Cyberthreat.id - Server Message Block (SMB) telah lama menjadi kontroversi, terutama setelah serangan ransomware Wannacry dan NotPetya tahun 2017. Seorang peneliti baru-baru ini mengungkapkan secara terbuka tentang eksploitasi lainnya berdasarkan kerentanan SMB. Pengungkapan ini menjelaskan berbagai ancaman terkait teknologi ini.

SMB adalah protokol client/server yang ditujukan sebagai layanan untuk berbagi berkas (file sharing) di dalam sebuah jaringan. Dalam suatu jaringan komputer, SMB beroperasi sebagai protokol jaringan layer aplikasi.

SMB berguna untuk menyediakan akses berbagi file, printer, dan komunikasi lain-lain antar node dalam sebuah jaringan. SMB sering digunakan di dalam komputer yang menggunakan sistem operasi Microsoft Windows dikenal sebagai “Microsoft Windows Network” dan IBM OS/2.

Sistem operasi berbasis UNIX juga dapat menggunakannya dengan tambahan perangkat lunak yang disebut dengan Samba.

Untuk masalah keamanan, SMB mengimplementasikannya pada dua level, yakni user-level dan share-level. SMB tidak diajukan menjadi standar Internet, sebelum tahun 1996, saat Microsoft memodifikasi SMB menjadi protokol CIFS (Common Internet File System).

Bagaimana mengeksploitasi kerentanan SMB?

Baru-baru ini kode kerja (working code) untuk kerentanan kritis di Microsoft Server Message Block (SMB 3.1.1) telah tersedia. Kerentanan kritis ini memungkinkan penyerang untuk mencapai eksekusi kode jauh (remote code execution/RCE) pada mesin Windows 10.

Kode ini untuk exploitasi SMBGhost RCE yang dibagikan oleh seorang peneliti di GitHub dengan nama pengguna 'chompie1337' dan diungkapkan ke publik di Twitter melalui gagang Twitter 'Chompie'.

Eksploitasi bergantung pada primitif read fisik, yang dapat mengeksploitasi bug korupsi memori SMB di masa yang akan datang.

Seberapa bahaya kerentanan SMB?

Kerentanan Server SMB menarik perhatian para peneliti keamanan di berbagai negara setelah serangan WannaCry dan NotPetya yang populer dari 2017. Serangan ini menggunakan eksploitasi EternalBlue untuk SMB v1.

Kerentanan SMBGhost saat ini dilacak sebagai CVE-2020-0796, mempengaruhi Windows 10 versi 1909 dan 1903, termasuk Server Core.

Pada bulan Maret 2020, informasi tentang kerentanan ini secara keliru dibocorkan oleh Microsoft. Belakangan Microsoft merilis tambalan penting untuk memperbaiki masalah ini.

Ketika itu, Microsoft merilis pembaruan patch (KB4551762) untuk memperbaiki masalah ini. Microsoft juga menyediakan beberapa solusi, termasuk menonaktifkan kompresi pada server SMBv3 dan memblokir port TCP 445 (jika berlaku) di firewall perimeter perusahaan.

Sebelumnya, pertengahan Januari 2020, Badan Sandi AS, National Security Agency (NSA), memberitahu Microsoft akan adanya masalah signifikan yang mempengaruhi sistem operasi Windows 10 yang digunakan konsumen dan perusahaan.

NSA menemukan adanya kerusakan yang memengaruhi tanda tangan digital ter-enkripsi yang digunakan untuk mengidentifikasi konten, termasuk software dan file. Jika cacat ini dieksploitasi, hacker bisa mengirimkan konten berbahaya dengan tanda tangan palsu.[]

​​​​