New York – Beberapa jam setelah Microsoft mengumumkan adanya lubang keamanan, kode penyerang yang dapat menebus lubang itu telah muncul di internet. Hanya butuh waktu dua jam bagi programer di perusahaan keamanan jaringan untuk menulis kode itu, setelah Microsoft mengeluarkan tambalan pada akhir pekan lalu.
Microsoft telihat tergopoh-gopoh dengan mempercepat pengeluaran tambalan itu. Lubang keamanan ini tidak pernah dipublikasikan sebelumnya, namun dengan keluarnya tambalan ini sudah cukup informasi bagi hacker dan peneliti di bidang keamanan untuk membuat kode penyerang mereka sendiri.
Lubang keamanan ini terdapat pada Windows Server service yang digunakan untuk menghubungkan berbagai sumber jaringan, semacam file dan print server. Dengan mengirimkan pesan khusus ke mesin Windows yang menggunakan Windows Server, penyerang dapat mengambil alih komputer.
Tampaknya tidak perlu usaha keras untuk menulis kode penyerang seperti ini. “Lubang itu sangat mudah ditembus. Itu stack overflow yang bisa dikontrol,” kata Immunity Security Researcher Bas Alberts.
Stack overflow merupakan error pada pemrograman yang menyebabkan penyerang bisa menulis perintah ke sebagian memory komputer yang secara normal seharusnya terbatas dan menjadikan perintah ini dieksekusi oleh komputer korban.
Microsoft telah membelanjakan jutaan dolar AS untuk menghilangkan masalah seperti ini pada produknya selama beberapa tahun terakhir. Salah satu arsitek di bagian pengamanan Microsoft mengatakan pihaknya telah membuat tool yang bisa menemukan masalah keamanan ini lebih awal.
"Test kami seharusnya menemukan permasalahan ini tapi ternyata tidak. Kami harus menulis alagoritma serta pustaka ulang untuk mengupdate masalah itu,” kata Security Program Manager Michael Howard.
Sementara Microsoft diperingatkan lubang keamanan ini bisa dimanfaatkan oleh worm yang bisa menyerang komputer secara otomatis, Alberts mengatakan tidak akan ada worm seperti itu. Hal itu disebabkan jaringan akan memblok serangan ini di firewall.
“Saya melihat masalah bisa terjadi di jaringan internal, tapi masalah itu memang nyata dan bisa dieksploitasi,” katanya.
Tidak ada komentar:
Posting Komentar