Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited) Halaman 1 dari 5

IMBAUAN KEAMANAN TERKAIT KERENTANAN REMOTE CODE EXECUTION PADA REMOTE DESKTOP SERVICES (CVE-2019-1181, CVE-2019-1182, CVE-2019-

1222, CVE-2019-1226)

Ringkasan Eksekutif 1. Remote Desktop Service (RDS) merupakan salah satu fitur yang bisa ditemukan pada

sistem operasi Microsoft Windows, yang berguna untuk memungkinkan pengguna terkoneksi ke sebuah komputer dari jarak jauh (remote).

2. Kerentanan CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226 pada layanan RDS Windows merupakan kerentanan Remote Code Execution (RCE) yang menyebabkan pengguna yang tidak sah dapat terhubung ke sistem target menggunakan RDP dengan mengirimkan permintaan yang dibuat secara khusus.

3. Berbeda dengan kerentanan Bluekeep pada Remote Desktop Protocol (CVE-2019-0708) yang diungkapkan pada bulan Mei 2019 dimana sistem operasi yang memiliki kerentanan merupakan sistem operasi versi terdahulu dan sebagian sudah tidak didukung oleh Microsoft, sistem operasi yang terdampak oleh kerentanan yang dijelaskan pada imbauan ini merupakan sistem operasi Windows versi terbaru. Beberapa sistem operasi Windows yang terdampak kerentanan ini meliputi Windows 7, Windows 8, Windows 10, Windows Server 2008, dan Windows Server 2012 (daftar sistem operasi lengkap terlampir).

4. Kerentanan ini memiliki nilai kerentanan CVSS v3 sebesar 9,8 dan bersifat KRITIKAL. Eksploitasi terhadap kerentanan ini memungkinkan kompromi atau pengambilalihan keseluruhan sistem secara remote.

5. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan ini, diharapkan pengguna sistem operasi Windows terdampak untuk segera melakukan tindakan-tindakan mitigasi yang dijelaskan pada imbauan keamanan ini.

Remote Desktop Protocol dan Remote Desktop Service Remote desktop merupakan salah satu fitur yang bisa ditemukan pada sistem operasi Microsoft Windows yang berguna untuk memungkinkan pengguna terkoneksi ke sebuah komputer dari jarak jauh (remote). Pada sistem operasi Windows, Remote Desktop ini menggunakan Remote Desktop Protocol (RDP) yang secara default berjalan di TCP port 3389.

Remote Desktop Protocol atau sering di singkat RDP merupakan sebuah protokol jaringan yang digunakan oleh Microsoft Windows Terminal Services dan Remote Desktop. RDP dirancang berdasarkan protocol T.120 yang spesifikasinya diumumkan oleh International Telecommuication Union (ITU). Protokol ini juga digunakan dalam perangkat lunak konferensi jarak jauh milik Microsoft yaitu NetMeeting.

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited) Halaman 2 dari 5

Gambar 1 Ilustrasi cara kerja Remote Desktop

Secara umum, terdapat dua model penggunaan RDP, yaitu Virtual Desktop Infrastructure (VDI) dan Remote Desktop Service (RDS). RDS yang dulunya dikenal dengan nama Terminal Service merupakan teknologi yang berbasis server (server-based). RDS memungkinkan sharing sumber daya dari server Windows yang menjalankan servis. Dengan demikian, beberapa pengguna dapat menggunakan atau mengakses sistem operasi pada waktu yang bersamaan. Selain itu administrator dari server yang menjalankan RDS dapat mengatur hak akses apa saja yang diberikan kepada seorang pengguna.

Gambar 2 Model penggunaan RDP

Kerentanan Remote Code Execution pada RDS Kerentanan Remote Code Execution (RCE) pada Remote Desktop Services (RDS) - (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226) pertama kali diungkapkan oleh Microsoft pada tanggal 13 Agustus 2019. Kerentanan ini menyebabkan pengguna yang tidak sah dapat terhubung ke sistem target menggunakan RDP dengan mengirimkan permintaan yang dibuat secara khusus. Seperti kerentanan Bluekeep pada Remote Desktop Protocol (CVE-2019-0708) yang diungkapkan pada bulan Mei 2019, kerentanan ini juga bersifat pre-authentication dan tidak membutuhkan interaksi dari pengguna. Dengan kata lain, kerentanan ini bersifat 'wormable', yang berarti bahwa setiap malware di masa depan yang mengeksploitasi kerentanan ini dapat menyebar dari komputer yang rentan ke komputer yang rentan lainnya dengan cara yang sama seperti ransomware WannaCry yang menyebar di seluruh dunia pada tahun 2017.

Dampak Kerentanan Dampak dari kerentanan RCE pada layanan RDS adalah pengguna yang tidak sah yang berhasil mengeksploitasi kerentanan ini dapat mengeksekusi arbitrary code pada sistem target. Pengguna tersebut selanjutnya dapat menginstal program; melihat, mengubah, atau

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited) Halaman 3 dari 5

menghapus data; atau membuat akun baru dengan hak pengguna penuh. Dengan kata lain, apabila kerentanan ini berhasil dieksploitasi oleh pihak yang tidak bertanggung jawab, maka berpotensi kompromi atau pengambil-alihan keseluruhan sistem secara remote.

Nilai Kerentanan Berdasarkan CVSS v3, kerentanan ini memiliki nilai 9.8 sehingga kerentanan ini termasuk kategori KRITIKAL. (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)

Gambar 3 Nilai kerentanan CVE-2019-0708 berdasarkan CVSS v3

Sistem Operasi yang Terdampak Berikut ini merupakan sistem operasi yang terdampak kerentanan ini:

Nama Sistem Windows 10 (32-bit dan x64 based systems) Windows 10 versi 1607 (32-bit dan x64 based systems) Windows 10 versi 1703 (32-bit dan x64 based systems) Windows 10 versi 1709 (32-bit, ARM64, dan x64 based systems) Windows 10 versi 1803 (32-bit, ARM64, dan x64 based systems)

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited) Halaman 4 dari 5

Windows 10 versi 1809 (32-bit, ARM64, dan x64 based systems) Windows 10 versi 1903 (32-bit, ARM64, dan x64 based systems) Windows 7 Service Pack 1 (32 bit dan x64 based systems) Windows 8.1 (32 bit dan x64 based systems) Windows RT 8.1 Windows Server 2008 R2 Service Pack 1 (Itanium-based dan x64-based Systems) Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core Installation) Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server version 1803 Windows Server version 1903

Panduan Mitigasi Kerentanan Berikut ini merupakan langkah-langkah mitigasi yang dapat dilakukan untuk menghindari akibat dari kerentanan ini:

1. Memasang pembaruan sistem operasi Windows Pada tanggal 13 Agustus 2019, Microsoft telah merilis perbaikan untuk kerentanan pada Remote Desktop Service (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226). Pengguna yang menggunakan sistem operasi Windows yang rentan terhadap kerentanan ini diharapkan segera melakukan pembaruan sistem operasi Windows yang digunakan. Untuk informasi lebih lanjut mengenai pembaruan dapat dilihat pada tautan yang tercantum pada referensi [6] [7] [8] [9]. Pengguna juga dapat menggunakan atau mengaktifkan fitur pembaruan otomatis yang terdapat pada sistem operasi Windows yang digunakan

2. Menonaktifkan layanan remote desktop apabila tidak diperlukan Jika pengguna jarang menggunakan atau tidak lagi membutuhkan layanan ini, disarankan untuk menonaktifkannya sehingga dapat terhindari dari risiko kerentanan yang terdapat pada layanan ini.

3. Mengaktifkan Network Level Authentication (NLA) pada sistem yang menjalankan Windows 7, Windows Server 2008, dan Windows Server 2008 R2 yang didukung. Pengguna dapat mengaktifkan Network Level Authentication untuk memblokir penyerang yang tidak terautentikasi dari upaya mengeksploitasi kerentanan ini. Dengan menerapkan NLA, penyerang pertama-tama harus mengautentikasi dirinya ke layanan Remote Desktop menggunakan akun yang valid pada sistem target sebelum penyerang bisa mengeksploitasi kerentanan.

4. Menutup TCP port 3389 di perimeter firewall TCP port 3389 digunakan untuk memulai koneksi dengan komponen yang terpengaruh. Menutup port ini dapat membantu melindungi sistem yang ada di balik firewall dari upaya untuk mengeksploitasi kerentanan CVE-2019-0708. Hal ini dapat membantu melindungi jaringan dari serangan yang berasal dari luar perimeter. Hal yang perlu diingat adalah menutup port yang terkena dampak kerentanan dapat

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited) Halaman 5 dari 5

mencegah serangan berbasis internet, namun sistem masih rentan terhadap serangan yang berasal dari dalam perimeter.

5. Melakukan pemindaian untuk mengetahui apakah komputer atau server yang dikelola memiliki kerentanan yang dijelaskan pada imbauan ini. Pemindaian ini bertujuan untuk memastikan apakah komputer atau server yang menjalankan sistem operasi Windows memiliki kerentanan ini. Pemindaian juga perlu dilakukan setelah dilakukan security patch atau pembaruan terhadap sistem operasi Windows yang digunakan dengan tujuan untuk memastikan bahwa kerentanan sudah berhasil ditutup.

Referensi [1] https://bssn.go.id/imbauan-keamanan-terkait-cve-2019-0708-remote-desktop-windows/ [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1181 [3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1182 [4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1222 [5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1226 [6] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1181 [7] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1182 [8] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1222 [9] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1226 [10] https://nvd.nist.gov/vuln-metrics/cvss/v3-

calculator?calculator&version=3&vector=(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)

[11] https://arstechnica.com/information-technology/2019/08/microsoft-warns-of-more-wormable-bugs-this-time-in-new-versions-of-windows/

[12] https://www.awingu.com/demystifying-rdp-understanding-rdp-vdi-rds/ [13] https://www.zdnet.com/article/us-company-selling-weaponized-bluekeep-

exploit/#ftag=CAD-00-10aag7e

Riwayat Dokumen Versi 1.0: Agustus 2019