Senin, 06 Februari 2017

Celah Zero-day pada SMB Microsoft Windows 10



Akhir pekan lalu seorang peneliti keamanan publik merilis hasil penelitiannya tentang kerentanan zero-day di Windows 10, Windows 8.1 dan Server dimana kerentanan ini sudah ada dari 3 bulan yang lalu

kerentanan zero-day ini membuat crash pada memori yang berada dalam proses SMB (server message block) yang digunakan untuk saling berbagi file di jaringan. Celah ini dapat memungkinkan untuk melakukan remote ke target, dimana pihak yang tidak berkepentingan dapat menyebabkan gangguan pada layanan SBM, yang kemudian akan membuka celah selanjut nya.

Menurut US-CERT, kerentanan juga bisa dimanfaatkan untuk mengeksekusi kode arbitrary dengan hak kernel Windows pada sistem yang rentan, tapi ini belum dikonfirmasi sekarang oleh Microsoft.


Dengan adanya kerentanan dan jenis ancaman mengeksploitasi ini, Sepertinya Microsoft belum menganggap serius dan mengatakan :

"Windows is the only platform with a customer commitment to investigate reported security issues, and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection."

Namun, kode yang beredar dimana menggunakan celah yang ada ini, dengan nama file Win10.py, telah dirilis ke publik untuk Windows 10 oleh peneliti keamanan Laurent Gaffie.

Cacat korupsi memori pada SMB service ini memungkinkan SMB yang bisa dimanfaatkan oleh penyerang, seperti menipu korban untuk terhubung ke server SMB berbahaya, yang dapat dengan mudah dilakukan dengan menggunakan trik rekayasa sosial.

"In particular, Windows fails to properly handle a server response that contains too many bytes following the structure defined in the SMB2 TREE_CONNECT Response structure," CERT said in the advisory.

"By connecting to a malicious SMB server, a vulnerable Windows client system may crash (BSOD) in mrxsmb20.sys."

Dengan munculnya kode zero-day pada file Win10.py untuk melakukan penyerangan kepada service SMB tersebut dan dimana sampai saat ini belum ada perbaikan atau patch dari Microsoft, maka sangat disarankan pengguna OS Windows sementara dapat memperbaiki masalah ini dengan memblokir sementara koneksi SMB keluar (port TCP 139 dan 445 dan port UDP 137 dan 138) dari jaringan lokal ke WAN.

kerentanan telah diberikan ke umum dengan nilai kerentanan Scoring System (CVSS) skor 7,8.

Sumber : http://thehackernews.com/2017/02/windows-smb-0day.html


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Tidak ada komentar: