Pada 29 Oktober 2024, Peneliti ACROS Security mengidentifikasi kerentanan 0- day yang berdampak pada semua pengguna sistem operasi Windows 7 hingga Windows 11. Kerentanan ditemukan saat peneliti mengembangkan micropatch untuk permasalahan keamanan CVE-2024-38030. Kerentanan memungkinkan penyerang mendapatkan nilai hash NTLM yang digunakan untuk otentikasi pada Microsoft Windows melalui NTLM relay attack.
Severity: Medium
Cara Kerja
Kerentanan mengeksploitasi penanganan path pada file Windows Themes (*.ini) yang menyertakan jalur jaringan untuk properti seperti BrandImage dan Wallpaper sehingga akan memungkinkan file tema berbahaya untuk memanipulasi sumber. Eksploitasi kerentanan akan membuat Windows mengirimkan permintaan otentikasi NTLM ke host jarak jauh dan mengirimkan hash NTLM ke server yang dikendalikan penyerang. Namun file tersebut harus di jalankan (double click) agar kerentanan dapat dieksploitasi.
Penyerang dapat mengunakan kredensial NTLM ini untuk melakukan serangan NTLM relay dan pass-the-hash sehingga memungkinkan penyebaran ke seluruh jaringan yang disusupi.
Severity: Medium
Cara Kerja
Kerentanan mengeksploitasi penanganan path pada file Windows Themes (*.ini) yang menyertakan jalur jaringan untuk properti seperti BrandImage dan Wallpaper sehingga akan memungkinkan file tema berbahaya untuk memanipulasi sumber. Eksploitasi kerentanan akan membuat Windows mengirimkan permintaan otentikasi NTLM ke host jarak jauh dan mengirimkan hash NTLM ke server yang dikendalikan penyerang. Namun file tersebut harus di jalankan (double click) agar kerentanan dapat dieksploitasi.
Penyerang dapat mengunakan kredensial NTLM ini untuk melakukan serangan NTLM relay dan pass-the-hash sehingga memungkinkan penyebaran ke seluruh jaringan yang disusupi.
Dampak
- Akses tidak sah terhadap kredensial pengguna
- Meningkatkan kerentanan pada target yang diserang.
- Menjadi jalan pintas untuk kerentanan spoofing pada Windows Themes lainnya, CVE-2024-21320 (Januari 2024).
Perangkat Terdampak
Windows 7 sampai dengan Windows 11 24H2
Mitigasi
Microsoft belum merilis patch untuk mengatasi kerentanan tersebut.
Opatch Micropatching Service telah merilis patch tidak resmi untuk mengatasi kerentanan tersebut untuk semua versi Windows terdampak hingga Microsoft mengeluarkan patch resmi untuk kerentanan tersebut. Namun demikian, patch yang dikeluarkan hanya untuk Windows Workstation karena Windows Theme tidak berfungsi pada Windows Server sampai Dekstop Experience di instal.
Patch tersebut memastikan sistem Windows menteksi dengan benar jalur jaringan dalam Windows Themes File, sehingga mencegah kebocoran NTLM.
Untuk mengurangi dampak kerentanan, pengguna Windows dapat melakukan langkah-langkah berikut:
Microsoft belum merilis patch untuk mengatasi kerentanan tersebut.
Opatch Micropatching Service telah merilis patch tidak resmi untuk mengatasi kerentanan tersebut untuk semua versi Windows terdampak hingga Microsoft mengeluarkan patch resmi untuk kerentanan tersebut. Namun demikian, patch yang dikeluarkan hanya untuk Windows Workstation karena Windows Theme tidak berfungsi pada Windows Server sampai Dekstop Experience di instal.
Patch tersebut memastikan sistem Windows menteksi dengan benar jalur jaringan dalam Windows Themes File, sehingga mencegah kebocoran NTLM.
Untuk mengurangi dampak kerentanan, pengguna Windows dapat melakukan langkah-langkah berikut:
- Menginstall pacth tidak resmi yang sudah dirilis oleh Opacth Micropatching Service sampai Microsoft merilis patch resmi. Instalasi dapat dilakukan dengan membuat akun Opatch dan menginstal Opatch Agent. Ketika agent diinstall, micropatch akan diterapkan otomatis tanpa merestart sistem (POC dapat dilihat pada https://youtu.be/dIoU4GAk4eM )
- Men-disable NTLM pada Windows untuk meminimalkan serangan.
- Meningkatkan perlindungan firewall dengan memblokir koneksi keluar yang tidak sah.
- Menerapkan kebijakan grup yang ada untuk memblokir hash NTLM.
- Meningkatkan kewaspadaan pengguna untuk mengabaikan atau tidak mengunduh / membuka file dari sumber yang tidak dipercaya.
- Menerapkan patch keamanan terakhir yang tersedia dari Microsoft.