Oleh: manto | 30 Oktober 2009

Napak Tilas Eksploitasi RPC Dcom Vulnerability

History repeat itself, begitu kata pepatah. Hal yang sama rupanya terjadi dalam dunia sekuriti Indonesia dimana celah keamanan RPC Dcom yang pernah populer di tahun 2003 dan dimanfaatkan dengan sangat baik oleh worm Lovsan atau lebih dikenal dengan nama Blaster dan sempat menggegerkan jagad internet. Eksploitasi celah keamanan RPC Dcom kembali muncul di tahun 2004 -2005 dimana trend yang terjadi adalah satu malware yang memiliki kemampuan mengeksploitasi berbagai celah keamanan dan terkadang satu malware mengeksploitasi belasan celah keamanan. Setelah serangan tersebut mereda, kelihatannya di akhir tahun 2008 ini kembali muncul peluang eksploitasi baru atas celah keamanan RPC Dcom lagi dan kali ini cukup serius karena Windows XP dengan Service Pack 3 sekalipun tetap rentan terhadap eksploitasi celah keamanan RPC Dcom baru ini. Bagaimana hal ini terjadi dan bagaimana cara mengatasinya ? Silahkan simak tulisan dibawah ini.

Blaster dan RPC Dcom Part I

Worm Blaster yang muncul perdana pada tanggal 12 Agustus 2003 dan variannya menyebabkan semua komputer Windows NT / 2000 / XP / 2003 saling melakukan scanning untuk menyebarkan dirinya. Beberapa pelanggan ISP yang menggunakan koneksi broadband cable modem paling merasakan penurunan performa bandwidth yang signifikan. Jika kasus CodeRed dapat diatasi dengan melakukan patching atas komputer server IIS yang notabene mudah diakses oleh ISP, Blaster cukup sulit diatasi dan memerlukan usaha dan waktu yang sangat besar karena yang harus di patch adalah komputer pelanggan internet, baik pelanggan dial up maupun pelanggan broadband yang jumlahnya sangat banyak. Beberapa ISP bahkan sampai melakukan tindakan tegas untuk mematikan koneksi internet bagi pelanggan kabel modem yang tidak melakukan patching komputernya guna mencegah Blaster.

Sumber utama permasalahan adalah celah keamanan RPC Dcom yang ditemukan pada tanggal 16 Juli 2003. Celah keamanan ini sangat berbahaya dan mengancam pengguna :

  • Microsoft Windows NT 4.0 & Terminal Services Edition

  • Microsoft Windows 2000

  • Microsoft Windows XP

  • Microsoft Windows Server 2003

Celah keamanan ini memungkinkan penyusup untuk melakukan :

  • Instalasi Program

  • Melihat, merubah dan menghapus data

  • Membuat user baru dengan hak akses full

pada komputer yang belum di patch. Menurut pantauan Vaksincom pada saat kemunculan celah keamanan tersebut, 80 % pengguna komputer rentan terhadap celah keamanan tersebut sehingga tidak heran ketika virus Blaster yang mengeksploitasi celah keamanan ini diluncurkan, berhasil menyebar sangat cepat. Solusi yang tersedia saat itu adalah melakukan patch atas celah keamanan MS03-039 http://support.microsoft.com/kb/824146.

RPC Dcom Part II

Setelah meredanya virus Blaster yang hanya dapat diatasi secara efektif dengan melakukan patch / penutupan celah keamanan MS03-039 kelihatannya para pengguna internet mulai melupakan insiden ini dan pengamat sekuriti juga tidak menyangka bahwa RPC Dcom ini akan kembali di serang. Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx

yang menggantikan MS03-039. Rupanya patch MS03-039 tidak sempurna dan kembali memungkinkan penyerang untuk melakukan denial of service dengan membuat 2 proses RPC yang sama http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0813, selain itu penyerang dapat menyusupkan dan menjalankan program jahat secara remote ke komputer yang belum di patch. Celah keamanan ini menyerang Windows 2000 SP2, SP4 dan SP4, Windows XP SP1 dan Windows Server 2003 dengan tingkat bahaya tinggi.

Adapun malware yang berusaha mengeksploitasi celah keamanan ini dan diluncurkan beberapa bulan kemudian adalah jenis spyware yang dapat dikategorikan spyware serakah, karena selain mengeksploitasi celah keamanan MS04-012 ternyata diketahui mengeksploitasi celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Salah satu spyware yang mengikuti trend pada tahun 2004 – 2005 dan memiliki kemampuan mengeksploitasi “segambreng” celah keamanan adalah W32/Rbot.AWJ.

RPC Dcom Part III, Return of the King

Ibaratnya film Lord of the Ring yang setiap bagiannya sangat seru, tetapi tetap yang paling seru adalah bagian terakhir. Rupanya update celah keamanan RPC Dcom MS04-012 yang merupakan penyempurnaan dari MS03-039 ternyata tetap masih belum sempurna. Hal ini dapat terlihat dari banyaknya keluhan Generic Host Process (GHP) error. Apa hubungan GHP dengan RPC Dcom ? Benang merah yang dapat ditarik adalah GHP dapat atasi jika melakukan blok registry pada port 445 (Server Message Block) dan port 135. Seperti kita ketahui, port 135 adalah port Dcom. Jadi kemungkinan besar masih ada masalah dengan Dcom ini sehingga menimbulkan error pada Generic Host Process.

Seperti yang kami utarakan pada awal artikel ini, sejarah selalu berulang maka pada kuartal terakhir 2008, insiden komputer yang sering sekali dialami oleh pengguna komputer Indonesia adalah Generic Host Process Error, yang notabene diakibatkan oleh serangan pada port Dcom (port 135) dan salah satu kemungkinan terbesar adalah karena ada celah keamanan baru “lagi-lagi” pada RPC Dcom.

Kemungkinan lain adalah adanya serangan virus baru yang memiliki payload menyerang port Dcom 135 dan port 445 SMB. Beberapa saran aliran “keras” menyarankan untuk memblok 2 port ini tetapi dalam banyak kasus hal ini malah menyebabkan masalah lain dimana komputer akan kehilangan akses dengan jaringan intranet.

Generic Host Process (GHP) Error

GHP Error akan muncul tiba-tiba dengan pesan “Generic Host Process for Win 32 Services Error” pada saat browsing yang mengakibatkan koneksi internet langsung terputus, meskipun sudah mencoba reset koneksi LAN / Wifi tetap tidak bisa terkoneksi kembali dan koneksi internet hanya bisa normal kembali jika komputer di restart. Tetapi celakanya, hal ini akan berulang lagi beberapa saat kemudian dan frekwensi munculnya sangat mengganggu. Ada pula yang mengeluhkan komputer mendapatkan pesan yang sama dan ketika di scan dengan antivirus tidak mendapatkan virus apapun dan kasus lain yang dilaporkan pada salah satu mailing list bahkan setelah mendapatkan pesan Generic Host Process komputer langsung menolak di instal antivirus.

Patching itu penting

Apapun masalahnya, solusi pertama dan terbaik jika anda menemukan masalah celah keamanan pada komputer anda adalah melakukan patching / penambalan atas celah keamanan Dcom. Jika OS anda ibaratnya adalah benteng yang pintu masuk dan keluarnya dijaga ketat baik oleh program antivirus, celah keamanan ibaratnya ada kelemahan pada tembok benteng yang rapuh dan virus bukan menyerang melalui pintu masuk melainkan masuk dari tembok yang rapuh tersebut. Program antivirus pada dasarnya tidak di desain untuk menjaga serangan yang mengeksploitasi celah keamanan sehingga secara teknis Operating System komputer yang mengandung celah keamanan dan terproteksi dengan antivirus update terbaru TETAP akan terinfeksi virus sekalipun virus yang menyerang itu sudah terdeteksi oleh program antivirus tersebut, sebab utamanya adalah karena celah keamanan memungkinkan banyak hal, termasuk eksekusi file virus tanpa dapat di intervensi oleh antivirus. Dalam banyak kasus malahan program antivirus kemudian dilumpuhkan oleh virus tersebut. Karena itu, anda sangat disarankan untuk melakukan penambalan celah keamanan RPC Dcom yang terbaru.

Gunakan Firewall

Karena aplikasi Dcom yang sangat luas ini, dalam beberapa kasus masih ditemui komputer yang tetap berhasil dieksploitasi sekalipun sudah di patch. Bahkan menurut laporan yang diterima Vaksincom, Windows XP Service Pack 3 sekalipun tetap mengalami celah keamanan baru tersebut. Pembahasan lebih mendalam untuk celah keamanan RPC Dcom ini akan dilakukan pada artikel berikut. Untuk sementara, guna mengamankan diri anda dari eksploitasi celah keamanan RPC Dcom, Vaksincom menyarankan anda menggunakan Firewall untuk melindungi komputer anda. Adapun port-port yang digunakan untuk menginisiasi koneksi dengan RPC dan perlu anda blok pada firewall anda adalah :

  • UDP Port 135, 137, 138 dan 445.

  • TCP Port 135, 139, 445 dan 593

Port-port di atas adalah port yang digunakan untuk menginisiasi koneksi dengan RPC dan eksploitasi celah keamanan RPC dapat dicegah oleh firewall dengan memblok port-port di atas.


Kategori

%d blogger menyukai ini: