tersedia.

Microsoft juga menegaskan bahwa semua versi Microsoft Office dan Microsoft 365 yang masih didukung sudah dilindungi dari eksploitasi yang diketahui. Namun, untuk memastikan perlindungan maksimal, sangat disarankan agar pengguna segera memperbarui perangkat lunak mereka dengan patch yang akan dirilis dalam beberapa hari mendatang.

Strategi Mitigasi dan Pencegahan

Meskipun Microsoft menyebutkan bahwa kemungkinan eksploitasi dari kerentanan ini relatif kecil, perusahaan tersebut tetap memberikan beberapa langkah mitigasi yang dapat dilakukan untuk meningkatkan keamanan sistem. Ada tiga strategi utama yang diusulkan:

1. Pengaturan Kebijakan Jaringan: Dengan mengonfigurasi pengaturan "Keamanan Jaringan: Batasi Lalu Lintas NTLM Keluar ke Server Jarak Jauh," pengguna dapat mengontrol apakah akan mengizinkan, memblokir, atau mengaudit lalu lintas NTLM keluar dari komputer Windows ke server jarak jauh yang juga menjalankan Windows.
2. Kelompok Pengguna yang Dilindungi: Menambahkan pengguna ke Grup Keamanan Pengguna yang Dilindungi dapat mencegah penggunaan NTLM sebagai mekanisme autentikasi, sehingga mengurangi risiko serangan berbasis NTLM.
3. Blokir TCP 445/SMB: Memblokir lalu lintas TCP 445/SMB yang keluar dari jaringan dengan menggunakan firewall perimeter, firewall lokal, dan pengaturan VPN dapat mencegah pengiriman pesan autentikasi NTLM ke berbagi file jarak jauh, mengurangi risiko serangan melalui jaringan.

Tantangan Keamanan Lain yang Sedang Ditangani Microsoft

Pengungkapan kerentanan ini juga terjadi di tengah upaya Microsoft untuk menangani dua kerentanan zero-day lainnya, yaitu CVE-2024-38202 dan CVE-2024-21302. Kedua celah ini dapat dieksploitasi untuk menghapus tambalan keamanan yang telah ada pada sistem Windows, memungkinkan penyerang untuk mengaktifkan kembali kerentanan lama yang sebelumnya sudah diperbaiki.

Selain itu, peneliti dari Elastic Security Labs baru-baru ini mengungkapkan berbagai metode yang dapat digunakan oleh penyerang untuk menjalankan aplikasi berbahaya tanpa memicu peringatan dari Windows Smart App Control dan SmartScreen. Salah satu teknik yang disebut "LNK stomping" telah dieksploitasi di dunia maya selama lebih dari enam tahun, menunjukkan bahwa ancaman keamanan siber tetap menjadi tantangan yang kompleks dan berkelanjutan.

Dengan semakin meningkatnya ancaman siber, penting bagi pengguna untuk tetap waspada dan mengikuti perkembangan terbaru dari pembaruan keamanan yang dirilis oleh penyedia perangkat lunak. Microsoft telah mengambil langkah proaktif untuk melindungi pengguna dari kerentanan yang ditemukan, tetapi partisipasi aktif dari pengguna juga diperlukan untuk memastikan bahwa sistem mereka tetap aman dari potensi eksploitasi.