Jika Anda belum menambal sistem Windows Anda sejak 10 Maret, lebih baik lakukan sekarang, memperingatkan Badan Keamanan Cyber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri AS.
Itu karena kode proof-of-concept baru dirilis minggu lalu yang mengeksploitasi cacat — dikenal sebagai SMBGhost atau, um, Eternal Darkness — dalam protokol Server Message Block (SMB) yang ditambal Microsoft pada 12 Maret, dua hari setelah reguler Patch Maret Putaran Selasa.
- Perlindungan antivirus terbaik untuk PC Windows Anda
- Lihat pengelola kata sandi terbaik
- Terbaru: Desain Nvidia GeForce RTX 3080 bocor — berita buruk
Cacat ini memengaruhi Windows 10 build 1903 dan 1909, tetapi versi Windows 10 yang lebih lama atau lebih baru tidak rentan. Eksploitasi SMBGhost yang benar-benar sukses akan menciptakan “worm” tak terbatas yang dapat menyebar melalui internet dengan sendirinya, mirip dengan worm ransomware WannaCry tahun 2017.
“Aktor cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru [proof-of-concept]menurut laporan sumber terbuka baru-baru ini,” konsultasi CISA, dirilis 5 Juni, memperingatkan. “CISA sangat menyarankan penggunaan firewall untuk memblokir port SMB dari internet dan menerapkan patch ke kerentanan kritis dan tingkat keparahan tinggi sesegera mungkin.”
Ini bukan bukti konsep pertama yang mengeksploitasi kelemahan SMBGhost, dan itu bahkan belum berfungsi dengan baik. Tapi itu memungkinkan eksekusi kode jarak jauh yang cukup konsisten, yaitu, peretasan melalui internet, yang menempatkannya selangkah lebih dekat ke worm di seluruh dunia.
“Ini belum diuji di luar lingkungan lab saya. Itu ditulis dengan cepat dan perlu beberapa pekerjaan agar lebih dapat diandalkan,” tulis pengembang bukti konsep, yang menyebut dirinya chompiedi postingan GitHub. “Menggunakan ini untuk tujuan apa pun selain pendidikan mandiri adalah ide yang sangat buruk. Komputer Anda akan terbakar. Anak anjing akan mati.”
Chompie menyediakan video mendemonstrasikan exploit, di mana Mac menggunakannya untuk meretas PC.
Ini sakit 😂. Tapi saya bisa mencapai RCE dengan CVE 2020-0796 #SMBGhost. pic.twitter.com/mvQ0YQt9GT1 Juni 2020
Will Dormannseorang analis kerentanan di Pusat Koordinasi CERT yang didanai Pentagon di Universitas Carnegie Mellon di Pittsburgh, mengatakan bahwa kode eksploitasi Chompie “tidak sepenuhnya dapat diandalkan, tetapi … memang berfungsi!”
Tidak sepenuhnya dapat diandalkan, tetapi PoC CVE-2020-0796 ini memang berfungsi! https://t.co/0ZX2biA4kO pic.twitter.com/RNu39PuirK5 Juni 2020
Fakta bahwa bahkan sebagian eksploitasi jaringan-melompat dari SMBGhost ada di luar sana — dan bahwa orang jahat mungkin menggunakannya, per CISA — berarti bahwa setiap build Windows 10 1903 atau 1909 yang belum menginstal patch Maret rentan untuk menyerang dari internet.
Solusinya, tentu saja, adalah menginstal patch yang berdiri sendiri yang dikeluarkan Microsoft pada 12 Maret. Anda juga dapat meningkatkan ke Windows 10 build 2004, yang sekarang diluncurkan ke PC. Dan, jika Anda bisa, atur firewall Anda untuk memblokir port 445 secara eksternal. (Kami memiliki petunjuk di sini.)
Secara teori, Anda harus menginstal semua patch keamanan Microsoft segera setelah dikeluarkan. Tapi itu sering menimbulkan masalah tersendiri, terutama untuk perusahaan dengan lusinan atau ratusan PC yang ditambal sekaligus.