Eksploitasi Zero-Day: Windows Server 2012 dan NTLM Jadi Target
Peneliti keamanan telah menemukan kerentanan zero-day kritis yang memengaruhi seluruh versi Windows, dari Windows 7 hingga Windows 11 (v24H2) dan Windows Server 2022. Kerentanan ini memungkinkan pelaku ancaman mencuri kredensial NTLM pengguna hanya dengan membuat pengguna melihat file berbahaya di Windows Explorer.
Kerentanan ini dapat dieksploitasi melalui beberapa cara:
- Membuka folder shared atau USB yang berisi file berbahaya.
- Mengakses folder Downloads di mana file berbahaya telah diunduh secara otomatis dari situs web pelaku ancaman.
Peneliti telah melaporkan kerentanan ini kepada Microsoft secara bertanggung jawab dan merilis micropatches untuk melindungi pengguna hingga Microsoft menyediakan pembaruan resmi.
Detail Kerentanan
Teknologi NTLM (NT LAN Manager) rentan terhadap eksploitasi ini. Penyerang hanya perlu memikat korban agar membuka file atau folder tertentu untuk memulai proses pencurian kredensial.
Vulnerabilitas ini juga menyoroti risiko dari sejumlah kerentanan lain yang terkait dengan NTLM, seperti:
- PetitPotam
- PrinterBug/SpoolSample
- DFSCoerce
Semua kerentanan tersebut masih belum mendapatkan perbaikan resmi dari Microsoft.
Langkah Perlindungan
Untuk mengurangi risiko, pengguna disarankan untuk:
- Menginstal micropatches gratis yang tersedia melalui platform 0patch.
- Memastikan bahwa kebijakan grup diatur untuk memungkinkan aplikasi pembaruan keamanan ini.
- Mengaktifkan perlindungan tambahan dengan menggunakan alat keamanan pihak ketiga.
Kerentanan Zero-Day pada Windows Server 2012 dan 2012 R2
Ringkasan
Sebuah kerentanan zero-day lain ditemukan pada Windows Server 2012 dan 2012 R2, yang memungkinkan pelaku ancaman melewati fitur keamanan Mark of the Web (MotW). Kerentanan ini telah tidak terdeteksi selama dua tahun dan berdampak signifikan pada organisasi yang menggunakan server ini, bahkan dengan pembaruan terkini atau Extended Security Updates.
Dampak Kerentanan
MotW adalah fitur penting dalam Windows yang melindungi pengguna dari file berbahaya yang diunduh dari internet. Namun, pelaku ancaman dapat memanfaatkan format kontainer seperti ZIP, ISO, atau IMG untuk melewati perlindungan ini. File yang diekstrak dari kontainer tersebut mungkin tidak memiliki tag MotW, sehingga lolos dari pemeriksaan keamanan.
Sistem yang terdampak termasuk:
- Windows Server 2012 (dengan pembaruan Oktober 2023).
- Windows Server 2012 R2 (dengan pembaruan Oktober 2023).
- Windows Server 2012 dan 2012 R2 dengan Extended Security Updates.
Eksploitasi
Pelaku ancaman menggunakan beberapa metode untuk mengeksploitasi kerentanan ini:
- Hosting file berbahaya di WebDAV Shares untuk memikat pengguna agar mengunduh file tanpa peringatan keamanan.
- Menyamar file berbahaya sebagai file yang aman melalui manipulasi jenis file.
Tindakan Pencegahan
- Disarankan untuk segera meningkatkan server ke versi terbaru.
- Pantau sistem untuk indikasi kompromi seperti aktivitas mencurigakan pada lalu lintas jaringan, perubahan tak wajar pada pengaturan sistem, atau munculnya file mencurigakan di direktori sistem.
Solusi dan Micropatches untuk Kerentanan NTLM
Micropatch untuk Semua Versi Windows
Untuk mengatasi kerentanan ini, peneliti keamanan telah mengembangkan micropatch yang tersedia untuk sistem lama maupun terbaru, termasuk:
- Windows 7 dan Server 2008 R2.
- Windows 10 (versi 1803 hingga 21H2).
- Windows 11 (versi 22H2, 23H2, dan 24H2).
- Windows Server 2012, 2016, 2019, dan 2022.
Micropatch ini dirancang untuk diterapkan tanpa memerlukan reboot sistem, sehingga meminimalkan gangguan operasional.
Langkah Instalasi
- Daftar akun gratis di 0patch Central.
- Unduh dan instal 0patch Agent.
- Setelah registrasi, micropatch akan diterapkan secara otomatis.
Keuntungan dari 0patch
0patch menyediakan pembaruan keamanan untuk Windows versi lama, termasuk perlindungan untuk Windows 10 setelah masa dukungan resminya berakhir pada Oktober 2025. Dengan ini, organisasi dapat terus menjaga keamanan sistem mereka tanpa bergantung pada pembaruan resmi dari Microsoft.
Kesimpulan
Dua kerentanan zero-day ini menunjukkan pentingnya langkah proaktif dalam melindungi sistem Windows. Pengguna disarankan segera memperbarui perangkat lunak dan menginstal micropatches yang tersedia untuk mencegah eksploitasi lebih lanjut.
Referensi