Peneliti keamanan Check Point mengidentifikasi kelemahan (vulnerability) pada fungsi inti Windows yang melindungi pengguna dari satu jenis serangan yang disebut Directory Traversal atau Path Traversal.
Fungsi inti bernama “PathCchCanonicalize” ini berupa API resmi yang direkomendasikan Windows untuk para pengembang agar dapat melindungi sistem dari serangan Path Traversal. Tim peneliti Check Point berhasil melakukan bypass terhadap API tersebut sehingga memungkinkan mereka mengeksekusi serangan tersebut.
Mengenal Serangan Path Traversal
Directory Traversal atau biasa disebut Path Traversal merupakan jenis serangan HTTP exploit yang memungkinkan attacker (penyerang) dapat mengakses direktori dan dapat mengeksekusi perintah diluar dari directory root web server.
Ketika web kita terdapat vulnerability (kelemahan) terhadap Directory Traversal, maka attacker dapat mengakses file-file pada sistem dengan mudah. Bahkan attacker dapat pula menyisipkan perintah-perintah berbahaya untuk mengambil alih server kita.
Serangan Path Traversal biasanya digunakan untuk mendapatkan akses informasi sensitif yang tersimpan dalam arbitrary files di area lain dari aplikasi atau di bagian lain file system yang dapat dibaca oleh server web. Teknik ini memungkinkan si penyerang melakukan modifikasi file-file penting seperti program atau library, mengunduh file password, mengekspos source code aplikasi web, atau menjalankan perintah di server web, yang pada akhirnya membahayakan keseluruhan server web.
Cara Peneliti Temukan Kelemahan
Dalam Black Hat 2019, peneliti Check Point mengungkap adanya kelemahan pada Remote Desktop Protocol (RDP) Microsoft.
RDP memungkinkan user melakukan remote display dan input terhadap aplikasi berbasis Windows yang berjalan di server melalui jaringan. Teknologi ini memungkinkan seseorang terkoneksi ke komputer dari jarak jauh dan bekerja dengan komputer tersebut seakan komputer itu ada di hadapannya langsung.
Para peneliti membuktikan bahwa komputer yang sudah terinfeksi malware dapat mengambil alih komputer klien yang terkoneksi ke komputer yang terinfeksi itu. Saat seorang staf TI terkoneksi dari jarak jauh ke komputer perusahaan yang terinfeksi malware, malware dapat menyerang komputer si staf TI. Check Point menyebut attack vector ini sebagai “Reverse RDP”, karena user mengira mereka mengontrol komputer tetapi yang terjadi sebenarnya adalah kebalikannya.
Microsoft Rilis Patch Baru
Microsoft telah mengeluarkan patch untuk attack vector Reverse RDP. Lalu pada bulan Oktober 2019, peneliti Check Point menemukan bahwa patch untuk kelemahan yang diungkap dalam Black Hat 2019 itu memiliki cacat sekuriti sehingga para peneliti dapat menembus perbaikan yang sudah dilakukan Microsoft dan membuat eksploit baru. Peneliti Check Point menemukan bahwa Microsoft menggunakan “PathCchCanonicalize” dalam patch yang "menambal" kelemahan pada RDP sebelumnya. Walhasil para peneliti pun sampai pada kesimpulan bahwa bere fungsi API “PathCchCanonicalize” harus diperbaiki.
Check Point telah melaporkan temuannya kepada Microsoft dan Microsoft juga telah mengeluarkan patch baru (CVE 2020-0655) untuk vulnerability reverse RDP. Namun Check Point mengingatkan kendati RDP sudah menerapkan patch terbaru, program-progam lain yang menggunakan fungsi sanitasi (PathCchCanonicalize) juga akan berisiko menghadapi serangan yang sama.