KONGGRES.COM – Sebuah kerentanan peningkatan hak akses yang berdampak ke semua versi Windows, yang memungkinkan pelaku peretasan untuk mendapatkan hak admin melalui serangan NTLM, telah mendapatkan tambalan perbaikan tidak resmi. Pasalnya, pihak Microsoft menyatakan bahwa bug tersebut tidak akan diperbaiki.
Kerentanan tersebut, yang kemudian diberi nama Remote Potato0 oleh peneliti keamanan dari Sentinel LABS, Antonio Cocomazzi dan peneliti independen Andrea Pierini, bahkan belum memiliki ID CVE setelah Microsoft menolak untuk mengirimkan perbaikan. Kedua peneliti tersebut adalah yang menemukan dan mengungkap bug itu pada bulan April 2021 silam.
Menurut keduanya, bug tersebut memungkinkan pelaku peretasan untuk memicu panggilan otentikasi RPC/DCOM dan menembus otentikasi NTLM ke protokol lainnya, yang kemudian memberikan mereka peluang untuk meningkatkan hak akses ke administrator, dan sepertinya mengambil alih seluruh perangkat.
“Ini memungkinkan pelaku peretasan dengan hak akses rendah untuk meluncurkan beberapa aplikasi berbahaya di sesi pengguna lain yang sedang masuk di komputer yang sama, dan membuat aplikasi itu mengirimkan hash NTLM pengguna tersebut ke alamat IP yang dipilih oleh pelaku,” ungkap Mitja Kolsek pendiri dari 0patch.
0patch adalah merupakan perusahaan pihak ketiga yang mengirimkan perbaikan gratis atas bug tersebut, yang mampu memblokir RemotePotato0 pada server atau perangkat yang terkena dampak.
“Memblokir hash NTLM dari domain administrator, karena penyerang dapat membuat permintaan mereka sendiri untuk pengendali domain yang berpura-pura menjadi administrator dan melakukan sejumlah tindakan administratif seperti menambahkan diri mereka sendiri ke grup administrator,” tambahnya.
Sementara pelaku mungkin memiliki trik untuk mengelabui pengguna rumahan yang memiliki hak akses admin yang sedang masuk di saat eksploitasi sukses dilakukan, namun akan jauh lebih mudah jika targetnya adalah Windows Server, karena banyaknya pengguna yang masuk secara bersamaan, termasuk administrator, sehingga tidak lagi membutuhkan eksperimen serangan dengan metode social engineering.
Berikut adalah video demonstrasi mengenai bug RemotePotato0 di Windows tersebut:
Protokol otentikasi Windows NT (New Technology) LAN Manager (NTLM) biasanya digunakan untuk melakukan otentikasi kepada pengguna secara jarak jauh, yang mampu menyediakan sesi keamanan ketika dibutuhkan oleh protokol aplikasi. Kerberos telah menggantikan NTLM ini, yang kini menjadi protokol otentikasi default saat ini untuk perangkat yang terhubung ke domain untuk semua Windows 2000 dan yang lebih baru.
Meski demikian, NTLM masih banyak digunakan untuk Windows Server, sehingga memungkinkan pelaku untuk melakukan eksploitasi kerentanan seperti RemotePotato0 yang didesain menembus NTLM.
Microsoft sebelumnya telah meminta para admin untuk mematikan NTLM atau melakukan konfigurasi pada server mereka untuk memblokir serangan NTLM menggunakan Active Directory Certificate Services (AD CS). Atas dasar inilah Microsoft kemudian menyatakan tidak akan mengirimkan perbaikan atas bug ini.