Senin, 01 Jul 2019 12:20 WIB

BlueKeep, Celah Keamanan yang Bahaya, Terstruktur, Sistematis

Alfons Tanujaya - detikInet
Foto: Vaksincom Foto: Vaksincom
Jakarta - WannaCry adalah salah satu malware yang memiliki sifat worm sehingga mampu menginfeksi komputer lain di dalam jaringan yang sama secara otomatis hanya karena terhubung ke jaringan yang sama, baik internet maupun intranet.

Dalam menjalankan aksinya, Wannacry berhasil menginfeksi lebih dari 200 ribu komputer di 150 negara hanya dalam waktu 4 hari.

Padahal worm ini diluncurkan hanya menarget Ukraina yang sedang berseteru dengan Rusia. Efek samping infeksi ke ratusan negara lain terjadi karena kemampuan worm yang dimiliki oleh WannaCry.

Kemampuan worm adalah kemampuan untuk menginfeksi komputer di dalam jaringan tanpa perlu korbannya mengklik tautan atau menjalankan file apapun.




Cukup hanya terhubung ke jaringan yang sama bisa menyebabkan WannaCry menginfeksi komputer lain dalam jaringan yang sama, baik di intranet maupun internet.

Guna memiliki kemampuan worm, malware perlu mengeksploitasi celah keamanan (vulnerability). Adapun celah keamanan yang diserang oleh WannaCry adalah Eternal Blue (file sharing Windows).

WannaCry dengan Eternal Blue-nya dapat dinobatkan sebagai malware dan celah keamanan yang TSM: terstruktur, sistematis dan masif.

Setelah Eternal Blue, kini muncul celah keamanan baru yang tidak kalah seramnya dan bisa masuk ke dalam kategori BTS: berbahaya, terstruktur dan sistematis.

Celah keamanan bernama Blue Keep ini menyerang celah keamanan pada Remote Desktop Process (RDP). Satu hal yang membuat khawatir adalah cakupan OS yang diserangnya juga sangat luas.

Kabar buruknya, beberapa OS yang berpotensi diserang sangat populer dan penggunanya sangat banyak namun lifetimenya sudah berakhir sehingga sudah tidak disupport oleh Microsoft.

Dengan demikian, secara teoritis jika terjadi eksploitasi celah keamanan, maka patch untuk menambal celah keamanan supaya tidak diserang tidak tersedia.

Bagaimana potensi ancaman dan apa yang harus dilakukan sebagai upaya mitigasi, berikut akan saya uraikan di bawah ini.


Remote Desktop Protocol (RDP)


Remote Desktop Protocol (RDP) adalah protokol yang dikembangkan oleh Microsoft di mana dengan protokol ini, koneksi remote terhadap komputer lain dapat dilakukan dengan tampilan Graphical User Interface (GUI).

Untuk menghubungkan 2 komputer, komputer yang ingin diremote akan menjalankan program RDP Client, sedangkan komputer yang akan melakukan remote akan menjalankan program RDP Server.

Remote desktop sangat membantu administrator dalam mengelola sistem komputer atau server dalam jumlah yang banyak dan tersebar dalam jaringan komputer atau area geografis yang luas.

Dengan bantuan koneksi internet, administrator dapat melakukan pengelolaan komputer atau server di belahan dunia manapun menggunakan Remote Desktop tanpa perlu beranjak dari meja kerjanya. Adapun port standar yang digunakan oleh RDP adalah port 3389 TCP/UDP port.

BlueKeep, Celah Keamanan yang Bahaya, Terstruktur dan Sistematis



BlueKeep


BlueKeep adalah nama keren yang diberikan pada celah keamanan dengan kode CVE-2019-0708. Pertama kali dilaporkan pada Mei 2019 dan celah keamanan ini terkandung pada semua sistem operasi berbasis Windows NT, dari Windows 2000 sampai dengan Windows Server 2008 R2.

Adapun daftar sistem operasi yang mengandung celah keamanan BlueKeep adalah sebagai berikut:

Windows Server:

 Windows Server 2003
 Windows Server 2008
 Windows Server 2008 R2

Windows Client:

 Windows XP
 Windows Vista
 Windows 7

Sedangkan sistem operasi yang tidak rentan terhadap celah keamanan ini adalah:

 Windows 8, Windows 10
 Windows Server 2012, 2016 dan 2019

Seperti diutarakan di atas, hal yang mengkhawatirkan dari BlueKeep adalah potensi untuk digunakan oleh worm sehingga mampu secara otomatis berjalan mengeksploitasi komputer melalui jaringan, baik intranet maupun internet.

Dan yang menjadi masalah utama, adalah celah RDP yang di eksploitasi ini adalah, banyak sistem operasi yang sudah tidak disupport oleh Microsoft lagi karena sudah mencapai akhir masa layanan (end of life) sehingga secara teknis jika ditemukan celah keamanan pada sistem operasi yang sudah end of life maka sistem operasi tersebut sudah tidak tertolong lagi, karena tidak bisa ditambal (patch) dan akan dengan mudah menjadi sasaran empuk eksploitasi.

Selain itu, jika administrator memang memanfaatkan RDP dalam mengelola komputer dan servernya, maka sudah pasti komputer yang dikelolanya itu terkoneksi melalui intranet atau internet.

Karenanya, peretas bisa dengan mudah memindai IP-IP yang membuka port 3389 dan menunggu untuk diremote. Cukup hanya 1 komputer di dalam intranet yang terinfeksi worm yang mengeksploitasi BlueKeep, nantinya akan mengakibatkan semua komputer dalam jaringan terancam terinfeksi worm.

Jika di intranet yang terpisah dari internet saja sudah terancam, apalagi dengan komputer yang terhubung langsung ke internet.



Namun ada kabar baik dari Microsoft dimana setelah belajar dari kasus WannaCry dan kemungkinan untuk menjaga nama baik Microsoft, untuk OS yang sudah end of life seperti Windows XP, Windows Vista dan Windows Server 2003 sudah tersedia patch atau tambalan yang dapat digunakan untuk menutupi celah keamanan BlueKeep dan bisa diunduh dari halaman support Microsoft.

Secara teknis, bahaya terbesar BlueKeep dapat dikatakan mengancam komputer-komputer yang berfungsi sebagai server dan pengguna rumahan atau single user mendapatkan ancaman yang lebih rendah dan secara teknis mengeksploitasi Windows 7 juga sangat sulit dan rumit.

Namun Vaksincom menyarankan Anda untuk selalu mengupdate tambalan sekuriti dan usahakan berjalan secara otomatis.



* Alfons Tanujaya adalah peneliti keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.

Simak Video "Ternyata Tutorial Bikin Ransomware Sempat Beredar di Youtube"
[Gambas:Video 20detik]
(rns/krs)