Pada pertengahan Maret 2022, Federal Bureau of Investigation (FBI) bersama Cybersecurity and Infrastructure Security Agency (CISA) menerbitkan peringatan keamanan terkait aktivitas peretasan yang memanfaatkan dua kerentanan penting dalam infrastruktur TI: pertama, kerentanan pada konfigurasi sistem Multi Factor Authentication (MFA), khususnya aplikasi MFA Duo; dan kedua, kerentanan Remote Code Execution pada komponen Windows Print Spooler yang dikenal sebagai PrintNightmare (CVE-2021-34527). Kombinasi eksploitasi dari dua vektor serangan ini memungkinkan pelaku kejahatan siber untuk melakukan pendaftaran perangkat baru secara tidak sah, melewati lapisan otentikasi multi-faktor, serta memperoleh akses tidak sah ke jaringan internal korban. Situasi ini sangat berisiko bagi organisasi dengan sistem otentikasi yang belum dikonfigurasi dengan tepat.

Laporan menunjukkan bahwa target utama dari serangan ini adalah organisasi Non Pemerintahan atau Non-Governmental Organizations (NGOs), yang sering kali memiliki sistem keamanan terbatas namun menyimpan data penting. Untuk mengantisipasi dampak serius dari eksploitasi kerentanan ini, seluruh pengguna dan administrator sistem yang menggunakan layanan MFA, Active Directory, dan perangkat Windows sangat disarankan segera menerapkan sejumlah langkah mitigasi. Tindakan tersebut antara lain:

1. Lakukan reviu konfigurasi untuk menghindari skenario “fail open” dan re-enrollment tanpa terkecuali sebelum menerapkan Multi Factor Authentication pada seluruh pengguna.
2. Aktifkan fitur time-out dan lock-out untuk mencegah brute force attack.
3. Nonaktifkan seluruh akun yang tidak digunakan pada layanan Active Directory, MFA systems dan lainnya.
4. Mutakhirkan berbagai perangkat lunak yang digunakan, termasuk sistem operasi, aplikasi dan firmware untuk mencegah eksploitasi kerentanan yang telah ada exploitnya.
5. Gunakan password yang kuat dan unik untuk seluruh akun dan perbarui secara berkala.
6. Lakukan log monitoring perangkat jaringan secara berkelanjutan untuk mengidentifikasi aktifitas mencurigakan dan upaya login yang tidak sah.
7. Aktifkan notifikasi kejadian keamanan atau aktifitas anomali untuk seluruh perubahan akun/grup akun seperti ntdsutil, rar, regedit, dan lainnya.

Selain itu, penting untuk selalu memutakhirkan seluruh sistem operasi, aplikasi, serta firmware ke versi terbaru guna mencegah penyalahgunaan celah keamanan yang sudah diketahui dan memiliki eksploit aktif. Penggunaan kata sandi yang kuat dan unik wajib diterapkan secara menyeluruh, serta dilakukan pembaruan secara berkala. Tidak kalah penting, monitoring log secara berkelanjutan terhadap perangkat jaringan harus diterapkan untuk mendeteksi aktivitas mencurigakan atau percobaan login ilegal. Notifikasi otomatis juga harus diaktifkan untuk mendeteksi perubahan kritis, seperti modifikasi akun atau grup, penggunaan alat administratif seperti ntdsutil, regedit, atau ekstraksi file melalui rar. Informasi teknis lengkap mengenai langkah mitigasi yang direkomendasikan dapat diakses melalui dokumen resmi yang tersedia.

Informasi lengkap mengenai Peringatan Keamanan Kerentanan Aplikasi Multi Faktor Otentikasi “MFA Duo” dan Printer Spooler “Printnightmare” dapat diunduh di sini.

Biro Hukum dan Komunikasi Publik BSSN