Digitalmania – Sebuah celah keamanan baru ditemukan, di mana seseorang mampu login ke akun apa pun di komputer yang sama tanpa perlu mengetahui password-nya. Trik ini berlaku pada semua versi Windows, tidak memerlukan hak admin, dan namun masih belum dapat dipastikan apakah kerentanan ini disebabkan oleh fitur Windows atau cacat keamanan.
Serangan ini disebut sebagai Privilege Escalation and Session Hijacking. Serangan dapat dilakukan menggunakan akses fisik ke perangkat tetapi juga bisa melalui sesi RDP pada mesin yang diretas, meningkatkan peluang akses pelaku ke akun lainnya. Tujuan utama di balik metode serangan ini adalah agar setiap pengguna, terlepas dari perannya, dapat menggunakan CLI Command yang dibangun dalam semua versi Windows untuk meningkatkan akses dan beralih ke setiap sesi pengguna aktif lainnya pada PC.
Akun ditargetkan harus login pada mesin yang sama, jika tidak, serangan itu tidak akan bekerja. Dalam kondisi normal, ini berarti penyerang harus tahu password akun. Tapi tidak dalam tipe serangan semacam ini. Pelaku serangan dari akhunnya sendiri dapat menjalankan beberapa perintah cmd.exe dan kemudian memilih sesi pengguna yang aktif yang dia inginkan untuk login, tanpa memerlukan password sama sekali. Serangan ini bekerja dengan sesi local user, tetapi juga dengan sesi RDP.
Dari seluruh proses serangan yang dilakukan membutuhkan waktu sekitar satu menit sampai berhasil menguasai komputer target, tidak memerlukan banyak langkah yang membingungkan, artinya siapa saja bisa mempraktekkannya dengan sangat mudah. Seperti yang disampaikan di atas bahwa serangan ini dapat berlaku pada semua versi Windows tidak terkecuali melalui cmd.exe ataupun Task Manager mengambil semua akun dalam satu komputer yang sudah dikuasai.
Jika kita lihat sepintas lalu mungkin hal ini agak sepele, namun apabila akun yang disabotase adalah akun-akun penting yang berkaitan dengan data berharga seperti yang berhubungan dnegan finansial atau akses ke billing system pada sebuah bank. Misalnya beberapa karyawan bank memiliki akses ke sistem penagihan dengan kredensial login. Suatu hari, dia datang untuk bekerja, masuk ke sistem penagihan dan mulai bekerja. Pada waktu makan siang ia akan mengunci workstation, dan keluar untuk makan siang. Kemudian, administrator sistem sampai ke workstation karyawan, dan log in dengan akun adminnya.
Menurut kebijakan bank, akun administrator tidak harus memiliki akses ke sistem penagihan, tetapi dengan beberapa built-in perintah di windows, administrator sistem ini akan membajak desktop karyawan yang tidak terkunci. Dari sini sysadmin dapat melakukan tindakan berbahaya dalam sistem billing sebagai akun system billing. Karena serangan itu menggunakan local built-in Windows tools, Pelaku tidak perlu mengunduh malware lainnya pada mesin target, yang kadang-kadang berisiko memicu alarm pada sistem keamanan perusahaan.
Meski demikian, penemuan ini tidak sepenuhnya baru, tetapi bisa dibilang sebagai bagian versi yang dikembangkan lebih luas dari versi serangan serupa yang lebih lawas. Sebelumnya teknik pembajakan serupa pernah dipraktekkan oleh benjamin Delpy pada Bank of France pada tahun 2011. Teknik tersebut kemudian diposting pada sebuah blog, mempertimbangkan dari masalah tersebut terjadi, sebenarnya sangat aneh jika Microsoft tidak mengetahui masalah ini. Atau bisa jadi mereka tidak menganggapnya sebagai lubang keamanan, sehingga kejadian yang sama bisa terulang dengan metode yang lebih sempurna. Digitalmania. (AN)