PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Microsoft membocorkan informasi tentang pembaruan keamanan untuk kerentanan remote-code-execution pra-auth ‘wormable‘ yang ditemukan dalam protokol komunikasi jaringan SMBv3 (Server Message Block 3.0) yang seharusnya dilaporkan dan diungkapkan sebagai bagian dari Patch Tuesday bulan ini.

Kerentanan ini disebabkan oleh kesalahan ketika SMBv3 menangani paket data terkompresi yang dibuat berbahaya dan memungkinkan penyerang yang tidak terotentikasi secara remote mengeksploitasinya untuk mengeksekusi kode arbitrer dalam konteks aplikasi.

Meskipun advisory kerentanan sebenarnya tidak dipublikasikan oleh Microsoft (tidak ada penjelasan apakah memang dirilis oleh Redmond sejauh ini), sejumlah vendor keamanan bagian dari Microsoft Active Protections Program yang mendapatkan akses awal ke informasi kerentanan memang merilis rincian tentang kerentanan keamanan yang dilacak sebagai CVE-2020-0796.

Versi desktop maupun server Windows 10 terpengaruh oleh kerentanan ini

Perangkat yang menjalankan Windows 10 versi 1903, Windows Server versi 1903 (instalasi Server Core), Windows 10 versi 1909, dan Windows Server versi 1909 (instalasi Server Core) terpengaruh oleh kerentanan ini menurut advisory Fortinet, meskipun sepertinya lebih banyak versi terpengaruh karena mengingat bahwa SMBv3 dihadirkankan juga di Windows 8 dan Windows Server 2012.

Fortinet mengatakan bahwa setelah eksploitasi berhasil, CVE-2020-0796 dapat memungkinkan penyerang secara remote mengambil kendali penuh dari sistem yang rentan.

Karena kerahasiaan Microsoft, orang-orang membuat teori konspirasi mereka sendiri mengenai malware dan tingkat keparahannya, beberapa orang bahkan membandingkannya dengan EternalBlue, NotPetya, WannaCry, atau MS17-010.


Beberapa orang lainnya pun sudah mulai menamai kerentanan ini, seperti SMBGhost, DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue, dan NexternalBlue.

Mitigasi Kerentanan CVE-2020-0796 SMBv3 Windows

Microsoft menerbitkan advisory keamanan dengan detail tentang cara menonaktifkan kompresi SMBv3 untuk melindungi server terhadap upaya eksploitasi.

Kamu dapat menonaktifkan kompresi pada server SMBv3 dengan perintah PowerShell ini:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Just a simple person who like photography, videography, code, and cyber security enthusiast.