Akhir pekan lalu seorang peneliti keamanan publik mengungkap kerentanan zero-day di Windows 10, Windows 8.1 dan Server editions setelah Microsoft gagal melakukan patch dalam tiga bulan terakhir. Zero-day memory corruption berada pada SMB (server message block) network file sharing protocol yang dapat memungkinkan terjadinya remote yang dilakukan oleh penyerang, penyerang yang tidak berkepentingan bisa membuat sistem crash dengan melakukan denial of service attack, yang kemudian akan membuat sistem terbuka untuk melakukan serangan lain lebih lanjut.


Menurut US-CERT, kerentanan juga bisa dimanfaatkan untuk mengeksekusi kode arbitrary dengan hak kernel Windows pada sistem yang rentan, tapi ini belum dikonfirmasi oleh Microsoft. Tanpa mengungkapkan masalah yang terjadi pada sistem mereka dari kerentanan dan jenis ancaman mengeksploitasi, Microsoft baru saja memberikanpernyataan perihal sistem operasi mereka kepada pelangganya dengan mengatakan:

    "Windows adalah satu-satunya platform yang berkomitmen kepada pelanggan untuk menyelidiki masalah keamanan yang dilaporkan, dan secara proaktif memperbarui perangkat yang terkena dampak sesegera mungkin. Kami merekomendasikan pelanggan menggunakan Windows 10 dan browser Microsoft Edge untuk perlindungan terbaik."

Namun proof-of-concept exploit code, Win10.py telah dirilis ke publik untuk Windows 10 oleh peneliti keamanan - Laurent Gaffie menemukan kelemahan pada os Windows pada SMB (server message block).

Memory corruption flaw berada di saat Windows menangani lalu lintas SMB yang bisa dimanfaatkan oleh penyerang; semua yang mereka butuhkan adalah menipu korban untuk terhubung ke server SMB berbahaya, yang kemudian akan dimenfaatkan oleh pernyerang.

    "Secara khusus, Windows gagal untuk menangani respon dari server yang berisi terlalu banyak byte struktur yang terdefinisikan dalam struktur SMB2 TREE_CONNECT Response," kata CERT. "Dengan menghubungkan ke server SMB berbahaya, sistem klien Windows rentan akan mengakibatkan crash (BSOD) di mrxsmb20.sys."

Hingga saat ini patch belum tersedia untuk kelemahan pada sistem operasi Windows tersebut, sehingga semua pengguna Windows dibiarkan terbuka untuk mendapatkan serangan potensial yang akan terjadi. Sehingga pengguna Windows sementara ini dapat memperbaiki masalah ini hanya dengan memblokir outbound SMB connections (port TCP 139 dan 445 dan port UDP 137 dan 138) dari jaringan lokal ke WAN.

Kerentanan pada Windows tersebut mendapatkan nilai pada Common Vulnerability Scoring System (CVSS) dengan nilai skor 7,8. Sedangkan Proof-of-concept code yang diterbitkan oleh Laurent Gaffie telah dipublikasikan di GitHub.

0 comments:

Post a Comment

 
Top