Kerentanan Terbaru di Windows Memungkinkan Pengambilalihan Domain

Cyberthreat.id - Sistem operasi Windows telah menjadi target favorit sepanjang masa bagi penjahat cyber karena pangsa pasarnya yang sangat besar dan kecenderungannya terhadap sejumlah besar kerentanan. Baru-baru ini, kerentanan di server Windows berhasil diidentifikasi oleh para peneliti  yang memungkinkan penyerang mengakses jaringan internal dan menjadi admin domain.

Kerentanan yang dilacak sebagai CVE-2020-1472 menimbulkan sebuah skema serangan baru yang disebut Zerologon. Akibatnya bisa parah karena bisa membuat penyerang menjadi admin (mengambil alih) domain.

Serangan Zerologon didasarkan pada eksploitasi kerentanan eskalasi hak istimewa (privilege), CVE-2020-1472, yang berada di Netlogon.

Mekanisme otentikasi Netlogon terutama digunakan untuk memverifikasi permintaan masuk di Arsitektur Otentikasi Klien Windows (Windows Client Authentication Architecture).

Untuk mengeksploitasi kerentanan ini, penyerang harus menyambung ke pengontrol domain melalui sambungan saluran aman Netlogon menggunakan Netlogon Remote Protocol (MS-NRPC).

Setelah terhubung, penyerang dapat memperoleh akses administrator domain dan menggunakannya untuk melakukan aktivitas berbahaya.

Pada Agustus 2020, varian terbaru dari malware cryptomining Lemon_Duck menargetkan kerentanan SMBGhost (CVE-2020-0796) di Windows SMBv3 Client/Server RCE.

Pada bulan Juli, Microsoft telah menambal kerentanan wormable (yaitu menyebar sendiri) yang dijuluki Sigred yang mempengaruhi DNS Windows. Kerentanan yang dilacak sebagai CVE-2020-1350 ini mampu melewati mesin yang rentan tanpa interaksi pengguna.

Dalam pembaruan keamanan Patch Tuesday di bulan Agustus 2020, Microsoft telah menyediakan perbaikan sementara untuk kerentanan ini. Tetapi patch (tambalan) lengkap diharapkan sudah tersedia Februari 2021.

Selain pembaruan ini, pengguna juga disarankan untuk menerapkan patch di semua aplikasi yang diterapkan, firmware, dan OS Windows semuanya agar tetap  terlindung. []