Sebuah celah keamanan yang baru terungkap dalam Microsoft Remote Registry client dapat dimanfaatkan untuk mengambil kendali atas domain Windows dengan cara menurunkan keamanan proses otentikasi. Celah ini, yang dilacak sebagai CVE-2024-43532, memanfaatkan mekanisme fallback yang ada di implementasi client Windows Registry (WinReg). Mekanisme ini menggunakan protokol lama jika protokol SMB tidak tersedia.
Penyerang yang mengeksploitasi celah ini dapat meneruskan otentikasi NTLM ke Active Directory Certificate Services (ADCS) untuk mendapatkan sertifikat pengguna, yang kemudian dapat digunakan untuk otentikasi domain lebih lanjut. Celah ini memengaruhi semua versi Windows server 2008 hingga 2022, serta Windows 10 dan Windows 11.
Bagaimana Celah ini Bekerja?
CVE-2024-43532 berasal dari cara Microsoft Remote Registry client menangani otentikasi RPC (Remote Procedure Call) dalam skenario fallback tertentu ketika transportasi SMB tidak tersedia. Dalam situasi seperti ini, client beralih ke protokol lama seperti TCP/IP dan menggunakan level otentikasi yang lemah (RPC_C_AUTHN_LEVEL_CONNECT). Level ini tidak memverifikasi keaslian atau integritas koneksi.
Penyerang dapat berotentikasi ke server dan membuat akun administrator domain baru dengan mencegat proses handshake otentikasi NTLM dari client dan meneruskannya ke layanan lain, seperti ADCS.
Bagaimana Celah ini Dapat Dieksploitasi?
Eksploitasi yang berhasil dari CVE-2024-43532 menghasilkan metode baru untuk melakukan serangan relay NTLM, yang memanfaatkan komponen WinReg untuk meneruskan detail otentikasi yang dapat mengarah pada pengambilalihan domain.
Beberapa aktor ancaman telah menggunakan metode serangan relay NTLM di masa lalu untuk mengambil kendali atas domain Windows. Salah satu contohnya adalah LockFile ransomware, yang menargetkan berbagai organisasi di AS dan Asia dengan menggunakan PetitPotam, sesaat setelah celah ini ditemukan.
Sejarah Penemuan dan Tanggapan Microsoft
Celah ini ditemukan oleh Stiv Kupchik, peneliti dari Akamai, yang melaporkannya kepada Microsoft pada 1 Februari. Namun, Microsoft menolak laporan tersebut pada 25 April, dengan alasan "masalah dokumentasi."
Pada pertengahan Juni, Kupchik mengirimkan kembali laporan tersebut dengan proof-of-concept (PoC) yang lebih baik dan penjelasan yang lebih rinci, yang menyebabkan Microsoft mengonfirmasi kerentanan pada 8 Juli. Tiga bulan kemudian, Microsoft merilis perbaikannya.
Kupchik telah merilis PoC yang berfungsi untuk CVE-2024-43532 dan menjelaskan proses eksploitasi, mulai dari membuat server relay hingga mendapatkan sertifikat pengguna dari target, selama konferensi keamanan No Hat di Bergamo, Italia.
Laporan Akamai juga menyediakan metode untuk menentukan apakah layanan Remote Registry diaktifkan pada mesin, serta aturan YARA untuk mendeteksi client yang menggunakan WinAPI yang rentan.
Para peneliti juga merekomendasikan penggunaan Event Tracing for Windows (ETW) untuk memantau panggilan RPC tertentu, termasuk yang terkait dengan antarmuka WinReg RPC.
Kesimpulan
Celah keamanan CVE-2024-43532 merupakan ancaman serius bagi organisasi yang menggunakan Windows. Penting untuk segera memperbarui sistem Anda dengan perbaikan yang tersedia dari Microsoft. Selain itu, penting untuk menerapkan praktik keamanan yang baik, seperti membatasi akses ke layanan yang rentan dan memantau aktivitas jaringan secara teratur untuk mendeteksi aktivitas yang mencurigakan.
Dengan meningkatkan kesadaran akan celah keamanan ini dan mengambil langkah-langkah untuk melindungi sistem Anda, Anda dapat mengurangi risiko menjadi korban serangan siber.
Penting untuk Diingat:
Perbarui sistem Anda: Segera pasang pembaruan keamanan yang tersedia dari Microsoft.
Praktik keamanan yang baik: Batasi akses ke layanan yang rentan dan pantau aktivitas jaringan secara teratur.
Tetap waspada: Perhatikan laporan keamanan baru dan ikuti perkembangan terbaru mengenai celah keamanan.
Dengan mengambil langkah-langkah yang diperlukan, Anda dapat membantu melindungi organisasi Anda dari serangan siber dan menjaga keamanan data Anda.
0 komentar:
Posting Komentar