
Logo Windows | Foto: Unsplash
Logo Windows | Foto: Unsplash
Cyberthreat.id – Microsoft akhirnya merilis pembaruan keamananan (patch) untuk perbaikan kerentanan bernama “PrintNightmare” yang mempengaruhi hampir semua versi Windows, termasuk Windows 10 1607 dan Windows Server 2016.
“Microsoft menyarankan agar Anda segera menginstal pembaruan ini pada semua sistem operasi klien dan server Windows, dimulai dengan perangkat saat ini yang menjadi host print server,” tulis Microsoft, dikutip dari BleepingComputer, Rabu (7 Juli 2021).
"Anda juga memiliki pilihan untuk mengonfigurasi pengaturan registri RestrictDriverInstallationToAdministrators untuk mencegah non-administrator menginstal driver printer yang ditandatangani di print server. Untuk informasi selengkapnya, lihat KB5005010," perusahaan menambahkan.
Meski telah dirilis pada Selasa (6 Juli), peneliti keamanan siber Matthew Hickey, co-founder Hacker House dan Will Dormann, analis kerentanan untuk CERT/CC, menuturkan, yang diperbaiki Microsoft hanya komponen “eksekusi kode jarak jauh” (RCE).
Sementara, malware dan peretas masih dapat menggunakan komponen eskalasi “hak istimewa lokal” (local privilage escalation/LPE) untuk mendapatkan “hak istimewa sistem” pada sistem rentan jika kebijakan “point and print” diaktifkan.
Kebijakan ini terletak di Computer Configuration>Administrative Templates>Printers>Point and Print Restrictions.
Oleh karenanya, Hickey menyarankan agar administrator dan pengguna “menonaktifkan layanan “Print Spooler” untuk melindungi server dan workstation Windows hinggat patch yang berfungsi dirilis kembali.
Sementara tambalan yang dikeluarkan baru saja, menurut Hickey, berfokus pada pemblokiran eksploitasi kerentanan jarak jauh, bukan pada ACL (access control list) di AddPrinterDriverEx (), RpcAddPrinterDriver (), dan RpcAsyncAddPrinterDriver.
"Tambalan terbaru yang dirilis Microsoft berfokus pada penanganan vektor eksploitasi RCE dan tampaknya mengatasi PoC umum yang beredar, namun karena Anda juga dapat mencapai ini melalui LRPC dan API lokal - tergantung pada host dan keadaan, tampaknya tambalan tidak mengatasi masalah mendasar dalam pemeriksaan ACL yang memungkinkan eksploitasi masih untuk LPE pada host yang sepenuhnya ditambal," jelas Hickey.
Sementara, perusahaan keamanan, 0patch, juga merilis micropatch gratis untuk kerentanan “PrintNightmare” yang sejauh ini, menurut BleepingComputer, mampu memblokir upaya eksploitasi kerentanan.
0patch juga memperingatkan agar pengguna tidak menginstal “patch Microsofot” yang baru dirilis pada 6 Juli jika ingin menggunakan micropatch keluarannya. Alasannya, dengan tak menginstal tersebut, tidak hanya melindungi dari kerentanan, tapi patch justru memodifikasi file “localspl.dll” sehinggat patch yang dikeluarkan 0patch tidak lagi berfungsi.
“Jika Anda menggunakan 0patch melawaan ‘PrintNightmare, jangan terapkan pembaruan Windows 6 Juli!” tulis 0patch.
“Ini tidak akan memperbaiki vektor serangan lokal, tapi juga tidak memperbaiki vektor jarak jauh. Namun, itu justru mengubah ‘localspl.dll’ yang membuat tambalan kami yang memperbaiki masalah tak berfungsi,” kata 0patch.
0patch mengatakan, jika tak ingin menggunakan micropatch-nya, pengguna Windows disarankan lebih baik nonaktifkan Print Spooler dengan instruksi klik di sini.
Penemuan PrintNightMare
Sebelumnya, peneliti keamanan siber dari Sangfor Technologies berkantor pusat di Shenzen, China menemukan secara tidak sengaja zero-day pada Windows pada Juni lalu. Kerentanan yang baru diketahui dan belum ditambal (zero day) itu diberi nama “PrintNightmare”.
Menurut peneliti, jika peretas jahat menemukan dan mengeksploitasi kerentanan tersebut, mereka bisa mengeksekusi kode jarak jauh (RCE) dan mendapat hak istimewa lokal (LPE).
Peneliti merilis bukti konsep (PoC) kerentanan kritis tersebut yang terletak pada Windows Print Spooler, tulis TechRadar. (Baca: Semua Versi Windows Berisiko Kerentanan ‘PrintNightmare’)
Awal Juni lalu, Microsoft sempat merilis tambalan kerentanan CVE-2021-1675 meski saat itu disebut sebagai kerentanan tingkat rendah.
Ternyata, pada 8 Juni, Microsoft memperbaiki pernyataannya bahwa “PrintNightmare” tergolong kerentanan kritis karena menyangkut eksekusi jarak jauh (RCE). Untuk kerentanan terbaru ini, Microsoft melabeli CVE-2021-34527.
Sementara, tambalan kerentanan (patch) yang dirilis awal Juni hanya untuk memperbaiki kerusakan CVE-2021-1675. Kedua kerentanan itu memang serupa, tapi vektor serangannya berbeda. Perusahaan saat itu hanya menyarankan untuk menonaktifkan layanan Print Spooler yang biasa digunakan untuk mengelola printer atau print server.
“PrintNightmare” mempengaruhi Print Spooler yang diaktifkan secara default pada semua mesin Windows. “Kode yang berisi kerentanan ini ada di semua versi Windows,” ujar Microsoft, 2 Juli lalu .
Kerusakan tersebut, kata peneliti, juga mudah untuk dieksploitasi. Jika menonaktifkan Print Spooler, memang akan melindungi organisasi dari pengaruh kerentanan. Sayangnya, organisasi bakal terkendala dalam pencetakan.
Pendek kata, “PrintNightmare” ialah kerentanan di Windows Print Spooler yang disebabkan oleh hilangnya pemeriksaan ACL (access control list) di AddPrinterDriverEx (), RpcAddPrinterDriver (), dan RpcAsyncAddPrinterDriver () fungsi Windows API yang digunakan untuk menginstal driver printer lokal atau jarak jauh.
Dengan PrintNightmare, pemeriksaan izin dapat dilewati untuk menginstal DLL berbahaya ke dalam folder C:\Windows\System32\spool\drivers yang kemudian dimuat sebagai driver print oleh exploit untuk mencapai eksekusi kode jarak jauh atau eskalasi hak istimewa lokal.
Untuk mengeksploitasi kerentanan, permintaan dapat dikirim langsung ke layanan lokal melalui RPC atau LRPC, tulis BleepingComputer.
Berikut ini langkah-langkah menginstal pembaruan yang disarankan Microsoft (klik pada tautan):
Share: