Dunia keamanan siber kembali dihebohkan dengan temuan kerentanan baru pada sistem operasi Windows. Seorang peneliti keamanan menemukan bahwa fitur Windows Search URI dapat dimanfaatkan oleh penyerang untuk memperoleh hash NTLMv2 milik pengguna Windows. Yang lebih mengkhawatirkan, hingga saat ini celah tersebut belum mendapatkan patch resmi dari Microsoft.
Meskipun tidak memungkinkan penyerang langsung mengambil alih komputer korban, kebocoran hash NTLMv2 dapat menjadi langkah awal untuk melakukan serangan yang lebih serius, terutama di lingkungan perusahaan yang menggunakan Active Directory.
Artikel ini akan membahas bagaimana kerentanan tersebut bekerja, risiko yang ditimbulkan, serta langkah-langkah yang dapat dilakukan untuk mengurangi dampaknya.
Apa Itu Windows Search URI?
Windows memiliki fitur pencarian bawaan yang memudahkan pengguna menemukan file, folder, dokumen, maupun sumber daya jaringan. Untuk menjalankan fungsi tersebut, Windows menggunakan protokol khusus yang dikenal sebagai Search URI.
Protokol ini biasanya menggunakan format seperti:
search:
atau
search-ms:
Ketika URI tersebut dibuka, Windows akan menjalankan fitur pencarian dan menampilkan hasil sesuai parameter yang diberikan.
Awalnya fitur ini dibuat untuk meningkatkan produktivitas pengguna. Namun seperti banyak fitur lainnya, jika tidak dirancang dengan pengamanan yang memadai maka dapat menjadi pintu masuk bagi penyerang.
Bagaimana Kerentanan Ini Bekerja?
Kerentanan ini memanfaatkan cara Windows menangani permintaan pencarian melalui Search URI.
Dalam skenario serangan, penyerang dapat membuat tautan khusus yang mengarahkan komputer korban untuk melakukan koneksi ke server yang dikendalikan oleh penyerang.
Ketika koneksi tersebut terjadi, Windows secara otomatis mencoba melakukan proses autentikasi menggunakan protokol NTLM. Pada proses inilah hash NTLMv2 milik pengguna dapat bocor ke server penyerang.
Secara sederhana, prosesnya adalah sebagai berikut:
Penyerang membuat tautan Search URI berbahaya.
Korban mengklik tautan tersebut.
Windows mencoba mengakses sumber daya yang ditentukan.
Sistem mengirimkan informasi autentikasi NTLM.
Penyerang memperoleh hash NTLMv2 korban.
Yang membuat celah ini berbahaya adalah korban sering kali tidak menyadari bahwa proses autentikasi tersebut sedang berlangsung.
Mengenal Hash NTLMv2
NTLMv2 merupakan mekanisme autentikasi yang masih banyak digunakan pada lingkungan Windows.
Hash NTLMv2 bukanlah password asli pengguna, tetapi merupakan representasi terenkripsi dari kredensial yang digunakan saat proses login.
Walaupun bukan password secara langsung, hash ini tetap sangat berharga bagi penyerang karena dapat digunakan dalam berbagai jenis serangan, seperti:
Pass-the-Hash
NTLM Relay Attack
Brute Force Offline
Credential Theft
Jika hash berhasil disalahgunakan, penyerang dapat memperoleh akses ke sistem atau layanan lain tanpa mengetahui password asli korban.
Mengapa Kerentanan Ini Berbahaya?
1. Tidak Membutuhkan Malware
Penyerang tidak perlu menginstal malware pada komputer korban.
Cukup dengan membuat korban membuka tautan yang telah disiapkan, proses pencurian hash dapat terjadi.
2. Interaksi Korban Sangat Minim
Dalam banyak kasus, korban hanya perlu:
Mengklik link
Membuka file tertentu
Mengakses dokumen yang berisi tautan berbahaya
Hal ini membuat serangan menjadi lebih mudah dilakukan.
3. Dapat Menjadi Titik Awal Serangan yang Lebih Besar
Hash yang berhasil dicuri dapat digunakan untuk:
Mengakses server internal
Menyebarkan serangan ke sistem lain
Meningkatkan hak akses
Mengambil alih akun domain
Bagi organisasi besar, risiko ini sangat signifikan.
Skenario Serangan
Melalui Email Phishing
Metode yang paling umum adalah email phishing.
Penyerang mengirimkan email yang tampak sah, misalnya:
Undangan rapat
Dokumen perusahaan
Informasi pengiriman paket
Pemberitahuan sistem
Di dalam email tersebut terdapat tautan Search URI yang telah dimodifikasi.
Saat korban mengklik tautan tersebut, proses pencurian hash dimulai.
Melalui Website Berbahaya
Penyerang juga dapat menempatkan tautan Search URI pada website yang tampak normal.
Ketika pengguna mengakses atau mengklik tautan tertentu, Windows akan melakukan koneksi ke server penyerang.
Dalam Jaringan Perusahaan
Lingkungan perusahaan menjadi target yang sangat menarik.
Jika penyerang berhasil memperoleh hash milik administrator domain atau pengguna dengan hak akses tinggi, dampaknya bisa sangat besar.
Serangan dapat berkembang menjadi:
Lateral movement
Privilege escalation
Domain compromise
Mengapa Belum Ditambal?
Menurut laporan yang beredar, Microsoft telah menerima informasi mengenai temuan ini.
Namun hingga saat ini belum tersedia pembaruan keamanan resmi.
Dalam beberapa kasus, vendor perangkat lunak dapat menganggap suatu temuan sebagai:
Perilaku sistem yang sesuai desain
Risiko rendah
Membutuhkan kondisi khusus untuk dieksploitasi
Meski demikian, banyak peneliti keamanan menilai bahwa potensi penyalahgunaan kerentanan ini cukup serius karena berkaitan dengan pencurian kredensial.
Dampak Terhadap Active Directory
Banyak organisasi masih menggunakan Active Directory sebagai pusat manajemen pengguna dan komputer.
Jika hash NTLMv2 berhasil diperoleh, penyerang dapat mencoba melakukan:
Pass-the-Hash
Menggunakan hash yang dicuri untuk melakukan autentikasi tanpa mengetahui password.
NTLM Relay
Meneruskan proses autentikasi ke layanan lain untuk mendapatkan akses tidak sah.
Credential Cracking
Melakukan proses brute force terhadap hash guna mendapatkan password asli.
Apabila salah satu metode tersebut berhasil, seluruh jaringan perusahaan dapat terancam.
Cara Mitigasi Sementara
Karena belum tersedia patch resmi, administrator sistem perlu menerapkan beberapa langkah mitigasi.
1. Kurangi Penggunaan NTLM
Jika memungkinkan, beralihlah ke metode autentikasi yang lebih modern seperti:
Kerberos
Certificate-based Authentication
Windows Hello for Business
2. Batasi Koneksi SMB Keluar
Sebagian besar serangan pencurian hash memanfaatkan koneksi SMB.
Administrator dapat memblokir koneksi SMB ke jaringan eksternal melalui firewall.
3. Aktifkan SMB Signing
SMB Signing membantu mengurangi risiko serangan relay dengan memastikan integritas komunikasi.
4. Gunakan Multi-Factor Authentication (MFA)
MFA tidak mencegah pencurian hash secara langsung, tetapi dapat mengurangi risiko jika kredensial berhasil disalahgunakan.
5. Edukasi Pengguna
Pengguna merupakan lapisan pertahanan pertama.
Pastikan karyawan memahami risiko:
Email phishing
Tautan mencurigakan
File dari sumber tidak dikenal
Kesadaran keamanan yang baik dapat mengurangi peluang keberhasilan serangan.
Monitoring dan Deteksi
Tim keamanan juga perlu meningkatkan pemantauan terhadap aktivitas jaringan.
Beberapa hal yang perlu diperhatikan antara lain:
Aktivitas NTLM yang Tidak Biasa
Perhatikan autentikasi yang mengarah ke:
Alamat IP eksternal
Server yang tidak dikenal
Domain mencurigakan
Koneksi SMB Keluar
Koneksi SMB ke internet umumnya tidak diperlukan dan dapat menjadi indikator aktivitas berbahaya.
Log Keamanan Windows
Pantau event log yang berkaitan dengan:
Authentication Failure
NTLM Authentication
Network Access
Credential Validation
Integrasi dengan SIEM dan EDR dapat membantu mendeteksi aktivitas mencurigakan lebih cepat.
Best Practice untuk Organisasi
Untuk meningkatkan keamanan jangka panjang, organisasi sebaiknya:
Mengurangi ketergantungan pada NTLM.
Mengimplementasikan prinsip Zero Trust.
Melakukan audit akun secara berkala.
Mengaktifkan MFA pada seluruh akun penting.
Membatasi hak akses pengguna.
Memperbarui sistem operasi dan aplikasi secara rutin.
Melakukan pelatihan keamanan siber kepada karyawan.
Langkah-langkah tersebut dapat membantu mengurangi risiko meskipun celah keamanan baru terus bermunculan.
Kesimpulan
Kerentanan pada Windows Search URI menunjukkan bahwa bahkan fitur yang tampak sederhana dapat menjadi celah keamanan yang berbahaya. Dengan memanfaatkan mekanisme Search URI, penyerang berpotensi memperoleh hash NTLMv2 pengguna dan menggunakannya untuk serangan lanjutan.
Walaupun hingga saat ini belum tersedia patch resmi dari Microsoft, organisasi dan pengguna dapat mengambil langkah mitigasi untuk mengurangi risiko. Membatasi penggunaan NTLM, memblokir koneksi SMB yang tidak diperlukan, mengaktifkan MFA, serta meningkatkan kesadaran keamanan pengguna merupakan beberapa tindakan yang dapat dilakukan sejak sekarang.
Di tengah meningkatnya ancaman siber, pendekatan keamanan yang proaktif tetap menjadi kunci utama dalam melindungi sistem dan data dari berbagai jenis serangan yang terus berkembang.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
