Rincian lebih lanjut terkait kerentanan bypass fitur keamanan di NT LAN Manager (NTLM) Windows telah diungkapkan oleh para peneliti. Kerentanan ini dikabarkan sudah ditangani oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday bulanan awal bulan ini.
Kerentanan, dilacak sebagai CVE-2021-1678, digambarkan sebagai kerentanan “yang dapat dieksploitasi dari jarak jauh”, ditemukan dalam komponen rentan yang terikat ke stack jaringan.
Menurut peneliti dari Crowdstrike, celah keamanan, jika dibiarkan tidak diperbaiki, dapat memungkinkan aktor ancaman mencapai remote code execution melalui relay NTLM.
“Kerentanan ini memungkinkan penyerang untuk menyampaikan sesi otentikasi NTLM ke mesin target, dan menggunakan antarmuka spooler printer MSRPC untuk mengeksekusi kode dari jarak jauh pada mesin target,” kata para peneliti dalam rincian terkait kerentanan baru Windows ini.
Serangan relay NTLM adalah jenis serangan man-in-the-middle (MitM) yang biasanya mengizinkan penyerang dengan akses ke jaringan untuk mencegat lalu lintas otentikasi yang sah antara klien serta server dan menyampaikan permintaan otentikasi yang divalidasi ini untuk mengakses layanan jaringan.
Eksploitasi yang berhasil juga dapat memungkinkan penyerang menjalankan kode dari jarak jauh pada mesin Windows atau berpindah secara lateral di jaringan ke sistem kritis seperti server yang menghosting pengontrol domain dengan menggunakan kembali kredensial NTLM yang diarahkan ke server target.
Baca Juga: “Microsoft Tambahkan Fitur Anti Maling Pada Windows 10X“
Sementara serangan semacam itu dapat diantisipasi dengan penandatanganan SMB serta LDAP dan mengaktifkan Enhanced Protection for Authentication (EPA), CVE-2021-1678 mengeksploitasi kelemahan di MSRPC (Microsoft Remote Procedure Call) yang membuatnya rentan terhadap serangan relay.
Secara khusus, para peneliti menemukan bahwa IRemoteWinspool – antarmuka RPC untuk manajemen spooler printer jarak jauh – dapat dimanfaatkan untuk menjalankan serangkaian operasi RPC dan menulis file arbitrer pada mesin target menggunakan sesi NTLM.
