• Our Partners:

Zerologon Exploit Vulnerability

Samba dan 0patch Rilis Perbaikan Exploit Zerologon, Microsoft Masih Buntu

NESABAMEDIA.COMExploit Zerologon yang muncul di perangkat berbasis Windows, akhirnya mendapatkan perbaikan. Namun perbaikan tersebut bukan merupakan perbaikan resmi dari Microsoft, melainkan dari pihak ketiga yakni Samba dan 0Patch. Sementara itu, dari pihak Microsoft sendiri belum bisa menanganinya.

Baik Samba maupun 0patch telah menemukan cara memperbaiki exploit berkode CVE-2020-1472. Exploit ini terdapat di Netlogon Remote Protocol, yang ada di Windows Domain Controllers, yang digunakan sebagai alat autentikasi pada pengguna dan mesin. 

Dengan memanfaatkan exploit ini, memungkinkan peretas tanpa hak akses untuk mengendalikan secara penuh seluruh direktori aktif pada layanan pengelola identitas. Proof-of-Concept (POC) untuk exploit ini pun telah dirilis ke publik, dan mendapatkan tingkat kritikal sangat berbahaya, dengan nilai 10/10. 

Sebenarnya Microsoft telah mencoba merilis perbaikan ke pengguna, pada bulan Agustus kemarin. Namun rupanya, tidak semua perangkat pengguna cocok dengan perbaikan yang dirilis itu, sehingga exploit tersebut masih bisa terdeteksi.

Oleh karena itu 0patch mencoba membuat perbaikan versi mereka sendiri, berupa sebuah micropatch. 

“Micropatch kami ditujukan untuk pengguna yang menggunakan perangkat berbasis Windows Server 2008 R2, di mana tidak lagi mendapatkan dukungan support dari Microsoft sejak Januari lalu dan tidak bisa mendapatkan pembaruan Windows lagi. Celakanya, banyak perusahaan yang masih menggunakan platform tersebut, dan satu-satunya cara untuk memperbaikinya adalah dengan berpindah menggunakan Azure Cloud. Namun bagi perusahaan kelas kecil-menengah, hal itu menjadi masalah baru,” ungkap 0patch.

Micropatch yang dibuat oleh 0patch tersebut, sebenarnya memiliki cara kerja yang sama dengan perbaikan yang dirilis Microsoft. Secara teknis, perbaikan tersebut melakukan injeksi ke fungsi yang ada di NetrServerAuthenticate3, seperti yang dilakukan Microsoft ke NlIsChallengeCredentialPairVulnerable. Namun karena file tersebut tidak ada di netlogon.dll, maka 0patch membuat file versi mereka sendiri.

Pihak 0patch juga menegaskan jika micropatch buatannya, bisa digunakan di beberapa versi Windows lain yang tidak lagi mendapatkan dukungan support oleh Microsoft.

Sementara itu, Samba yang menyediakan layanan file sharing yang memanfaatkan layanan Netlogon, juga mengalami permasalahan yang sama. Namun perbaikan yang mereka kembangkan sendiri itu, lebih memanfaatkan konfigurasi server, sehingga akses bisa dibatasi.

Pihaknya mengatakan jika Samba versi 4.8 ke atas tidak akan memiliki celah exploit Zerologon tersebut, kecuali pada konfigurasinya terdapat perintah pengaturan yakni “server channel = no” atau “server channel=auto”. Sementara untuk Samba versi 4.7 ke bawah, dipastikan memiliki celah exploit Zerologon, kecuali pada perintah pengaturan terdapat “server channel=yes” di file smb.conf.

Exploit Zerologon ini tidak bisa dianggap sepele, bahkan pihak keamanan siber nasional Amerika Serikat pun sampai mengeluarkan status gawat darurat akan celah tersebut.

Leave a Reply

Send this to a friend