Sebagai bagian dari Patch bulan ini, Microsoft telah merilis patch keamanan untuk kerentanan eskalasi hak istimewa yang mempengaruhi semua versi sistem operasi Windows-nya yang diluncurkan sejak 2007.
Periset spesialis firewall di Preempt menemukan dua kerentanan zero-day pada protokol keamanan Windows NTLM, yang keduanya memungkinkan penyerang membuat akun administrator dengan domain baru dan mengendalikan keseluruhan domain.
NT LAN Manager (NTLM) adalah protokol otentikasi lama yang digunakan pada jaringan sistem yang menjalankan sistem operasi Windows dan sistem yang berdiri sendiri.
Meskipun NTLM digantikan oleh Kerberos pada Windows 2000 yang menambahkan keamanan yang lebih besar pada sistem dan pada sebuah jaringan, sampai saat ini NTLM masih didukung oleh Microsoft dan terus digunakan secara luas.
Kerentanan pertama melibatkan Lightweight Directory Access Protocol (LDAP) dari relay NTLM, dan mode Remote Restructuring-Admin pada Remote Desktop Protocol (RDP) untuk kerentanan yang kedua.
LDAP gagal melindungi terhadap serangan relay NTLM, meskipun telah memasang LDAP dalam bentuk tindakan defensif, yang hanya melindungi serangan dari man-in-the-middle (MitM) dan bukan dari penyangkalan kredensial sama sekali.
Kerentanan ini dapat memungkinkan penyerang dengan hak istimewa pada sistem target untuk menggunakan sesi NTLM yang masuk dan melakukan operasi LDAP, seperti memperbarui objek domain, atas nama pengguna NTLM.
“Untuk menyadari betapa parahnya masalah ini, kita perlu menyadari semua protokol Windows menggunakan Windows Authentication API (SSPI) yang memungkinkan downgrade sesi otentikasi ke NTLM,” Yaron Zinar dari Preempt mengatakan dalam sebuah posting blog, yang merinci kerentanannya.
“Akibatnya, setiap koneksi ke mesin yang terinfeksi (SMB, WMI, SQL, HTTP) dengan admin domain akan mengakibatkan penyerang membuat akun admin domain dan mendapatkan kontrol penuh atas jaringan yang diserang.”
Demonstrasi Video Relay Attack
Peneliti Preempt juga menyediakan video untuk menunjukkan serangan relay.
Kerentanan NTLM kedua mempengaruhi mode Remote Desktop Protocol Restricted-Admin, mode RDP Restricted-Admin ini memungkinkan pengguna untuk terhubung ke komputer secara remote tanpa memberi password mereka.
Menurut peneliti Preempt, RDP Restricted-Admin mengizinkan otentikasi untuk melakukan downgrade ke NTLM. Ini berarti serangan yang dilakukan dengan NTLM, seperti penyampaian kredensial dan cracking password, juga dapat dilakukan terhadap RDP Restricted-Admin.
Bila dikombinasikan dengan kerentanan relay LDAP, penyerang dapat membuat akun admin domain palsu setiap kali admin terhubung dengan RDP Restricted-Admin dan mendapatkan kontrol atas keseluruhan domain.
Para peneliti menemukan dan melaporkan kerentanan LDAP dan RDP Relay di NTLM secara pribadi ke Microsoft pada bulan April.
Namun, Microsoft mengakui kerentanan LDL NTLM pada bulan Mei, menugaskan CVE-2017-8563, namun menolak bug RDP, dan mengklaim bahwa ini adalah “masalah yang sudah diketahui” dan merekomendasikan mengkonfigurasi jaringan agar aman dari relay NTLM manapun.
“Dalam skenario serangan remote, penyerang dapat memanfaatkan kerentanan ini dengan menjalankan aplikasi yang dibuat secara khusus untuk mengirimkan lalu lintas berbahaya ke kontroler domain. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan proses dalam konteks yang lebih tinggi,” Microsoft menjelaskan dalam advisory-nya.
Jadi, sysadmin dianjurkan untuk segera mem-patch server dengan Manager NT LAN yang rentan mereka sesegera mungkin.
Kamu dapat mempertimbangkan untuk mengubah NT LAN Manager atau mengharuskan paket LDAP dan SMB yang masuk ditandatangani secara digital untuk mencegah serangan relay kredensial.
Selain kelemahan relay NTLM ini, Microsoft telah merilis patch untuk 55 kerentanan keamanan, yang mencakup 19 kerentanan kritis dalam beberapa produknya, termasuk Edge, Internet Explorer, Windows, Office dan Office Services dan Web Apps, NET Framework, dan Exchange Server.
Pengguna Windows sangat disarankan untuk menginstal update terbaru sesegera mungkin untuk melindungi diri dari serangan aktif di alam bebas.
