KONGGRES.COM – Microsoft telah melakukan perbaikan atas 32 kerentanan yang ada di Azure Site Recovery yang memungkinkan peretas untuk mendapatkan hak akses istimewa atau melakukan eksekusi kode jahat jarak jauh.
Layanan Azure Site Recovery adalah sebuah layanan pemulihan dari bencana, yang akan secara otomatis memindahkan muatan kerja ke lokasi sekunder ketika sebuah masalah terdeteksi.
Sebagai bagian dari pembaruan Patch Tuesday bulan Juli 2022, Microsoft memperbaiki 84 kerentanan, dengan kerentanan pada Azure Site Recovery tercatat sebanyak ⅓ dari bug yang diperbaiki. Dari 32 kerentanan yang diperbaiki, dua memungkinkan eksekusi kode jarak jauh, dan 30 lainnya adalah kerentanan yang memungkinkan peningkatan hak istimewa.
Dalam catatan yang dirilis, Microsoft menyatakan bahwa kerentanan injeksi SQL menyebabkan sebagian besar bug eskalasi hak istimewa. Namun Microsoft juga menyoroti soal kerentanan CVE-2022-33675 yang disebabkan oleh kerentanan DLL Hijacking yang sebelumnya ditemukan oleh Tenable.
Kerentanan DLL Hijacking
Kerentanan DLL Hijacking ini terlacak sebagai CVE-2022-33675 dan memiliki rating keparahan CVSS V3 dengan nilai 7.8. Ini pertama kali ditemukan oleh para peneliti di Tenable, yang kemudian menyampaikan temuannya kepada Microsoft pada tanggal 8 April 2022 lalu.
Serangan DLL Hijacking mengeksploitasi kerentanan yang disebabkan oleh izin yang tidak aman pada folder yang dicari oleh sistem operasi Windows dan memuat DLL yang diperlukan saat aplikasi diluncurkan.
Untuk melakukan serangan, pelaku bisa membuat sebuah DLL custom berbahaya menggunakan nama yang sama seperti DLL pada umumnya, yang dimuat oleh aplikasi Azure Site Recovery. DLL berbahaya ini kemudian tersimpan di folder yang dicari oleh Windows, menyebabkan itu termuat dan dieksekusi ketika aplikasi dijalankan.
Menurut Tenable, layanan dengan nama cxprocessserver dari ASR berjalan dengan hak akses SYSTEM secara default, dan executable-nya berada di direktori yang telah secara tidak benar diatur untuk memungkinkan pemberian izin ke siapapun.
Ini memungkinkan pengguna biasa untuk menanam DLL berbahaya, seperti ktmw32.dll di direktori tersebut. Kini ketika proses cxprocessserver dimulai, itu akan memuat DLL berbahaya dan mengeksekusi perintah apapun dengan hak akses SYSTEM.