BlueKeep Lebih Berbahaya dari EternalBlue Penyebar WannaCry

Dunia tentu masih ingat dengan insiden besar yang membuat heboh seisi jagat ketika pada tanggal 12 Mei 2017 WannaCryptor atau WannaCry menyebar dengan cepat dan menginfeksi ratusan ribu komputer dalam tempo singkat dan meminta sejumlah uang tebusan. Beruntung saat itu ESET menjadi firma keamanan pertama yang berhasil menghentikan penyebaran malware berbahaya tersebut.

Situasi yang sama mungkin bisa terjadi jika perusahaan tidak segera memperbarui atau melindungi sistem Windows lama mereka. Alasannya adalah momok baru bernama BlueKeep, yaitu sebuah kerentanan Remote Code Execution (RCE) kritis yang dapat ditularkan di Remote Desktop Service yang dapat menjadi vektor baru untuk menyebarkan malware. Bagi yang membutuhkan patch atau tambalan, Microsoft telah mengeluarkannya untuk sistem operasi yang didukung sejak 14 Mei 2019.

Kerentanan BlueKeep ditemukan di Remote Desktop Service (juga dikenal sebagai Terminal Service). Jika berhasil dieksploitasi di masa depan, itu dapat memungkinkan akses ke komputer yang ditargetkan melalui backdoor tanpa diperlukan kredensial atau interaksi pengguna. Ini artinya peretas dapat masuk bebas begitu saja tanpa hambatan apa pun.

Dan yang lebih buruk lagi, kerentanannya adalah wormable. Ini berarti bahwa eksploitasi di masa depan mungkin menggunakannya untuk menyebarkan malware di dalam atau di luar jaringan dengan cara yang mirip dengan apa yang dilakukan oleh WannaCryptor.

Setelah Microsoft merilis patch terbaru ini, peneliti keamanan dapat membuat beberapa proof-of-concept yang berfungsi, tetapi tidak ada satupun yang dirilis secara publik dan tidak ada kasus yang diketahui dari cacat yang dieksploitasi di dunia maya.

Kerentanan tersebut terdaftar sebagai CVE-2019-0708, memengaruhi banyak versi sistem operasi Microsoft yang mendukung dan tidak mendukung. Pengguna Windows 7, Windows Server 2008 R2, dan Windows Server 2008 dengan pembaruan otomatis diaktifkan dilindungi. Microsoft juga mengeluarkan pembaruan khusus untuk dua versi yang tidak didukung, yaitu Windows XP dan Windows 2003 yang tersedia melalui situs ini. Windows 8 dan Windows 10 tidak terpengaruh oleh kerentanan.

Microsoft belum merilis tambalan untuk Windows Vista, meskipun versi ini juga dipengaruhi oleh kerentanan. Satu-satunya solusi di sini adalah untuk menonaktifkan Remote Desktop Protocol (RDP) sepenuhnya atau hanya mengizinkan penggunaannya ketika diakses melalui VPN.

Penting untuk dicatat bahwa perusahaan mana pun yang menggunakan RDP yang salah konfigurasi melalui internet membahayakan pengguna dan sumber dayanya. Terlepas dari kerentanan seperti BlueKeep, peretas juga mencoba untuk memaksa masuk ke mesin perusahaan dan sistem internal.

BlueKeep dan EternalBlue

Kasus BlueKeep memiliki kemiripan yang kuat dengan peristiwa dari dua tahun lalu. Pada 14 Maret 2017, Microsoft merilis perbaikan untuk kerentanan wormable dalam protokol Server Message Block (SMB), menyarankan semua pengguna untuk segera menambal mesin Windows mereka.

Kekhawatiran yang dilandasi alasan kuat, seperti kasus EternalBlue exploit, alat jahat yang diduga dirancang oleh dan dicuri dari National Security Agency (NSA) yang menargetkan celah SMB. Sebulan kemudian, EternalBlue bocor secara online dan dalam beberapa minggu menjadi kendaraan bagi dua serangan siber yang paling merusak dalam sejarah dunia siber, yakni WannaCry (ptor) dan NotPetya (Diskcoder.C).

Skenario serupa terungkap apabila melihat sifat bawaan BlueKeep yang wormable. Saat ini, hanya masalah waktu sampai seseorang menerbitkan eksploitasi yang berfungsi atau pengembang malware mulai menjualnya di pasar bawah tanah. Jika itu terjadi, akan menjadi senjata mengerikan yang sangat populer di kalangan penjahat siber yang masih hijau sekalipun dan juga aset yang menguntungkan bagi pencetusnya.

BlueKeep bisa menjadi EternalBlue berikutnya jika organisasi di seluruh dunia tidak mau belajar setelah wabah besar 2017 dan tidak meningkatkan postur keamanan mereka dan rutinitas perbaikan. Singkatnya organisasi dan perusahaan-perusahaan disarankan untuk melakukan beberapa langkah berikut untuk terhindar dari bahaya laten BlueKeep, berikut saran dari ESET:

1. Patch dan patch selalu. Jika Anda atau organisasi Anda menjalankan versi Windows yang didukung, perbarui ke versi terbaru. Jika memungkinkan, aktifkan pembaruan otomatis. Jika masih menggunakan Windows XP atau Windows 2003 yang tidak didukung, unduh dan terapkan tambalan sesegera mungkin.
2. Nonaktifkan Remote Desktop Protocol. Meskipun RDP sendiri tidak rentan, Microsoft menyarankan organisasi untuk menonaktifkannya sampai tambalan terbaru telah diterapkan. Selanjutnya, untuk meminimalisir kerenatanan, RDP seharusnya hanya diaktifkan pada perangkat yang benar-benar digunakan dan dibutuhkan.
3. Konfigurasikan RDP dengan benar. Jika organisasi atau perusahaan Anda benar-benar harus menggunakan RDP, hindari memaparkannya ke internet publik. Hanya perangkat di LAN, atau mengakses melalui VPN, yang dapat membuat remote session. Pilihan lain adalah memfilter akses RDP menggunakan firewall, hanya memasukkan rentang IP tertentu. Jika ini tidak memungkinkan, gunakan otentikasi multi faktor.
4. Aktifkan Network Level Authentication (NLA). BlueKeep dapat dimitigasi sebagian dengan mengaktifkan NLA, karena mengharuskan pengguna untuk mengotentikasi sebelum remote session dibuat dan cacatnya dapat disalahgunakan. Namun, seperti Microsoft menambahkan, “sistem yang terkena dampak masih rentan terhadap eksploitasi Remote Code Execution (RCE) jika peretas memiliki kredensial yang valid yang dapat digunakan untuk berhasil mengotentikasi.”
5. Gunakan solusi keamanan berlapis-lapis yang andal yang dapat mendeteksi dan mengurangi serangan yang mengeksploitasi cacat pada tingkat jaringan.