Patch Tuesday bulan ini menutup 80 CVE di ekosistem Microsoft. Delapan diklasifikasikan Critical dan 72 Important. Tidak ada kerentanan yang tercatat dieksploitasi sebagai zero-day saat rilis. Polanya konsisten: EoP (Elevation of Privilege) kembali mendominasi (38 kasus), diikuti RCE (Remote Code Execution) sebanyak 22, information disclosure 14, dan DoS 3. Bagi tim keamanan, komposisi ini menegaskan kenyataan operasional: penyerang sering hanya butuh pijakan awal, lalu memanjat hak akses menggunakan EoP untuk mencapai SYSTEM atau bahkan domain admin.
Satu CVE patut menjadi perhatian karena sudah diketahui publik: CVE-2025-55234 (CVSS 8.8) pada Windows SMB. Microsoft menambahkan kapabilitas audit untuk memetakan kompatibilitas SMB signing dan Extended Protection for Authentication (EPA) di sisi server. Artinya, patch ini bukan hanya “menambal”, tetapi juga menyediakan alat bantu agar admin bisa menilai klien mana yang belum siap ditegakkan kebijakan penguatan—sebelum melakukan hardening penuh. Inti risikonya tetap sama: konfigurasi SMB yang longgar membuka jalan bagi relay attack dan memudahkan EoP lintas host.
Di sisi cloud, CVE-2025-54914 (CVSS 10.0) pada Azure Networking bersifat kritis namun tidak memerlukan aksi pelanggan karena ditangani di sisi penyedia. Meski begitu, tetap masuk akal untuk memantau anomali akses dan peringatan di langganan Azure guna memastikan tidak ada dampak samping pada workload.
Untuk lingkungan on-prem dan hibrida, dua isu berikut menuntut prioritas tinggi. Pertama, CVE-2025-55232 (CVSS 9.8) pada Microsoft HPC Pack yang membuka peluang RCE lewat paket jaringan yang dibuat khusus. Karena head node merupakan pusat orkestrasi, kompromi di titik ini bisa berimbas ke seluruh cluster. Kedua, CVE-2025-54918 (CVSS 8.8) pada Windows NTLM yang memungkinkan EoP melalui jaringan. Deskripsi patch mengindikasikan penyerang mungkin sudah memiliki NTLM hash atau kredensial pengguna, lalu mengeksploitasi improper authentication untuk eskalasi—sebuah skenario klasik pasca-phishing atau setelah token dicuri.
Update juga menyentuh Microsoft Edge berbasis Chromium: sejak Patch Tuesday Agustus 2025, ada 12 perbaikan tambahan, termasuk security bypass CVE-2025-53791 yang telah dibenahi pada versi 140.0.3485.54. Pembaruan browser kerap diremehkan, padahal kanal ini sering dimanfaatkan untuk memulai kompromi melalui malvertising atau ekstensi berbahaya.
Bagian BitLocker layak disimak lebih detail. Dua EoP baru—CVE-2025-54911 (CVSS 7.3) dan CVE-2025-54912 (CVSS 7.8)—melengkapi empat kerentanan yang sebelumnya ditambal pada Juli 2025 dan dikenal sebagai BitUnlocker (CVE-2025-48003, -48800, -48804, -48818). Eksploitasi sukses umumnya membutuhkan akses fisik, tetapi dampaknya signifikan: proteksi enkripsi disk bisa ditembus. Rekomendasi resmi menekankan TPM+PIN pada pre-boot authentication dan mengaktifkan mitigasi REVISE untuk mencegah downgrade komponen boot yang membuka kembali celah lama. Pesannya jelas: enkripsi disk kuat, tetapi rantai boot dan kebijakan pre-boot harus sama kuatnya.
Di ranah teknik serangan, komunitas riset memperkenalkan metode pergerakan lateral baru bernama BitLockMove. Teknik ini melakukan manipulasi registry BitLocker dari jarak jauh lewat WMI, menyalin DLL berbahaya melalui SMB, lalu membajak objek COM agar BitLocker memuat DLL tersebut. Eksekusi terjadi dalam konteks interactive user pada host target; bila akun itu memiliki hak istimewa berlebih (misalnya domain admin), eskalasi domain bisa terjadi. Ini mengingatkan bahwa kontrol akses jarak jauh, segmentasi jaringan, dan application control harus berjalan seiring dengan kebijakan enkripsi.
Microsoft juga memperbaiki CVE-2024-21907 (CVSS 7.5) pada Newtonsoft.Json yang digunakan SQL Server, yang berpotensi memicu DoS. Ketergantungan pustaka umum seperti ini sering tersembunyi di bawah radar, padahal berada di jalur panas sistem bisnis. Menjaga versi dependensi sama pentingnya dengan memasang cumulative update.
Jika hasil audit menunjukkan klien modern siap, tegakkan kebijakan secara bertahap. Di sisi server dan klien, RequireSecuritySignature dapat diaktifkan, lalu disebarkan melalui Group Policy (“Microsoft network server/client: Digitally sign communications (always)”). Untuk EPA, ikuti panduan yang menyertai patch agar penegakan dilakukan setelah kompatibilitas dipastikan, sehingga tidak ada layanan penting yang terputus.
Berikutnya NTLM. Di Group Policy, nonaktifkan LM dan NTLMv1, paksa NTLMv2, dan gunakan kebijakan Restrict NTLM untuk memblokir autentikasi lintas segmen yang tidak diperlukan. Aktifkan log operasional NTLM untuk memantau fallback yang tidak semestinya. Integrasikan dengan SMB signing wajib agar relay berbasis NTLM gagal sejak awal. Jika lingkungan sudah siap, dorong pengurangan ketergantungan NTLM menuju Kerberos pada layanan internal.
Masuk ke BitLocker. Terapkan TPM+PIN pada perangkat bernilai tinggi. Kebijakan “Require additional authentication at startup (OS Drives)” bisa digunakan untuk menegakkannya, lalu verifikasi di perangkat:
manage-bde -protectors -add C: -TPMAndPIN
manage-bde -protectors -get C:
Aktifkan REVISE untuk mencegah downgrade komponen boot. Pastikan Secure Boot aktif dan kombinasikan dengan Credential Guard serta kebijakan Device/Application Control agar pemuatan DLL atau driver tidak sah dapat diblokir lebih awal. Untuk mengurangi peluang BitLockMove, batasi akses WMI dari segmen jaringan yang tidak tepercaya, monitor penulisan registry terkait BitLocker, dan awasi transfer DLL melalui SMB ke jalur-jalur yang sensitif.
Aktifkan REVISE untuk mencegah downgrade komponen boot. Pastikan Secure Boot aktif dan kombinasikan dengan Credential Guard serta kebijakan Device/Application Control agar pemuatan DLL atau driver tidak sah dapat diblokir lebih awal. Untuk mengurangi peluang BitLockMove, batasi akses WMI dari segmen jaringan yang tidak tepercaya, monitor penulisan registry terkait BitLocker, dan awasi transfer DLL melalui SMB ke jalur-jalur yang sensitif.
Pada HPC Pack, prioritaskan patch CVE-2025-55232 di head node terlebih dahulu karena ia menjadi pusat kendali. Batasi port manajemen agar hanya bisa diakses dari subnet cluster, dan wajibkan TLS modern pada antarmuka administrasi. Lakukan audit kredensial layanan yang disimpan di orkestrator, karena service account yang berlebihan haknya sering menjadi jalur pintas eskalasi.
Untuk SQL Server yang memakai Newtonsoft.Json, pastikan paket pembaruan dependensi ikut terpasang. Lakukan inventarisasi pustaka pihak ketiga yang dibundel aplikasi untuk memastikan tidak ada salinan lama yang tertinggal dan masih dipanggil oleh modul tertentu.
Dorong Edge 140.0.3485.54 atau lebih baru secara terpusat. Audit ekstensi yang diizinkan dan policy pembaruan agar celah security bypass tidak kembali terbuka lewat konfigurasi klien.
Prioritas penanganan yang efektif
Mulailah dari Domain Controller, file/print server yang mengaktifkan SMB, serta jump server yang dipakai admin. Lanjutkan ke head node HPC dan SQL Server yang memproses data sensitif. Akhiri di workstation dan browser. Urutan ini mengikuti alur serangan paling umum: pijakan awal → EoP → lateral movement → target data.
Deteksi dan hunting yang relevan
Pantau lonjakan autentikasi NTLM antarmesin yang tidak biasa, event kegagalan SMB signing atau ketidakcocokan EPA setelah kebijakan ditegakkan, serta perubahan registry yang berkaitan dengan BitLocker. Untuk indikasi BitLockMove, cari pola WMI remote execution diikuti transfer DLL via SMB ke direktori yang jarang disentuh. Integrasikan sinyal ini dengan EDR agar korelasi antar peristiwa mudah dibangun.
QnA
Apakah cukup memasang patch? Tidak selalu. Untuk CVE-2025-55234, patch menyediakan kapasitas audit agar kompatibilitas bisa dipetakan sebelum penegakan SMB signing/EPA. Setelah peta jelas, kebijakan dapat dinaikkan ke mode wajib tanpa memutus layanan.
Apakah isu Azure butuh tindakan tenant? CVE-2025-54914 tidak memerlukan aksi pelanggan, tetapi pemantauan log dan peringatan keamanan di langganan Azure tetap disarankan demi kewaspadaan.
Mengapa EoP begitu dominan? Karena EoP adalah “tangga cepat” menuju hak istimewa puncak. Setelah kredensial awal didapat (melalui phishing, steal token, atau konfigurasi lemah), EoP mempersingkat waktu hingga pengambilalihan penuh.
Bagaimana menjaga BitLocker tetap efektif? Terapkan TPM+PIN, aktifkan REVISE, pastikan Secure Boot dan kontrol aplikasi berjalan. Dengan begitu, akses fisik tidak serta merta berujung pada kompromi data.