Melindungi sistem komputer tidaklah mudah. Bahkan peretas yang cukup terampil pun dapat melakukan banyak kerusakan dengan sedikit usaha, seperti yang terlihat dalam kasus lubang keamanan CVE-2017-0199, yang ada di perangkat lunak Microsoft selama berbulan-bulan.

Bug tersebut, yang diperbaiki pada pertengahan April, bukanlah hal yang aneh, tetapi sangat berbahaya. Karena memungkinkan peretas mana pun untuk mengambil kendali komputer – tanpa meninggalkan jejak apa pun.

Hal yang menarik adalah bug tersebut telah diperbaiki pada 11 April dalam pembaruan keamanan bulanan Microsoft. Saat ini sudah sembilan (!) bulan sejak pertama kali ditemukan, yang merupakan waktu yang lama dalam dunia pengembangan perangkat lunak.

Pakar keamanan Google biasanya memberi waktu tiga bulan kepada vendor untuk memperbaiki masalah sebelum mengkomunikasikan kerentanannya secara publik. Sebaliknya, celah keamanan di Microsoft dapat dimanfaatkan oleh peretas selama enam bulan. Microsoft menolak berkomentar kepada Reuters mengenai waktu rata-rata yang dibutuhkan perusahaan untuk memperbaiki bug tersebut.

Peretas menggunakan kerentanan untuk memata-matai penutur bahasa Rusia

Jelas bahwa – paling lambat setelah bug diumumkan – banyak peretas akan menggunakan informasi ini, dan tentu saja itu terjadi. Mereka merekayasa perangkat lunak untuk memata-matai penutur bahasa Rusia di Ukraina.

Pencurian besar-besaran juga terjadi di Australia dan sejumlah belahan dunia lainnya karena pencuri data menggunakan kelemahan keamanan untuk menipu jutaan rekening bank. Hal ini muncul dari wawancara dengan peneliti keamanan yang menyelidiki insiden dan malware tersebut Reuters dilaporkan.

Microsoft juga telah mengkonfirmasi insiden ini.

Ryan Hanson, konsultan keamanan di Optiv Inc., menemukan kerentanan tersebut pada Juli 2016. Kesalahan terjadi ketika dokumen Word diformat ulang dalam format berbeda. Dengan menggunakan tautan, dia mampu membawa malware ke komputer yang memungkinkan peretas mana pun mendapatkan kendali atas komputer tersebut. Dia menggabungkan kelemahan lain yang ditemukan Hanson untuk membuat malware tersebut lebih efektif. Dia kemudian melaporkan kerentanan tersebut kepada Microsoft pada bulan Oktober, dan perusahaan tersebut terkadang membayar ribuan euro untuk tip tersebut.

Microsoft awalnya menolak untuk mempublikasikan bug tersebut

Microsoft ingin memperingatkan pengguna, tetapi dengan peringatan ini, peretas akan mengetahui kelemahannya, jadi Microsoft mencoba mengulur waktu. Perusahaan dapat dengan cepat memperbaiki bug tersebut dalam pembaruan bulanan, namun perusahaan tidak hanya ingin merilis patch yang dangkal, namun juga ingin mengetahui akar masalahnya.

Pada saat itu, Microsoft tidak menyadari bahwa metode Hanson sudah digunakan, dan perusahaan membuang-buang waktu untuk mencoba memahami masalahnya dari awal. Microsoft ingin menghentikan tidak hanya metode yang digunakan, tetapi semua metode yang mungkin diakibatkan oleh bug ini, kata juru bicara Microsoft dalam wawancara anonim dengan Reuters.

Hanson sendiri dengan tegas menolak memberikan pernyataan kepada kantor berita tersebut.

Tidak jelas bagaimana peretas menemukan metode ini

Saat penyelidikan sedang berlangsung, pada tahap ini masih belum jelas bagaimana peretas menemukan kelemahan tersebut. Ada kemungkinan bahwa mereka menemukan kerentanan pada saat yang sama dengan Hanson, menyadarinya selama proses patching, atau bahkan meretas perusahaan Hanson, Optiv, untuk mendapatkan informasi ini.

Serangan dimulai ketika Microsoft sedang mengatasi masalah ini pada bulan Januari 2017.

Email pertama dengan tautan berbahaya muncul pada masa ini dan berasal dari pemberontak Rusia di Ukraina timur, menurut para peneliti.

Tapi itu tidak cukup. Perusahaan perangkat lunak keamanan McAfee juga menemukan kerentanan tersebut dan mempublikasikannya di blog perusahaan pada tanggal 6 April 2017, tanpa memberi tahu Microsoft sebelumnya. Deskripsinya sebenarnya cukup detail untuk bisa mengulangi cara menggunakan entri tersebut.

Peretasan telah menjadi arus utama

Pada awal 9 April 2017, program berdasarkan kelemahan tersebut sudah tersedia untuk dibeli di Darknet, kata peneliti keamanan John Hultquist dari FireEye kepada Reuters. Mulai saat ini, serangan dapat dilakukan oleh siapa saja, dan hal ini banyak digunakan di Australia untuk meretas rekening bank. Selasa berikutnya, Microsoft telah menyiapkan patch yang mengakhiri kejadian tersebut.

Ini terjadi sembilan bulan setelah kerentanan ditemukan. Tentu saja pengguna yang tidak menginstal patch langsung meninggalkan masalahnya. Universitas Ben-Gurion di Israel menjadi korban serangan peretasan. Peretas Iran mengambil alih akun email dan mengirimkan dokumen yang terinfeksi ke perusahaan teknologi, industri farmasi, dan sejumlah kontak lain di universitas tersebut.

Microsoft berterima kasih kepada Hanson setelah merilis patch tersebut. Optiv saat ini sedang menyelidiki apakah penemuan Hanson menyebabkan serangan hacker global, menurut juru bicara perusahaan.