Peretas Menggunakan Kerentanan yang Ditemukan NSA Di Windows Untuk Spoof NSA
Sebagai bagian dari pembaruan Patch Tuesday terbaru, Microsoft memperbaiki masalah kritis Windows 10 CryptoAPI kerentanan (CVE-2020-0601) yang ditemukan oleh Badan Keamanan Nasional.
Namun, seorang peneliti keamanan bernama Saleem Rashid tidak membutuhkan banyak waktu untuk mendemonstrasikan malapetaka yang bisa ditimbulkannya, dengan cara yang lucu.
Peretas melakukan rickrolled NSA dan GitHub dengan memalsukan situs web mereka yang dilindungi HTTPS dan menunjukkan bagaimana orang dapat menyamar mereka. Rickrolling adalah gerakan yang biasa digunakan untuk mendemonstrasikan kelemahan keamanan dengan memutar video musik Rick Astley "Never Gonna Give You Up," yang dilakukan Rashid di situs web NSA dan GitHub.
Seperti dilansir Ars Technica, eksploitasi Rashid dapat digunakan untuk menipu situs web baik di Edge maupun Chrome. Ada kemungkinan bahwa itu akan berfungsi dengan baik di browser berbasis Chromium lainnya, termasuk Brave.
Walaupun kodenya berisi lebih dari 100 baris, kode itu dapat menyusut menjadi hanya 10 jika beberapa trik ingin dihapus. Namun, ada aspek teknis yang membuatnya sulit untuk menerapkan serangan seperti itu di dunia nyata.
Sebagai contoh, itu akan membutuhkan penyerang untuk membuat serangan Man-In-The-Middle (MITM), yang merupakan tugas berat dalam dirinya sendiri kecuali mereka membujuk korban untuk mengklik URL jahat.
"Kendala terbesar adalah kebijakan sertifikat ketat Chrome dan bahwa CA root harus di-cache, yang dapat Anda picu dengan mengunjungi situs yang sah yang menggunakan sertifikat," kata Rashid dalam tweet-nya.
Penyerang juga perlu menemukan solusi untuk teknik pinning sertifikat yang digunakan Chrome untuk melindungi situs-situs sensitif, termasuk Google.com. Di sini, otentikasi sertifikat situs web hanya dilakukan jika berisi hash kriptografi tertentu. Ini terlepas dari apakah situs web memiliki sertifikat asli atau tidak.
Terkena Windows versi dapat diamankan menggunakan tambalan yang sudah tersedia. Jadi, Anda disarankan untuk menginstalnya jika belum melakukannya. Pada saat yang sama, Google juga sedang dalam proses mendorong perbaikan untuk Chrome yang saat ini sedang diuji dalam rilis beta.
