Pekan lalu, tiga peristiwa menarik di bidang keamanan informasi terjadi sekaligus: kerentanan yang dieksploitasi di Whatsapp ditutup, tambalan dirilis untuk kerentanan kritis di Windows bahkan untuk versi OS yang tidak didukung, dan Intel menemukan masalah seperti Spectre lainnya. Mari kita mulai dengan kerentanan dalam komponen Layanan Desktop Jarak Jauh (
berita , posting blog Microsoft). Rincian teknis kerentanan tidak diungkapkan, tetapi diketahui bahwa bug memungkinkan Anda untuk mendapatkan kendali atas sistem menggunakan protokol RDP tanpa otorisasi.
Kerentanan dipengaruhi oleh Windows 7 dan Windows 2008 Server, serta Windows XP dan Windows 2003 Server yang tidak didukung. Artikel oleh Brian Krebs
menunjukkan kesamaan kerentanan dengan bug
EternalBlue dalam protokol SMB, yang pada tahun 2017 menyebabkan epidemi skala besar dari trojan ransomware WannaCry. Dalam hal ini, penyerang dapat memperoleh akses ke sistem tak berpasangan yang dapat diakses melalui protokol RDP, dan melaluinya untuk menyebarkan serangan ke komputer lain di jaringan lokal. Meskipun rilis tambalan cepat, kemungkinan besar, kami masih akan mendengar tentang konsekuensi menggunakan bug ini.
Untuk mengurangi kemungkinan serangan berskala besar, Microsoft merilis patch untuk Windows XP dan 2003 Server, yang tidak lagi didukung secara resmi oleh perusahaan. Pada 14 Mei, Microsoft menutup beberapa kerentanan lainnya, termasuk bug kritis
CVE-2019-0863 dalam sistem Pelaporan Kesalahan Windows. Tidak seperti masalah dalam RDP, kerentanan ini memengaruhi versi OS modern hingga Windows 10 dan dapat digunakan untuk meningkatkan hak istimewa. Kerentanan ini secara aktif dieksploitasi oleh penjahat cyber.
Insiden yang paling banyak dibahas dalam seminggu terakhir adalah laporan kerentanan serius di pembawa pesan (
berita ) Whatsapp. Kerentanan
CVE-2019-3568 ditutup oleh pembaruan Whatsapp untuk Android dan iOS
pada 13 Mei . Menariknya, dalam pengumuman versi baru untuk Android, perubahan utama bukanlah patch sama sekali, tetapi “tampilan layar penuh stiker”:
Dalam diskusi, tercatat bahwa pengguna biasa lebih cenderung memperbarui klien karena stiker, dan sejauh ini hanya sedikit orang yang berpikir tentang keamanan. Check Point Software menganalisis tambalan dan
menemukan beberapa pemeriksaan baru pada ukuran paket protokol SRTCP yang digunakan untuk telepon Internet. Rupanya, tidak adanya pemeriksaan ini menyebabkan buffer overflow. Tapi apa yang terjadi selanjutnya - tidak ada yang tahu, kita hanya bisa mengasumsikan mendapatkan kendali atas aplikasi dan exfiltrasi data. Tetapi ada banyak pembicaraan tentang sumber eksploitasi.
Menurut Financial Times, eksploitasi aktif eksploit tersebut terlihat secara bersamaan di Facebook (pemilik messenger saat ini) dan di organisasi hak asasi manusia Citizen Lab. Yang terakhir dihubungi oleh pengacara Inggris yang menerima beberapa panggilan video dari nomor yang tidak dikenal di ponsel Apple dengan messenger yang diinstal. Untuk mengeksploitasi kerentanan, Anda perlu mengirim paket data yang disiapkan khusus ke penerima, yang dirasakan oleh klien WhatsApp sebagai panggilan video. Tidak perlu menjawab panggilan. Menurut Financial Times, kerentanan itu ditemukan oleh NSO Group, yang berspesialisasi dalam penjualan eksploitasi kepada lembaga pemerintah dan layanan khusus. Dimungkinkan untuk mengidentifikasi pengembang dengan metadata.
Perkembangan sejarah yang menarik adalah jabatan pendiri Telegram messenger Pavel Durov (
asli ,
terjemahan tentang Habré), berjudul "Mengapa WhatsApp tidak akan pernah aman." Seberapa aman Telegram itu sendiri - juga menjadi bahan diskusi, baik teknis maupun emosional. Tapi bukan itu intinya: Posting Durov adalah contoh bagaimana keamanan menjadi alat iklan. Keuntungan (nyata atau imajiner) yang menganggap bagian penting dari target audiens penting. Ini adalah berita baik: jika para pelaku pasar entah bagaimana harus mengiklankan layanan mereka sebagai dilindungi dari peretasan, cepat atau lambat mereka akan
benar -
benar perlu
melakukan sesuatu ke arah ini .
Kami akan melengkapi ulasan berita dengan empat serangan baru pada saluran pihak ketiga (
berita ). Kerentanan terkait ditemukan pada prosesor Intel, mereka ditemukan selama pemeriksaan internal di perusahaan itu sendiri (artikel rinci di situs web
Intel ), serta para peneliti di sebuah universitas teknis di Graz di Austria (minisite dengan URL
cpu.fail yang “berbicara”).
Peneliti independen mengidentifikasi empat vektor serangan, dan untuk masing-masing, mereka menguraikan skenario realistis untuk mendapatkan data yang menarik bagi penyerang. Jika terjadi serangan Zombiel, ini adalah riwayat halaman yang dikunjungi di browser. Serangan RIDL memungkinkan Anda untuk menarik rahasia dari aplikasi yang berjalan di sistem atau mesin virtual. Serangan Fallout hanya dapat memperkuat serangan lain, menerima informasi tentang membaca data yang sebelumnya ditulis ke memori oleh sistem operasi. Akhirnya, metode Forwarding Store-to-leak secara teoritis dapat digunakan untuk mem-bypass ASLR.
Di Intel, mereka mencoba untuk tidak mengadopsi nama-nama kreatif (dan sedikit menakutkan) dari serangan dan menyebutnya sebagai pengambilan sampel data mikroarsitektur yang kompleks. Teknik MDS memungkinkan proses lokal untuk membaca data yang tidak dapat diakses dari memori menggunakan metode serangan yang sama pada saluran pihak ketiga seperti keluarga Spectre yang ditemukan sebelumnya. Intel berjanji untuk menutup kerentanan dalam revisi prosesor berikutnya, dan CPU generasi ke-8 dan ke-9 sebagian tidak terpengaruh oleh serangan ini. Pembaruan mikrokode akan dirilis untuk sisa prosesor, dan untuk keamanan tambahan dari ancaman (sejauh teoretis), seperti biasa, Anda harus membayar
penurunan kinerja .
Menurut Intel, ini beberapa persen, tetapi di sini fakta menentukan harga keamanan menarik, yang harus kita semua bayar.
Penafian: Pendapat yang dikemukakan dalam intisari ini tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.