Perusahaan AS Ini Jual Exploit yang Bisa Atasi BlueKeep

Florida, Cyberthreat.id – Sebuah perusahaan cybersecurity Amerika Serikat menjual exploit BlueKeep sebagai bagian dari alat uji penetrasi (penetration test/pentest tool).

BlueKeep, juga dikenal sebagai CVE-2019-0708, adalah celah atau kelemahan layanan remote desktop protocol (RDP) pada sistem operasi Windows versi lama.

Namun, pada 14 Mei lalu, Microsoft, produsen Windows, telah merilis tambalan (patch) untuk menutup BlueKeep. Sebab, celah (bug) itu bersifat menular dan berkembang biak seperti halnya EternalBlue membantu menyebarkan wabah ransomware WannaCry pada 2017.

Kelemahan itu dianggap sangat berbahaya. Microsoft telah berulang kali mengatakan kepada pengguna untuk segera menerapkan patch. Bahkan, Badan Keamanan Nasional AS (NSA), Departemen Keamanan Dalam Negeri AS (DHS), Kantor Federal untuk Keamanan Informasi Jerman (BSI), Pusat Keamanan Siber Australia, Pusat Keamanan Siber Inggris juga mengeluarkan peringatan yang sama.

Mereka mendesak pengguna dan perusahaan segera menambal bug tersebut khususnya Windows versi lama.

Selama dua bulan terakhir, tulis ZDNet yang diakses Jumat (26 Juli 2019), peneliti keamanan telah mengantisipasi agar pembuat malware tak menemukan cara untuk mempersenjatai BlueKeep.

Sejumlah perusahaan cybersecurity, tulis ZDNet, menolak untuk merilis bukti-kode konsep exploit BlueKeep yang berhasil mendeteksi titik kelemahan. Mereka khawatir hal itu akan disalahgunakan dan memicu gelombang infeksi lain mirip WannaCry di seluruh dunia.

Exploit banyak digunakan untuk penetrasi baik secara legal ataupun ilegal untuk mencari kelemahan (vulnerability) pada komputer. Ini adalah perangkat lunak yang menyerang kerapuhan keamanan (security vulnerability) yang spesifik, tapi tidak selalu bertujuan untuk melancarkan serangan siber.

Namun, pada 23 Juli lalu, Immunity Inc. mengumumkan penjualan exploit BlueKeep bernama CANVAS v7.23, yang diklaim bisa berfungsi penuh sebagai alat pengujian penetrasi (pen-testing toolkit) perusahaan.

New Release - CANVAS 7.23: This release features a new module for the RDP exploit, BLUEKEEP. Check out our video demonstration here: https://t.co/azCuJp1osI #bluekeep #cve20190708 #exploit

— Immunity Inc. (@Immunityinc) July 23, 2019

Beberapa waktu lalu, ada sejumlah exploit BluKeep yang diunggah di GitHub. Alat ini bisa merusak sistem Windows dari jarak jauh jika mereka memiliki layanan RDP terbuka yang terekspose secara online.

Modul Canvas BlueKeep yang dijual Immunity dapat mencapai eksekusi kode jarak jauh, yaitu membuka shell pada host yang terinfeksi.

Sayangnya harga lisensi Canvas begitu mahal mencapai puluhan ribu dolar AS. Dengan pengumuman itu, ini menandai pertama kalinya exploit BlueKeep dapat diakses meski untuk kalangan terbatas. Jika ada seseorang yang mampu mengeluarkan uang, artinya itu sebuah operasi malwre atau agen intelijen.

Pakar keamanan siber dari Cyxtera (perusahaan cybersecurity asa Florida), Chris Day, mengatakan, Canvas memiliki lebih dari 800 exploit. Semuanya, termasuk BlueKeep, memiliki tambalan. “Kebetulan kami menjadi perusahaan komersial pertama yang memasukkan ini (Canvas) ke dalam produk kami sehingga perusahaan dapat menguji untuk melihat apakah sistem yang diaktifkan RDP benar-benar aman dari kerentanan,” kata dia kepada ZDNet.

CEO Immunity Inc. Dave Aitel mengatakan exploit yang mereka buat adalah hasil penelitian mereka sendiri. Canvas, kata dia, tidak berdasarkan pada penulisan kode dari analis cybersecurity asal China yang akhir pekan lalu mempresentasikan temuannya di konferensi keamanan siber di China.

BlueKeep diketahui dapat mempengaruhi Windows XP, Windwos Vista, Windows 7, Windows Server 2003, dan Windows Server 2008. Tambalan yang disediakan Microsoft telah tersedia semua, bersama dengan mitigasi dan penyelesaian masalah (lengkapnya di sini). Untuk versi Windows 10 tidak ada pengaruhnya sama sekali.

Pada akhir Mei lalu, peneliti cybersecurity memperkirakan jumlah sistem Windows yang rentang terhadap BlueKeep sekitar satu juta sistem. Pemindaian yang dilakukan oleh perusahaan keamanan siber BitSight pada awal Juli itu menemukan jumlah host yang rentan sedikit turun, tetapi masih sekitar 805.000 sistem yang tergolong rentan.

Dikabarkan pula, tulis ZDNet, penjahat siber yang bersembunyi di balik Tor node mulai agresif memindai BlueKeep. Yang terbaru mereka bergabung dengan botnet WatchBog pada pekan ini, tuturi Paul Litvak, peneliti keamanan siber Intezer Labs.

Saat ini komunitas keamanan cyber sedang memperlakukan BlueKeep mirip dengan jam kiamat nuklir. Sebab, ini adalah kelemahan keamanan yang sangat berbahaya dan perusahaan harus menambal sistem untuk menghindari peretasan.