Kali ini ditemukan kerentanan RCE (Remote Code Execution) yang ada di komponen JScript sistem operasi Windows yang dapat memungkinkan penyerang untuk mengeksekusi kode berbahaya di komputer pengguna.
Yang menemukan kerentanan ini adalah Dmitri Kaslov dari Telspace Systems, yang meneruskannya ke Zero-Day Initiative (ZDI) Trend Micro, sebuah proyek yang memediasi proses pengungkapan kerentanan antara peneliti independen dan perusahaan besar.
Ahli ZDI melaporkan masalah ini ke Microsoft pada bulan Januari, tetapi Microsoft belum merilis patch untuk kerentanan ini. Kemarin, ZDI mempublikasikan ringkasan berisi detail teknis ringan tentang kerentanan tersebut.
Bug JScript mengarah ke RCE
Menurut ringkasan ini, kerentanan memungkinkan penyerang untuk mengeksekusi kode berbahaya di PC pengguna secara remote.
Karena kerentanan memengaruhi komponen JScript (penerapan JavaScript khusus Microsoft), satu-satunya ketentuan adalah penyerang harus mengelabui pengguna agar mengakses laman web berbahaya, atau mengunduh dan membuka file JS berbahaya pada sistem (biasanya dijalankan melalui Windows Script Host —wscript.exe).
“Kerentanan spesifik ada dalam penanganan objek kesalahan di JScript,” ahli ZDI menjelaskan. “Dengan melakukan tindakan di [Jscript], penyerang dapat menyebabkan pointer untuk digunakan kembali setelah dibebaskan. Seorang penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode di bawah konteks proses saat ini.”
“Karena sensitivitas bug, kami tidak ingin memberikan terlalu banyak detail teknis hingga perbaikan lengkap dari Microsoft tersedia,” kata Brian Gorenc, direktur Inisiatif Zero Day Trend Micro.
Kerentanan tidak mengarah pada kompromi sistem secara penuh
Gorenc mengatakan kepada kami bahwa kerentanan tidak sebahaya kedengarannya, karena tidak memungkinkan kompromi sistem secara penuh.
“Kerentanan hanya memungkinkan eksekusi kode dalam lingkungan sandbox,” kata Gorenc. “Seorang penyerang akan membutuhkan tambahan eksploitasi untuk melarikan diri dari sandbox dan mengeksekusi kode mereka pada sistem target.”
Kerentanan telah diberi skor 6,8 dari 10 pada skala keparahan CVSSv2, yang merupakan skor yang cukup tinggi, jika dibandingkan dengan sebagian besar kerentanan.
Microsoft sedang mengerjakan perbaikan
Menurut Gorenc, patch akan datang. “Sepengetahuan kami, Microsoft masih bermaksud untuk merilis perbaikan untuk bug ini. Namun, mereka tidak menyelesaikan perbaikan dalam batas waktu yang ditetapkan dalam kebijakan pengungkapan kami.”
ZDI biasanya memberi perusahaan 120 hari untuk memperbaiki kerentanan yang dilaporkan sebelum mereka mengumumkan advisory mereka kepada publik. Menurut timeline balasan Microsoft, pembuat OS mengalami kesulitan mereproduksi kode proof-of-concept yang diperlukan untuk memicu kerentanan, kehilangan sekitar 75% dari 120 jadwal pengungkapan, menyisakan para insinyurnya sedikit waktu untuk mengumpulkan dan menguji patch tepat waktu untuk May Patch Tuesday.
Sementara Microsoft tidak memberikan garis waktu yang tepat ketika berencana untuk meluncurkan patch, juru bicara menegaskan mereka sedang bekerja memperbaiki.
Gorenc menambahkan bahwa ZDI tidak menemukan serangan di alam bebas yang mengeksploitasi kelemahan ini pada saat pengungkapan. Dengan sedikit detail teknis yang tersedia secara online, kemungkinan besar akan tetap demikian sampai Microsoft merilis perbaikan.
Untuk saat ini, para ahli ZDI menyarankan pengguna agar tidak mengizinkan aplikasi yang bergantung pada komponen JScript —seperti Internet Explorer, wscript.exe, dan lainnya— untuk memproses kode atau file JS yang tidak terpercaya.
