ZDI mengekspos kekurangan Microsoft RCE Zero-day unpatched di publik setelah melewati batas 120 hari

Kerentanan Microsoft Zero-day yang ada di Microsoft JET Database Engine telah melampaui batas waktu pengungkapan hari ke-nol nol-hari (ZDI) 120 hari dan sekarang dirilis di depan umum.

ZDI awalnya melaporkan aliran zero-day ini ke Microsoft pada 8 Mei 2018, sejak itu Microsoft mengakui kerentanan dan mulai mengusahakannya untuk menyediakan patch untuk Windows.


Aliran Zero-hari ini ditemukan dan dilaporkan oleh Lucas Leong dari Trend Micro Security Research dan kerentanan memungkinkan penyerang untuk menjalankan kode arbitrer dalam mesin basis data Jet Microsoft.
Rincian Kerentanan

Kerentanan khusus ini ada dalam pengelolaan indeks dalam mesin basis data Jet yang memungkinkan penyerang jauh untuk mengeksekusi kode arbitrer pada instalasi yang rentan dari Microsoft Windows.


Untuk memicu kerentanan Microsoft Zero-day ini, penyerang perlu mengirim file yang dibuat khusus berisi data yang disimpan dalam format database JET dan pengguna perlu membuka file untuk memicu kerentanan ini di mesin korban.

Menurut ZDI , “Penyebab utama masalah ini berada di Microsoft JET Database Engine. Microsoft menambal dua masalah lain di JET pada pembaruan September Patch Selasa. Sementara bug yang ditambal terdaftar sebagai buffer overflows, bug tambahan ini sebenarnya merupakan penulisan di luar batas, yang dapat dipicu dengan membuka sumber data Jet melalui OLEDB. Berikut ini adalah hasil tabrakan yang terjadi ”



Terutama interaksi pengguna memang perlu berhasil mengeksploitasi kerentanan ini di mesin korban dengan menipu mereka untuk membuka file jahat.

Penelitian ZDI menegaskan bahwa Microsoft Zero-day ini ada di Windows 7 dan mereka percaya semua versi Windows yang didukung terkena dampak oleh bug ini. Anda juga dapat menemukan kode Bukti-konsep di sini.


Sampai sekarang kerentanan ini belum ditambal dan Microsoft terus-menerus mengerjakannya untuk menambal kerentanan kritis Zero-day ini dan kami berharap patch tersebut akan dirilis secara teratur pada patch patch Selasa Oktober karena tidak dirilis pada patch September.