DejaBlue: Bug BlueKeep-Style Baru Berarti Anda Perlu Memperbarui Windows Sekarang


Selama berbulan-bulan, sistem administrator telah berlomba untuk menambal sistem Windows mereka terhadap BlueKeep, kerentanan kritis dalam Remote Desktop Protocol Microsoft yang dapat memungkinkan worm global, mengunyah internet jika tidak diperbaiki di ratusan ribu komputer yang rentan. Cacing itu belum datang. Tetapi sekarang, Microsoft telah mengatur ulang waktu dalam perlombaan itu, mengungkapkan kumpulan kerentanan RDP baru, dua di antaranya juga dapat menghasilkan jenis cacing global yang sama — dan kali ini dalam versi Windows yang lebih baru.

Microsoft hari ini memperingatkan pengguna Windows akan tujuh kerentanan baru di Windows yang, seperti BlueKeep, dapat dieksploitasi melalui RDP, alat yang memungkinkan administrator terhubung ke komputer lain di jaringan. Dari ketujuh bug itu, penasehat Microsoft menekankan bahwa dua sangat serius; seperti BlueKeep, mereka dapat digunakan untuk membuat kode worm otomatis yang melompat dari mesin ke mesin, berpotensi menginfeksi jutaan komputer. Seperti yang ditulis oleh direktur Respon Pusat Keamanan Microsoft Simon Pope, "setiap malware masa depan yang mengeksploitasi ini dapat menyebar dari komputer yang rentan ke komputer yang rentan tanpa interaksi pengguna."

"Itu mulai dari awal lagi."

Rob Graham, Errata Security

Tidak seperti BlueKeep, bagaimanapun, bug baru — setengah bercanda dinamai DejaBlue oleh peneliti keamanan melacaknya — tidak hanya mempengaruhi Windows 7 dan sebelumnya, seperti kerentanan RDP sebelumnya. Sebaliknya, ini mempengaruhi Windows 7 dan seterusnya, termasuk semua versi terbaru dari sistem operasi.

Marcus Hutchins, seorang peneliti keamanan yang telah dengan cermat mengikuti kerentanan RDP dan mengkodekan alat bukti konsep untuk mengeksploitasi BlueKeep, mengatakan bahwa mungkin ada lebih banyak mesin yang rentan terhadap DejaBlue daripada BlueKeep. Pada titik ini, hampir setiap komputer Windows kontemporer perlu ditambal, sebelum peretas dapat merekayasa balik perbaikan tersebut untuk mendapatkan petunjuk yang dapat membantu menciptakan exploit.

"Orang-orang yang belum ditingkatkan sejak selamanya mungkin sedikit lebih aman dari ini, tetapi ada kumpulan komputer yang jauh lebih besar yang rentan terhadap hal itu, saya kira," kata Hutchins. "Tentu saja, jika kamu memperhitungkan BlueKeep juga, maka ini hanya menambah masalah."

Tidak seperti BlueKeep, yang penemuannya Microsoft dikreditkan ke badan intelijen Inggris GCHQ, Microsoft mengatakan bahwa ia menemukan dan menambal bug baru ini sendiri. "Kerentanan ini ditemukan oleh Microsoft selama pengerasan Layanan Desktop Jarak Jauh sebagai bagian dari fokus berkelanjutan kami pada penguatan keamanan produk kami," kata Microsoft. "Saat ini, kami tidak memiliki bukti bahwa kerentanan ini diketahui oleh pihak ketiga." Microsoft tidak segera menanggapi permintaan komentar.

Sejak BlueKeep diumumkan kepada publik pada 14 Mei, industri keamanan telah mendorong pengguna untuk menambal dengan hasil yang beragam: Pada hitungan bulan lalu, di suatu tempat antara 730.000 dan 800.000 komputer tetap rentan terhadap BlueKeep. Rob Graham, seorang peneliti keamanan dan pendiri Errata Security, membangun pemindai untuk mengukur jumlah mesin yang rentan terhadap BlueKeep pada bulan Mei dan awalnya menemukan hampir satu juta mesin yang rentan. Dia sekarang memperkirakan bahwa jumlah mesin yang rentan terhadap bug RDP baru kemungkinan ada di stadion baseball yang sama. "Ini mulai dari awal lagi," kata Graham.

Graham menunjukkan, bagaimanapun, bahwa pengaturan yang disebut Network-Level Authentication pada mesin Windows memblokir set bug baru dari dieksploitasi. Dalam pemindaian sebelumnya, ia menemukan total 1,2 juta komputer Windows yang mengaktifkan pengaturan itu. Tetapi tidak jelas versi Windows mana yang dijalankan oleh komputer-komputer itu, atau berapa banyak mesin lain yang tidak mengaktifkan NLA.

Berita baiknya adalah Windows secara otomatis menawarkan pembaruan secara otomatis; mereka dengan fitur yang diaktifkan harus segera dicakup, jika belum. Namun, siapa pun yang mematikannya, harus mengaktifkan NLA sekarang, dan unduh patch terhadap bug RDP baru di sini.

Ketika BlueKeep pertama kali muncul, peneliti keamanan dan bahkan Microsoft sendiri memperingatkan bahwa itu dapat diintegrasikan ke dalam worm yang tersebar luas hanya dalam beberapa minggu yang mungkin sama seriusnya dengan WannaCry atau NotPetya, karena peretas jahat bergerak lebih cepat daripada sejumlah besar pengguna rentan yang perlu menambal . Tiga bulan telah berlalu tanpa worm yang terlihat, meskipun lebih banyak peretas diam-diam telah meretas RDP secara rahasia, serangan yang ditargetkan. Tidak adanya worm yang diharapkan, beberapa peneliti mengatakan, adalah karena menahan diri pada bagian komunitas riset keamanan, yang sebagian besar abstain dari publik merilis alat peretasan konsep-bukti yang mengeksploitasi BlueKeep. Juga, beberapa detail telah menjadi publik tentang bagaimana tepatnya BlueKeep bekerja, dan membangun intrusi yang andal berdasarkan itu tampaknya sangat sulit.

Mengeksploitasi DejaBlue mungkin sedikit lebih mudah daripada BlueKeep, kata Hutchins, yang mengatakan pengkodean eksploitasi BlueKeep membawanya mendekati satu minggu kerja penuh waktu. Bagian yang sulit, katanya, adalah memanipulasi memori komputer sehingga bug RDP memungkinkan peretas untuk menjalankan kode mereka sendiri alih-alih menabrak komputer. Ketika DejaBlue crash komputer, Hutchins mengatakan, itu hanya crash layanan RDP pada perangkat target daripada seluruh mesin, memungkinkan seorang hacker dengan eksploitasi yang tidak dapat diandalkan untuk menggunakannya lebih diam-diam. "Bluekeeper membutuhkan semacam pengetahuan khusus," kata Hutchins. "Sepertinya ini mungkin memiliki kelompok orang yang lebih besar yang mampu menulis eksploit."

DejaBlue mungkin ditambal lebih cepat daripada BlueKeep, catat Hutchins, karena pengguna dengan versi Windows yang lebih baru juga cenderung menambal lebih andal. Hutchins juga mengatakan bahwa setelah memprediksi kedatangan cacing BlueKeep jauh sebelum hari ini, dia akan menunda spekulasi lagi. "Sangat mungkin cacing untuk ini mungkin lebih mungkin, tetapi kami tidak dapat benar-benar memprediksi apa yang akan dilakukan orang," kata Hutchins. "Orang jahat akan melakukan apa yang akan dilakukan orang jahat."


Lebih Banyak Kisah KABEL