Para pembela keamanan siber saat ini berlomba untuk melindungi organisasi ketika para peretas mulai mempersenjatai kelemahan keamanan yang dipublikasikan oleh seorang peneliti yang tidak puas. Menurut perusahaan keamanan siber Huntress, setidaknya satu organisasi telah dibobol menggunakan kerentanan yang dipublikasikan secara publik, bukan ditambal terlebih dahulu.
Kerentanan: BlueHammer, UnDefend, dan RedSun
Gelombang serangan baru-baru ini berpusat pada tiga kelemahan keamanan Windows spesifik yang diidentifikasi oleh para peneliti sebagai BlueHammer, UnDefend, dan RedSun. Ketiga kerentanan tersebut menargetkan Windows Defender, perangkat lunak antivirus bawaan Microsoft.
Dengan mengeksploitasi kelemahan ini, penyerang dapat melewati langkah-langkah keamanan untuk mendapatkan akses tingkat administrator ke komputer yang terinfeksi, sehingga memberi mereka kendali penuh atas sistem yang terpengaruh.
Status kelemahan tersebut saat ini adalah sebagai berikut:
– BlueHammer: Microsoft telah merilis patch untuk kerentanan ini awal pekan ini.
– UnDefend & RedSun: Ini masih belum ditambal, membuat sistem rentan terhadap eksploitasi langsung.
Sumber: Perincian dalam Pengungkapan yang Bertanggung Jawab
Akar dari krisis ini terletak pada kegagalan proses tradisional “pengungkapan kerentanan terkoordinasi”. Biasanya, peneliti keamanan melaporkan kelemahan tersebut kepada vendor perangkat lunak seperti Microsoft secara pribadi. Hal ini memberikan waktu bagi vendor untuk mengembangkan perbaikan sebelum rinciannya dipublikasikan, sebuah proses yang dirancang untuk melindungi pengguna.
Namun, seorang peneliti yang dikenal sebagai Chaotic Eclipse telah melewati konvensi ini melalui apa yang dikenal sebagai “pengungkapan penuh”. Setelah adanya konflik dengan Microsoft, peneliti tersebut menerbitkan kode eksploitasi untuk ketiga kerentanan tersebut di GitHub.
“Saya tidak menggertak Microsoft dan saya melakukannya lagi,” tulis peneliti tersebut, yang menyatakan bahwa rilis publik tersebut merupakan respons terhadap ketegangan dengan Microsoft Security Response Center (MSRC).
Meskipun Microsoft telah menyatakan dukungannya terhadap pengungkapan terkoordinasi untuk memastikan perlindungan pelanggan, tindakan Chaotic Eclipse telah secara efektif memberikan “peralatan penyerang siap pakai” kepada penjahat dunia maya.
“Tarik Tarik-menarik” Antara Pembela dan Peretas
Insiden ini menyoroti tren berbahaya dalam lanskap keamanan siber: pesatnya penggunaan penelitian publik. Ketika kode “bukti konsep” dipublikasikan secara online sebelum patch tersedia, jendela peluang bagi peretas langsung terbuka.
John Hammond, peneliti di Huntress, menggambarkan dinamika ini sebagai “tarik-menarik” yang berisiko tinggi.
- Musuh: Penjahat dunia maya dapat mengunduh kode yang ada dan segera melancarkan serangan tanpa perlu menemukan sendiri kelemahannya.
- Para Pembela: Tim keamanan dipaksa berlomba untuk mengidentifikasi sistem yang terkena dampak dan menerapkan solusi sebelum kerusakan terjadi.
Siklus ini menciptakan periode risiko ekstrim dimana kecepatan eksploitasi seringkali melebihi kecepatan siklus patching perusahaan.
Kesimpulan
Eksploitasi kerentanan Windows ini menggarisbawahi volatilitas model “pengungkapan penuh”, di mana rilis kode eksploitasi secara publik mengubah perselisihan penelitian keamanan menjadi ancaman langsung dan luas terhadap data organisasi.
