Peneliti keamanan telah menemukan celah keamanan yang serius pada semua versi Windows yang bisa membuat hacker mencuri semua data kredensial pengguna dari komputer, tablet atau server yang menjalankan sistem operasi Windows, termasuk yang belum dirilis Windows 10.
Kerentanan ini sebelumnya telah ditemukan pada Windows 20 tahun yang lalu:
Celah yang selanjutnya disebut "Redirect to SMB" adalah varian dari celah yang ditemukan pada Windows oleh Aaron Spangler hampir 18 tahun yang lalu yang menyebabkan Windows dapat mengekspos username dan password user secara otomatis. Namun, menurut Cylance yang menemukan bug tersebut, celah ini tidak pernah diperbaiki oleh Microsoft, sebagaimana Microsoft katakan bahwa celah ini tidak perlu dikhawatirkan. Oleh karena itulah, teknik hacking saat ini lebih menargetkan protokol file sharing SMB.
Apa itu SMB?
SMB (Server Message Block), adalah sebuah protokol yang memungkinkan pengguna untuk berbagi file melalui jaringan. Dalam sistem operasi Windows, SMB sering digunakan oleh perusahaan dan organisasi untuk berbagi file dari satu server di seluruh jaringan mereka.
Bagaimana serangan "Redirect to SMB" terjadi?
Saat user meminta file dari sebuah server, Windows secara otomatis akan mencoba untuk melakukan otentikasi ke server SMB dengan memberikan akses kredensial user. Simpelnya, Attacker akan menggunakan beberapa metode agar korban melakukan otentikasi pada server SMB milik Attacker. Jadi, attacker hanya perlu memotong jalur request HTTP, yang dapat dengan mudah dilakukan dengan menggunakan serangan Man-in-the-Middle (MITM), kemudian mengarahkan korban ke server SMB yang telah dibuat oleh attacker. Ketika korban memasukan URL yang diawali dengan "file: //" atau dengan mengklik link berbahaya, Windows percaya bahwa user sedang mencoba mendapatkan akses ke file di server yang sebenarnya. Celah ini mengakibatkan Windows secara otomatis melakukan mengotentikasi dirinya ke server SMB milik attacker dengan memberikan data login user ke server. Hal ini dapat memungkinkan seorang attacker untuk mencuri username, domain serta password korban yang berbentuk hash yang menurut Cyclance dapat di-crack dengan GPU high-end dalam waktu kurang dari setengah hari.
Apa pendapat Microsoft tentang masalah ini?
Petinggi Microsoft meremehkan "penemuan" Cylance tentang celah tersebut. Mereka mengatakan bahwa masalah tersebut sama sekali bukanlah hal baru dan kemungkinan adanya user yang terkena serangan ini sangatlah sedikit.
Aplikasi apa saja yang terancam dengan serangan ini:
Cyclance mengatakan bahwa hampir 31 program rentan terhadap celah SMB, yang meliputi:
- Aplikasi umum: Adobe Reader, Apple QuickTime dan Apple Software Updater untuk update iTunes
- Aplikasi Microsoft: Internet Explorer, Windows Media Player, Excel 2010, dan bahkan Microsoft Baseline Security Analyzer
- Tools Developer: Github, PyCharm, IntelliJ IDEA, PHP Storm dan installer JDK 8u31
- Security Tools: NET Reflector dan Maltego CE
- Software antivirus: Symantec Norton Security Scan, AVG Free, BitDefender Free dan Comodo Antivirus
- Remote Desktop: Box Sync dan TeamViewer
Bagaimana agar terhindar dari celah ini?
- Cara termudah untuk melindungi terhadap masalah ini adalah dengan memblokir lalu lintas keluar dari TCP port 139 dan TCP port 445. Hal ini dapat dilakukan dengan menggunakan gateway firewall jaringan untuk mencegah komunikasi SMB keluar dari jaringan
- Segera patch software yang sedang berjalan dengan mengupdate versi terbaru dari vendor.
- Gunakan password yang rumit sehingga attacker akan membutuhkan waktu yang lama untuk mem-bruteforce hash dari password anda.
Tidak ada komentar:
Posting Komentar
Terima kasih telah berkunjung.