KOMPTIK - Dalam kesempatan ini saya mendapatkan sebuah edaran dan ingin berbagi tentang pengamanan BlueKeep atau tindakan pengamanan pada windows server dengan RDP, yuk baca mengenai apa itu BlueKeep RDP.
Ringkasan Eksekutif
- BlueKeep (CVE-2019-0708) merupakan kerawanan pada Remote Desktop Protocol (RDP) yang digunakan oleh OS Microsoft Windows meliputi Windows 2000, Windows Vista, Windows XP, Windows 7, Windows Server 2003, Win Server 2003 R-2, Win Server 2008, Win Server 2008 R.
- Remote Desktop Protocol (RDP) merupakan salah satu fitur yang bisa ditemukan pada sistem operasi Microsoft Windows, yang memungkinkan pengguna terkoneksi ke sebuah komputer dari jarak jauh.
- Kerentanan menyebabkan pengguna yang tidak sah dan dapat terhubung ke sistem target menggunakan Remote Desktop Protocol (RDP) dengan mengirimkan permintaan yang dibuat secara khusus.
- Kerentanan ini memiliki nilai kerentanan CVSS v3 sebesar 9,8 dan bersifat kritikal. Eksploitasi terhadap kerentanan memungkinkan pengambil alihan keseluruhan sistem secara remote.
- Pengguna sistem operasi Windows terdampak diharapkan untuk dapat segera melakukan tindakan-tindakan mitigasi yang dijelaskan pada himbauan keamanan ini.
Kerentanan CVE-2019-0708
Sistem Remote Desktop (RDP) merupakan salah satu fitur yang bisa ditemukan pada sistem operasi Microsoft Windows, yang memungkinkan pengguna terkoneksi ke sebuah komputer dari jarak jauh (remote). Pada sistem operasi Windows, Remote Desktop ini menggunakan Remote Dektop Protocol (RDP) yang secara default berjalan di TCP port 3389.Remote Desktop Protocol atau yang lebih sering di singkat RDP merupakan sebuah protokol jaringan yang digunakan oleh Microsoft Windows Terminal Services dan Remote Desktop. Remote Desktop Protocol dirancang berdasarkan protocol T.120 yang spesifikasinya diumumkan oleh International Telecommunication Union (ITU). Protokol ini juga digunakan dalam perangkat lunak konferensi jarak jauh milik Microsoft yaitu NetMeeting.
Kerentanan Bluekeep Vulnerability CVE-2019-0708 pada layanan RDP Windows pertama kali didaftarkan ke Common Vulnerabilities and Exposures pada tanggal 26 November 2018.
Kerentanan ini merupakan kerentanan terhadap remote code execution (RCE) pada layanan remote desktop Microsoft yang menyebabkan pengguna yang tidak sah dapat terhubung ke sistem target menggunakan RDP dengan mengirimkan permintaan yang dibuat secara khusus.
Remote Desktop Protocol (RDP) sendiri tidak memiliki kerentanan. Kerentanan Remote Desktop Windows terletak pada pra-otentikasi yang tidak memerlukan interaksi pengguna. Dengan kata lain, kerentanannya bersifat 'wormable', yang berarti bahwa setiap malware di masa depan yang mengeksploitasi kerentanan ini dapat menyebar ke komputer lainnya dengan cara yang sama seperti ransomware WannaCry yang menyebar di seluruh dunia pada tahun 2017.
Sistem yang terdampak
Terdapat beberapa sistem operasi Windows yang memiliki kerentanan ini yaitu:- Windows 2000
- Windows Vista
- Windows XP
- Windows 7
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
Dampak Kerentanan
Dampak dari kerentanan CVE-2019-0708 pada layanan Remote Desktop Windows adalah pengguna tidak sah yang berhasil mengeksploitasi kerentanan ini dapat mengeksekusi arbitrary code pada sistem target. Pengguna tersebut selanjutnya dapat menginstal program, melihat, mengubah, atau menghapus data, atau membuat akun baru dengan hak pengguna penuh. Dengan kata lain, apabila kerentanan ini berhasil dieksploitasi oleh pihak yang tidak bertanggung jawab, maka berpotensi kompromi atau pengambilalihan keseluruhan sistem secara remote.Nilai Kerentanan
Berdasarkan CVSS v3, kerentanan ini memiliki nilai base score 9,8, temporal score 8.8, dan skor rata-rata sebesar 8.8 sehingga kerentanan ini termasuk kategori tinggi. (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)Panduan Mitigasi Kerentanan
Berikut merupakan langkah-langkah mitigasi yang dapat dilakukan untuk menghindari dampak dari kerentanan remote desktop Windows:Menginstal pembaruan sistem operasi Windows.
Pada tanggal 14 Mei 2019, Microsoft telah merilis perbaikan untuk kerentanan pada layanan remote desktop (CVE-2019-0708). Pembaruan ini memperbaiki bagaimana layanan remote desktop menangani sebuah permintaan koneksi. Pengguna sistem operasi Windows yang rentan terhadap kerentanan ini diharapkan segera melakukan pembaruan sistem operasi Windows yang digunakan. Untuk informasi lebih lanjut mengenai pembaruan dapat dilihat pada tautan https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.
- Untuk pengguna versi Windows yang mendukung dan memiliki pembaruan otomatis yaitu Windows 7, Windows Server 2008 R2, dan Windows Server 2008 dapat mengaktifkan pembaruan otomatis.
- Sedangkan pengguna versi Windows yang tidak didukung yaitu Windows 2003 dan Windows XP dapat melakukan pembaruan dengan mengunduh patch yang terdapat pada portal Microsoft.
- Menonaktifkan layanan remote desktop apabila tidak diperlukan. Jika pengguna jarang menggunakan atau tidak lagi membutuhkan layanan ini, disarankan untuk menonaktifkannya sehingga dapat terhindari dari risiko kerentanan yang terdapat pada layanan ini.
- Mengaktifkan Network Level Authentication (NLA) pada sistem yang menjalankan Windows 7, Windows Server 2008, dan Windows Server 2008 R2 yang didukung. Pengguna dapat mengaktifkan Network Level Authentication untuk memblokir penyerang yang tidak terautentikasi dari upaya mengeksploitasi kerentanan ini. Dengan menerapkan NLA, penyerang harus mengautentikasi dirinya ke layanan Remote Desktop menggunakan akun yang valid pada sistem target sebelum penyerang bisa mengeksploitasi kerentanan.
- Menutup TCP port 3389 di perimeter firewall. TCP port 3389 digunakan untuk memulai koneksi dengan komponen yang terpengaruh. Menutup port ini dapat membantu melindungi sistem yang ada di balik firewall dari upaya eksploitasi kerentanan CVE-2019-0708. Hal ini dapat membantu melindungi jaringan dari serangan yang berasal dari luar perimeter. Hal yang perlu diingat adalah menutup port yang terkena dampak kerentanan dapat mencegah serangan berbasis internet, namun sistem masih rentan terhadap serangan yang berasal dari dalam perimeter.
- Melakukan pemindaian untuk mengetahui apakah komputer atau server yang dikelola memiliki kerentanan CVE-2019-0708. Pemindaian bertujuan untuk memastikan apakah komputer atau server yang menjalankan sistem operasi Windows memiliki kerentanan ini. Pemindaian juga perlu dilakukan setelah dilakukan security patch atau pembaruan terhadap sistem operasi Windows yang digunakan dengan tujuan untuk memastikan bahwa kerentanan CVE-2019-0708 sudah berhasil ditutup. Panduan teknis untuk melakukan pemindaian terlampir.
Dokumen sumber: HIMBAUAN KEAMANAN TERKAIT MICROSOFT BLUEKEEP VULNERABILITY CVE-2019-0708
Lampiran.
Panduan Pemindaian terhadap Kerentanan CVE-2019-0708
Pemindaian terhadap kerentanan CVE-2019-0708 berikut menggunakan tools yang dapat diperoleh dari alamat https://github.com/zerosum0x0/CVE-2019-0708.
Pelengkapan yang dibutuhkan
Berikut merupakan perlengkapan yang dibutuhkan untuk melakukan pemindaian terhadap kerentanan CVE-2019-0708:
Langkah-Langkah Pemindaian
- Buka aplikasi Terminal pada komputer Linux yang digunakan untuk melakukan pemindaian.
- Pada aplikasi terminal, jalankan perintah berikut ini untuk mengunduh tools pemindaian.
- Jalankan perintah berikut untuk masuk ke dalam direktori yang menyimpan tools pemindaian dengan perintah cd CVE-2019-0708/rdesktop-fork-bd6aa6acddf0ba640a49834807872f4cc0d0a773/
- Melakukan konfigurasi tools pemindaian sebagai berikut.
- Lakukan pemindaian dengan cara menjalankan perintah berikut ./rdesktop <alamat IP komputer atau server yang dipindai> Contoh: Jalankan perintah di bawah ini untuk melakukan pemindaian terhadap komputer dengan alamat IP 192.168.0.114. ./rdesktop 192.168.211.126:3389
- Tools akan menampilkan hasil pemindaian yang dilakukan. Contoh hasil pemindaian terhadap komputer yang memiliki kerentanan CVE-2019-0708 adalah sebagai berikut: