Habis Eternal Blue, Terbitlah Blue Keep
Statistisk Malware di Indonesia quarter pertama 2019 | Foto: Vaksin.com
WannaCry adalah salah satu malware yang memiliki sifat worm sehingga mampu menginfeksi komputer lain di dalam jaringan yang sama secara otomatis hanya karena terhubung ke jaringan yang sama, baik internet maupun intranet.
Pada 2017 Wannacry berhasil menginfeksi lebih dari 200 ribu komputer di 150 negara hanya dalam waktu 4 hari. Padahal worm ini diluncurkan hanya menarget Ukraina yang sedang berseteru dengan Rusia.
Efek samping infeksi ke ratusan negara lain terjadi karena kemampuan worm yang dimiliki oleh Wannacry. Kemampuan worm adalah kemampuan untuk menginfeksi komputer di dalam jaringan tanpa perlu korbannya mengklik tautan atau menjalankan file apapun.
Cukup hanya terhubung ke jaringan yang sama bisa menyebabkan WannaCry menginfeksi komputer lain dalam jaringan yang sama (dan pemilik komputernya wannacry karena filenya di enkripsi), baik di intranet maupun internet.
Guna memiliki kemampuan worm, malware perlu mengeksploitasi celah keamanan (vulnerability) dan celah keamanan yang diserang oleh WannaCry adalah Eternal Blue/file sharing Windows.
WannaCry dengan Eternal Blue-nya dapat dinobatkan sebagai malware dan celah keamanan yang TSM: Terstruktur, Sistematis dan Masif. Setelah Eternal Blue, kini muncul celah keamanan Blue Keep yang tidak kalah berbahaya dan bisa masuk ke dalam kategori BTS Berbahaya, Terstruktur dan Sistematis.
Celah keamanan Blue Keep ini menyerang celah keamanan pada RDP Remote Desktop Process.
Satu hal yang membuat khawatir adalah cakupan OS yang diserangnya juga sangat luas. Kabar buruknya, beberapa OS yang berpotensi diserang sangat populer dan penggunanya sangat banyak namun lifetime-nya sudah berakhir sehingga sudah tidak di support oleh Microsoft.
"Secara teoritis, jika terjadi eksploitasi celah keamanan, maka patch untuk menambal celah keamanan supaya tidak diserang tidak tersedia lagi."
Bagaimana potensi ancaman dan apa yang harus dilakukan sebagai upaya mitigasi, silahkan simak artikel di bawah ini.
RDP Remote Desktop Protocol
Remote Desktop Protocol (RDP) adalah protokol yang dikembangkan oleh Microsoft dimana dengan protokol ini koneksi remote terhadap komputer lain dapat dilakukan dengan tampilan grafis GUI/Graphical User Interface.
Guna menghubungkan dua komputer, komputer yang ingin diremote akan menjalankan program RDP Client, sedangkan komputer yang akan melakukan remote akan menjalankan program RDP Server.
Remote desktop sangat membantu administrator dalam mengelola sistem komputer /server dalam jumlah yang banyak dan tersebar dalam jaringan komputer atau area geografis yang luas.
Dengan bantuan koneksi internet, administrator dapat melakukan pengelolaan komputer/server di belahan dunia manapun menggunakan Remote Desktop tanpa perlu beranjak dari meja kerjanya.
BlueKeep
BlueKeep adalah nama keren yang diberikan pada celah keamanan dengan kode CVE-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.
Pertama kali dilaporkan pada bulan Mei 2019 dan celah keamanan ini terkandung pada semua sistem operasi berbasis Windows NT. Dari Windows 2000 sampai dengan Windows Server 2008 R2.
Adapun daftar sistem operasi yang mengandung celah keamanan BlueKeep adalah sebagai berikut :
Windows Server:
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Client:
Windows XP
Windows Vista
Windows 7
Sedangkan sistem operasi yang tidak rentan terhadap celah keamanan ini adalah:
Windows 8, Windows 10
Windows Server 2012, 2016 dan 2019
Seperti diutarakan di atas, hal yang mengkhawatirkan dari BlueKeep adalah potensi untuk digunakan oleh worm sehingga mampu secara otomatis berjalan mengeksploitasi komputer melalui jaringan baik intranet maupun internet.
Dan yang menjadi masalah utama adalah celah RDP yang di eksploitasi ini adalah banyak sistem operasi yang sudah tidak disupport oleh Microsoft lagi karena sudah mencapai akhir masa layanan end of life/eol.
Secara teknis, jika ditemukan celah keamanan pada sistem operasi yang sudah eol, maka sistem operasi tersebut sudah tidak tertolong lagi karena tidak bisa di tambal (patch) dan akan dengan mudah menjadi sasaran empuk eksploitasi.
Selain itu, jika administrator memang memanfaatkan RDP dalam mengelola komputer dan servernya, maka sudah pasti komputer yang dikelolanya itu terkoneksi melalui intranet atau internet. Dan dengan mudah peretas bisa memindai IP-IP yang membuka port 3389 dan menunggu untuk di remote.
Cukup satu komputer di dalam intranet yang terinfeksi worm yang mengeksploitasi BlueKeep akan mengakibatkan semua komputer dalam jaringan terancam terinfeksi worm. Jika di intranet yang terpisah dari internet saja sudah terancam, apalagi dengan komputer yang terhubung langsung ke internet.
Namun ada kabar baik dari Microsoft dimana setelah belajar dari kasus WannaCry dan kemungkinan untuk menjaga nama baik Microsoft, untuk OS yang sudah end of life seperti Windows XP, Windows Vista dan Windows Server 2003 sudah tersedia patch / tambalan yang dapat digunakan untuk menutupi celah keamanan BlueKeep dan bisa diunduh dari:
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Secara teknis, bahaya terbesar BlueKeep dapat dikatakan mengancam komputer yang berfungsi sebagai server. Pengguna rumahan/single user mendapatkan ancaman yang lebih kecil dan secara teknis mengeksploitasi Windows 7 juga sangat sulit dan rumit.
Namun Vaksincom menyarankan anda untuk selalu mengupdate tambalan sekuriti dan usahakan berjalan secara otomatis.
