SolarWinds, Solorigate, dan artinya untuk pembaruan Windows

Microsoft baru-baru ini diumumkan bahwa kode sumber Windows-nya telah dilihat oleh penyerang SolarWinds. (Biasanya, hanya pelanggan utama pemerintah dan mitra tepercaya yang memiliki tingkat akses ke “barang” yang dibuat Windows ini.) Penyerang dapat membaca – tetapi tidak mengubah – saus rahasia perangkat lunak, menimbulkan pertanyaan dan kekhawatiran di antara Microsoft pelanggan. Apakah itu berarti, mungkin, penyerang dapat menyuntikkan proses pintu belakang ke dalam proses pemutakhiran Microsoft

Pertama, sedikit latar belakang serangan SolarWinds, disebut juga Solorigate: Seorang penyerang masuk ke perusahaan alat manajemen/pemantauan jarak jauh dan dapat menyuntikkan dirinya ke dalam proses pengembangan dan membangun pintu belakang. Ketika perangkat lunak diperbarui melalui proses pemutakhiran normal yang diatur oleh SolarWinds, perangkat lunak pintu belakang disebarkan ke sistem pelanggan — termasuk sejumlah lembaga pemerintah AS. Penyerang kemudian dapat secara diam-diam memata-matai beberapa aktivitas di seluruh pelanggan ini.

Salah satu teknik penyerang adalah memalsukan token untuk autentikasi sehingga sistem domain mengira mendapatkan kredensial pengguna yang sah, padahal kredensial tersebut dipalsukan. Bahasa Markup Penegasan Keamanan (SAML) secara teratur digunakan untuk mentransfer kredensial dengan aman antar sistem. Dan sementara proses masuk tunggal ini dapat memberikan keamanan tambahan untuk aplikasi, seperti yang ditampilkan di sini, ini dapat memungkinkan penyerang mendapatkan akses ke sistem. Proses serangan, yang disebut “SAML Emas” vektor serangan “melibatkan penyerang terlebih dahulu mendapatkan akses administratif ke Layanan Federasi Direktori Aktif organisasi (ADFS) server dan mencuri kunci privat dan sertifikat penandatanganan yang diperlukan.” Itu memungkinkan akses berkelanjutan ke kredensial ini hingga kunci pribadi ADFS dibatalkan dan diganti.

Saat ini diketahui bahwa penyerang berada dalam perangkat lunak yang diperbarui antara Maret dan Juni 2020, meskipun ada tanda-tanda dari berbagai organisasi bahwa mereka mungkin telah diam-diam menyerang situs sejak Oktober 2019.

Microsoft menyelidiki lebih lanjut dan menemukan bahwa sementara penyerang tidak dapat menyuntikkan diri ke infrastruktur ADFS/SAML Microsoft, “satu akun telah digunakan untuk melihat kode sumber di sejumlah repositori kode sumber. Akun tersebut tidak memiliki izin untuk mengubah kode atau sistem rekayasa apa pun dan penyelidikan kami lebih lanjut mengonfirmasi bahwa tidak ada perubahan yang dilakukan.” Ini bukan pertama kalinya kode sumber Microsoft diserang atau dibocorkan ke web. Pada tahun 2004, 30.000 file dari Windows NT hingga Windows 2000 bocor ke web melalui pihak ketiga. Windows XP dilaporkan bocor secara online tahun lalu.

Meskipun tidak bijaksana untuk menyatakan secara otoritatif bahwa proses pembaruan Microsoft dapat tidak pernah memiliki pintu belakang di dalamnya, saya terus mempercayai proses pembaruan Microsoft itu sendiri – bahkan jika saya tidak mempercayai tambalan perusahaan begitu tambalan itu keluar. Proses pemutakhiran Microsoft bergantung pada sertifikat penandatanganan kode yang harus cocok atau sistem tidak akan memasang pemutakhiran. Bahkan ketika Kamu menggunakan proses tambalan terdistribusi di Windows 10 disebut Optimalisasi pengiriman, sistem akan mendapatkan sedikit demi sedikit tambalan dari komputer lain di jaringan Kamu – atau bahkan komputer lain di luar jaringan Kamu – dan mengkompilasi ulang seluruh tambalan dengan mencocokkan tanda tangannya. Proses ini memastikan bahwa Kamu bisa mendapatkan pembaruan dari mana saja — tidak harus dari Microsoft — dan komputer Kamu akan memeriksa untuk memastikan tambalan tersebut valid.

Ada kalanya proses ini dicegat. Pada tahun 2012, malware Flame menggunakan sertifikat penandatanganan kode yang dicuri agar terlihat seolah-olah berasal dari Microsoft untuk mengelabui sistem agar mengizinkan penginstalan kode berbahaya. Tetapi Microsoft mencabut sertifikat itu dan meningkatkan keamanan proses penandatanganan kode untuk memastikan bahwa vektor serangan akan dimatikan.

Kebijakan Microsoft adalah mengasumsikan bahwa kode sumber dan jaringannya telah dikompromikan dan dengan demikian memiliki filosofi “menganggap pelanggaran”. Jadi saat kami mendapatkan pembaruan keamanan, kami tidak hanya menerima perbaikan untuk apa yang kami ketahui; Saya sering melihat referensi yang tidak jelas tentang fitur pengerasan dan keamanan tambahan yang membantu pengguna untuk terus maju. Ambil contoh, KB4592438. Dirilis untuk 20H2 pada bulan Desember, itu menyertakan referensi yang tidak jelas untuk pembaruan guna meningkatkan keamanan saat menggunakan Microsoft Edge Legacy dan produk Microsoft Office. Sementara sebagian besar pembaruan keamanan setiap bulan secara khusus memperbaiki kerentanan yang dinyatakan, ada juga bagian yang malah mempersulit penyerang untuk menggunakan teknik yang diketahui untuk tujuan jahat.

Rilis fitur sering mendukung keamanan untuk sistem operasi, meskipun beberapa perlindungan mengamanatkan lisensi Enterprise Microsoft 365 yang disebut lisensi “E5”. Namun Kamu masih dapat menggunakan teknik perlindungan tingkat lanjut tetapi dengan kunci registri manual atau dengan mengedit pengaturan kebijakan grup. Salah satu contohnya adalah sekelompok pengaturan keamanan yang dirancang untuk pengurangan permukaan serangan; Kamu menggunakan berbagai pengaturan untuk memblokir tindakan jahat yang terjadi di sistem Kamu.

Tapi (dan ini sangat besar tapi), untuk menetapkan aturan ini berarti Kamu harus menjadi pengguna tingkat lanjut. Microsoft menganggap fitur-fitur ini lebih untuk perusahaan dan bisnis dan karenanya tidak memaparkan pengaturan dalam antarmuka yang mudah digunakan. Jika Kamu adalah pengguna tingkat lanjut dan ingin memeriksa aturan pengurangan permukaan serangan ini, rekomendasi saya adalah menggunakan alat antarmuka pengguna grafis PowerShell yang disebut Aturan ASR PoSH GUI untuk menetapkan peraturan. Tetapkan aturan terlebih dahulu untuk “mengaudit” daripada mengaktifkannya sehingga Kamu dapat meninjau dampaknya pada sistem Kamu terlebih dahulu.

Kamu dapat mengunduh GUI dari situs github dan Kamu akan melihat aturan ini tercantum. (Perhatikan, Kamu perlu Jalankan sebagai administrator: klik kanan mouse pada file .exe yang diunduh dan klik jalankan sebagai administrator.) Ini bukan cara yang buruk untuk memperkuat sistem Kamu sementara dampak dari serangan SolarWinds terus terungkap.

Post By 2021 Idnu.me, Inc.

Leave a Comment