Apakah Anda menggunakan Microsoft Outlook sebagai aplikasi email Anda? Jika ya, Anda harus berhati-hati karena ada sebuah kerentanan kritis yang bisa dimanfaatkan oleh peretas untuk mencuri data pribadi Anda. Kerentanan ini, yang dikenal sebagai CVE-2023-23397, memungkinkan peretas untuk mengirimkan email berbahaya yang bisa mencuri hash otentikasi NTLM Anda tanpa perlu interaksi dari Anda. Hash NTLM ini bisa digunakan oleh peretas untuk mengakses dan mengendalikan sistem Anda.
Kerentanan ini sudah diketahui oleh Microsoft sejak Maret 2023 dan sudah diperbaiki melalui pembaruan keamanan. Namun, masih ada banyak pengguna Outlook yang belum memperbarui aplikasi mereka dan rentan terhadap serangan ini. Salah satu kelompok peretas yang diketahui memanfaatkan kerentanan ini adalah Midnight Blizzard, yang berafiliasi dengan pemerintah Rusia. Midnight Blizzard juga dikenal sebagai Nobelium, APT29, Cozy Bear, dan The Dukes.
Midnight Blizzard adalah kelompok peretas yang bertanggung jawab atas kompromi rantai pasokan SolarWinds pada Desember 2020, yang menginfeksi ribuan organisasi di seluruh dunia. Kelompok ini terus melakukan serangan siber yang ditargetkan terhadap pemerintah, penyedia layanan IT, LSM, pertahanan, dan sektor manufaktur kritis. Kelompok ini menggunakan teknik-teknik canggih dan alat-alat yang belum terlihat sebelumnya untuk menghindari deteksi dan menjaga operasi mereka tetap berjalan.
Salah satu teknik yang digunakan oleh Midnight Blizzard adalah menggunakan layanan proxy residensial untuk menyamarkan alamat IP asli dari serangan mereka. Layanan proxy residensial adalah layanan yang menyediakan alamat IP yang berasal dari perangkat-perangkat rumah tangga seperti router, modem, atau smart TV. Dengan menggunakan layanan ini, peretas bisa membuat serangan mereka terlihat seperti berasal dari lokasi yang sah dan mengelabui sistem keamanan.
Bagaimana cara Midnight Blizzard mengeksploitasi kerentanan Outlook? Berikut ini adalah skenario serangannya:
- Pertama, peretas membuat sebuah email yang berisi properti MAPI yang disebut PidLidReminderFileParameter. Properti ini biasanya digunakan untuk menentukan file suara yang diputar saat ada pengingat Outlook. Namun, peretas bisa mengubah nilai properti ini menjadi sebuah jalur UNC yang mengarah ke server yang dikendalikan peretas (melalui SMB/TCP port 445).
- Kedua, peretas mengirimkan email ini ke korban menggunakan layanan proxy residensial. Email ini bisa berisi subjek dan konten yang menarik perhatian korban, seperti berita palsu, penawaran menarik, atau pesan dari orang yang dikenal.
- Ketiga, ketika email ini diterima oleh Outlook, aplikasi ini akan mencoba mengakses file suara yang ditentukan oleh properti PidLidReminderFileParameter. Namun, karena file suara ini berada di server peretas, Outlook akan mengirimkan hash otentikasi NTLM korban ke server tersebut sebagai bagian dari negosiasi SMB.
- Keempat, peretas bisa menangkap hash NTLM ini dan melakukan dua hal: a) meneruskan hash ini untuk otentikasi terhadap sistem lain yang mendukung otentikasi NTLMv2 atau b) melakukan cracking offline untuk mendapatkan password korban. Dengan cara ini, peretas bisa mendapatkan akses dan kontrol terhadap sistem korban.
Yang lebih parah lagi, serangan ini bisa terjadi secara otomatis tanpa perlu korban membuka atau membaca email tersebut. Cukup dengan Outlook terbuka saat ada pengingat yang dipicu, peretas bisa mencuri hash NTLM korban. Ini membuat serangan ini sangat berbahaya dan sulit dideteksi.
Bagaimana cara melindungi diri dari serangan ini? Berikut ini beberapa tips yang bisa Anda lakukan:
- Pastikan Anda sudah memperbarui Outlook Anda ke versi terbaru yang sudah memperbaiki kerentanan ini. Anda bisa memeriksa pembaruan Outlook Anda melalui menu File > Office Account > Update Options > Update Now.
- Jangan pernah membuka email yang mencurigakan, terutama yang berasal dari sumber yang tidak dikenal atau tidak terpercaya. Jika Anda menerima email seperti itu, segera hapus dan laporkan sebagai spam.
- Gunakan antivirus dan firewall yang bisa mendeteksi dan mencegah serangan siber. Anda bisa menggunakan produk keamanan yang disediakan oleh Microsoft atau vendor lain yang terpercaya.
- Ubah password Anda secara berkala dan gunakan password yang kuat dan unik. Anda bisa menggunakan manajer password untuk membuat dan menyimpan password Anda dengan aman.
- Aktifkan otentikasi dua faktor untuk akun email Anda. Ini bisa memberikan lapisan perlindungan tambahan jika password Anda dicuri oleh peretas.