Jika kamu berpikir serangan KRACK untuk WiFi adalah kerentanan terburuk tahun ini, kali ini kita mendapatkan informasi mengenai kerentanan buruk yang lainnya.
Microsoft, Google, Lenovo, HP dan Fujitsu memperingatkan pelanggan mereka tentang kerentanan kriptografi RSA yang digunakan secara luas dan diproduksi oleh produsen semikonduktor Jerman Infineon Technologies.
Patut dicatat bahwa kerentanan kriptografi ini (CVE-2017-15361) tidak mempengaruhi kriptografi kurva eliptik dan standar enkripsi itu sendiri, namun berada pada implementasi pasangan kunci RSA oleh Trusted Platform Module (TPM) Infineon.
Trusted Platform Module (TPM) Infineon adalah mikrokontroler khusus yang digunakan secara luas dan dirancang untuk mengamankan perangkat keras dengan mengintegrasikan kunci kriptografi ke dalam perangkat serta digunakan untuk proses kriptografi yang aman.
Kerentanan algoritmik berusia 5 tahun ini ditemukan oleh peneliti keamanan dari Masaryk University di Republik Ceko, yang telah merilis sebuah posting blog dengan rincian lebih lanjut tentang kerentanan tersebut dan juga alat online untuk menguji apakah kunci RSA rentan terhadap kerentanan berbahaya ini.
ROCA: Serangan Faktorisasi Untuk Memulihkan Kunci RSA Pribadi
Dijuluki ROCA (Return of Coppersmith Attack), serangan faktorisasi yang diperkenalkan oleh para periset berpotensi memungkinkan penyerang untuk membalikkan kembali kunci enkripsi pribadi hanya dengan memiliki kunci publik target berkat kerentanan ini.
“Hanya mengetahui kunci publik yang diperlukan dan tidak ada akses fisik ke perangkat rentan yang dibutuhkan,” kata para periset. “Kerentanan TIDAK bergantung pada generator bilangan acak yang lemah atau rusak – semua kunci RSA yang dihasilkan oleh chip rentan terkena dampak.”
Hal ini pada akhirnya memungkinkan penyerang untuk meniru identitas pemilik kunci, mendekripsi data sensitif korban, menginjeksikan kode berbahaya ke perangkat lunak yang ditandatangani secara digital, dan mengabaikan perlindungan yang mencegah akses atau gangguan pada komputer yang ditargetkan.
Serangan ROCA Mengekspos Miliaran Perangkat
Serangan ROCA mempengaruhi chip yang diproduksi oleh Infineon pada awal tahun 2012, termasuk 1024 dan 2048 bit, yang paling umum digunakan pada kartu identitas nasional, pada motherboard PC untuk menyimpan kata sandi dengan aman, dalam token otentikasi, selama keamanan browsing, selama perangkat lunak dan pendaftaran aplikasi, dan perlindungan pesan seperti PGP.
Kerentanan itu juga melemahkan keamanan komputer pemerintah dan perusahaan yang dilindungi menggunakan kriptografi dan chip Infineon.
Mayoritas perangkat Windows dan Google Chromebook yang dikembangkan oleh HP, Lenovo dan Fujitsu termasuk di antara mereka yang terkena dampak serangan ROCA.
“Kami menemukan dan menganalisis kunci rentan di berbagai domain termasuk dokumen warga negara secara elektronik, token otentikasi, perangkat boot tepercaya, penandatanganan paket perangkat lunak, kunci TLS/HTTPS dan PGP,” kata periset tersebut.
“Jumlah kunci rentan yang saat ini dikonfirmasi ditemukan sekitar 760.000 namun mungkin aslinya sampai dua sampai tiga kali lipat.”
Rincian Lebih Lanjut, Alat Pengujian, dan Patch
Peneliti keamanan telah merilis sebuah posting blog singkat tentang kerentanan tersebut, yang mencakup sejumlah alat untuk mendeteksi, mitigasi dan solusi.
Kerentanan tersebut ditemukan dan dilaporkan ke Infineon Technologies pada bulan Februari tahun ini dan para periset akan mempresentasikan temuan lengkap mereka, termasuk metode faktorisasi, pada tanggal 2 November mendatang di Konferensi ACM tentang Keamanan Komputer dan Komunikasi.
Makalah penelitian mereka, berjudul “The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli” (ROCA), juga akan dirilis setelah presentasi mereka.
Jadi, perusahaan dan organisasi memiliki cukup waktu untuk mengubah kunci enkripsi yang terpengaruh sebelum rincian tentang bagaimana kerentanan ini dan eksploitasinya dipublikasikan.
Vendor utama termasuk Infineon, Microsoft, Google, HP, Lenovo, dan Fujitsu telah merilis pembaruan perangkat lunak untuk perangkat keras dan perangkat lunak mereka yang terpengaruh serta panduan untuk mitigasi kerentanan ini.
