Microsoft telah mengeluarkan pembaruan keamanan untuk mengatasi kerentanan bypass fitur keamanan Kerberos yang berdampak pada beberapa versi Windows Server dalam peluncuran bertahap dua fase.
Kerentanan yang dilacak sebagai CVE-2020–16996 dapat dieksploitasi dari jarak jauh oleh penyerang dengan hak istimewa rendah sebagai bagian dari serangan dengan kompleksitas rendah di mana interaksi pengguna tidak diperlukan.
Mempengaruhi Active Directory DC dan RODC
CVE-2020–16996 hanya ada di Active Directory DCs (Domain Controllers) dan RODC (Read-Only Domain Controllers) hanya di server di mana grup keamanan global Pengguna yang Dilindungi tersedia dan Resource-Based Constrained Delegation (RBCD) diaktifkan.
Kerentanan hanya berdampak pada platform server Windows dari Windows Server 2012 hingga versi terbaru Windows Server, versi 20H2 (Instalasi Inti Server).
Penasihat keamanan Microsoft mengatakan bahwa tidak ada bukti eksploitasi aktif bug keamanan ini di alam liar atau kode eksploitasi CVE-2020–16996 yang tersedia untuk umum.
Kerberos adalah protokol otentikasi default untuk perangkat yang terhubung ke domain yang menjalankan Windows 2000 dan yang lebih baru dan memungkinkan otentikasi pengguna, komputer, dan layanan sehingga layanan dan pengguna resmi dapat mengakses sumber daya dengan aman.
Mitigasi CVE-2020–16996
Admin harus mengambil tindakan berikut untuk mitigasi CVE-2020–16996 lengkap untuk melindungi lingkungan perusahaan mereka dari serangan:
- Perbarui semua perangkat yang menjadi host peran pengontrol domain Direktori Aktif dengan menginstal pembaruan Windows 8 Desember 2020 atau pembaruan Windows yang lebih baru. Ketahuilah bahwa menginstal pembaruan Windows tidak sepenuhnya mengurangi kerentanan keamanan. Anda harus melakukan Langkah 2.
- Aktifkan mode Penerapan di semua pengontrol domain Direktori Aktif. Dimulai dengan pembaruan 9 Februari 2021, mode penegakan dapat diaktifkan di semua pengontrol domain Windows.
“Mitigasi terdiri dari penginstalan pembaruan Windows di semua perangkat yang menjadi host peran pengontrol domain Direktori Aktif dan pengontrol domain hanya baca (RODC), lalu mengaktifkan mode Penerapan,” kata Microsoft .
Informasi tambahan tentang cara menyebarkan pembaruan keamanan ini termasuk perincian tentang pembaruan yang diperlukan untuk diinstal sebelum instalasi, prosedur instalasi, dan potensi masalah yang mungkin timbul tersedia dalam nasihat ini.
Pembaruan keamanan yang menangani bug bypass keamanan Kerberos ini dirilis dalam dua fase:
- Fase penerapan awal untuk pembaruan Windows yang dirilis pada atau setelah 8 Desember 2020.
- Fase penegakan pembaruan Windows yang dirilis pada atau setelah 9 Februari 2021.
Masalah dengan perbaikan bug bypass keamanan Kerberos sebelumnya
Microsoft juga memperbaiki kerentanan serupa (dilacak sebagai CVE-2020–17049) selama Patch Tuesday November 2020.
Tidak seperti CVE-2020–16996, bug itu jauh lebih sulit untuk dieksploitasi karena memerlukan penyerang memiliki hak administratif tinggi agar berhasil mengeksploitasinya dalam serangan dengan kompleksitas tinggi.
Pembaruan keamanan CVE-2020–17049 menyebabkan masalah otentikasi Kerberos pada pengontrol domain perusahaan yang ditambal termasuk masalah otentikasi saat menggunakan skenario S4U dan kegagalan rujukan lintas alam pada perangkat Windows dan non-Windows untuk tiket rujukan Kerberos.
Satu minggu setelah rilis pembaruan keamanan, Microsoft merilis pembaruan opsional out-of-band untuk memperbaiki masalah otentikasi Kerberos pada semua versi Windows yang terkena dampak.
Microsoft juga menerbitkan panduan tambalan dengan detail tambahan tentang cara sepenuhnya mengurangi bug keamanan CVE-2020–17049 Kerberos .
Untuk mengatasi CVE-2020–17049 secara komprehensif, Microsoft telah merilis pembaruan keamanan CVE-2020–17048 baru pada Selasa Desember 2020 Patch dengan “perbaikan untuk semua masalah yang diketahui yang awalnya diperkenalkan oleh pembaruan keamanan 10 November 2020.”
“Microsoft sangat menyarankan agar pelanggan yang menjalankan salah satu versi Windows Server ini menginstal pembaruan dan kemudian mengikuti langkah-langkah yang diuraikan di https://support.microsoft.com/help/4598347 untuk mengaktifkan perlindungan penuh pada server pengontrol domain,” perusahaan menambahkan dalam pembaruan pada penasihat keamanan CVE-2020–17049 .
Originally published at https://www.kreativeunit.com/2021/01/windows-security.html.
Ikuti tulisan menarik Admin KreativeUnit lainnya di sini.