Kelemahan RPC pada Sistem Operasi Windows
Kelemahan RPC pada Sistem Operasi Windows
Sistem operasi Microsoft Windows adalah salah satu sistem operasi yang mendukung protokol
RPC. Sebagai sistem operasi yang paling banyak digunakan di seluruh dunia baik untuk
PC Desktop maupun server, sistem operasi Windows menjadi salah satu sistem operasi
yang banyak dijadikan target mulai dari serangan virus, worm, sampai trojan. Protokol
RPC juga tidak luput menjadi sasaran serangan oleh pihak yang tidak bertanggung jawab.
Alasan penyerangan pada protokol ini disebabkan karena kemudahan ketergantungan
sistem operasi Windows pada servis/layanan RPC. Banyak layanan pada sistem operasi
ini yang didesain untuk bergantung pada layanan RPC, baik digunakan maupun tidak.
Dan sayangnya, pengguna sistem operasi ini tidak dapat mengdisfungsikan layanan RPC.
Pengguna bisa saja menggunakan firewall untuk memblok port RPC, namun karena sistem
operasi Windows terlalu bergantung pada mekanisme RPC sebagai fungsi dasarnya maka hal
ini kadang-kadang tidak berhasil. Bahkan sebagai studi kasus, pada sistem operasi WIndows
Server 2003 terdapat kelemahan pada fungsi RPC itu sendiri ( Informasi lengkapnya dapat
dilihat pada tabel kelemahan sistem operasi ini pada lampiran ).
Kelemahan protokol RPC pada sistem operasi ini terletak pada fungsi RPC yang berhubungan
dengan pertukaran message melalui protokol TCP/IP. Hal ini mempengaruhi bagian
antar-muka Distributed Component Object Model (DCOM) yang berhubungan dengan
RPC, yang akan mendengarkan ( listen ) port-port RPC yang tersedia. DCOM adalah
protokol yang berfungsi untuk mengaktifkan komponen pada perangkat lunak ( software
) agar dapat berkomunikasi langsung dengan jaringan. Protokol ini didesain untuk penggunaan
jaringan multi tranport termasuk protokol Internet misalnya HTTP. RPC melalui
HTTP v1 ( pada sistem operasi WIndows NT 4.0, Windows 2000 ) dan v2 ( Windows
XP, Windows Server 2003 ) mempunyai suatu fitur baru yaitu mendukung protokol transportasi
RPC yang mengijinkan RPC untuk beroperasi melalui port TCP 80 dan 443. Hal
ini menyebabkan komunikasi antara klien dan server dapat dilakukan walaupun dalam pengawasan
server proxy dan firewall. COM Internet Services ( COM ) mengijinkan DCOM
untuk melakukan RPC melalui HTTP untuk komunikasi DCOM klien dan DCOM server.
Port Portmap 111 adalah nomor port yang paling banyak diakses, namun umumnya
nomor port ini telah difilter oleh firewall. Kecenderungan lain berpindah pada nomor port
lain yang dapat digunakan untuk mengirim pesan tertentu yang telah dimanipulasi, seperti
port 135, 139, 445, 593 pada remote komputer. Melalui port-port ini maka seorang user
dapat melakukan permintaan yang dapat mengekploitasi dengan menjalankan kode dengan
hak sistem lokal.
Masalah ini semuanya disebabkan oleh kelemahan pada servis RPCSS. Servis ini berhubungan
dengan aktivasi DCOM. Kegagalan terjadi pada penanganan messages yang salah sehingga
mempengaruhi aktivasi DCOM yang mendengarkan port UDP 135, 137, 138, 445
dan port TCP 135, 139, 445, 593. Ditambah port 80 dan 443 ( CIS atau RPC over HTTP
) jika diaktikan. Dengan kesalahan ini, maka seorang klien dapa menggunakan kegagalan
ini untuk mengeksekusi kode yang dapat dijalankan pada server.
Pada makalah ini akan dibahas secara khusus eksploitasi pada sistem operasi Microsoft
Windows dan variannya
Sistem operasi Microsoft Windows adalah salah satu sistem operasi yang mendukung protokol
RPC. Sebagai sistem operasi yang paling banyak digunakan di seluruh dunia baik untuk
PC Desktop maupun server, sistem operasi Windows menjadi salah satu sistem operasi
yang banyak dijadikan target mulai dari serangan virus, worm, sampai trojan. Protokol
RPC juga tidak luput menjadi sasaran serangan oleh pihak yang tidak bertanggung jawab.
Alasan penyerangan pada protokol ini disebabkan karena kemudahan ketergantungan
sistem operasi Windows pada servis/layanan RPC. Banyak layanan pada sistem operasi
ini yang didesain untuk bergantung pada layanan RPC, baik digunakan maupun tidak.
Dan sayangnya, pengguna sistem operasi ini tidak dapat mengdisfungsikan layanan RPC.
Pengguna bisa saja menggunakan firewall untuk memblok port RPC, namun karena sistem
operasi Windows terlalu bergantung pada mekanisme RPC sebagai fungsi dasarnya maka hal
ini kadang-kadang tidak berhasil. Bahkan sebagai studi kasus, pada sistem operasi WIndows
Server 2003 terdapat kelemahan pada fungsi RPC itu sendiri ( Informasi lengkapnya dapat
dilihat pada tabel kelemahan sistem operasi ini pada lampiran ).
Kelemahan protokol RPC pada sistem operasi ini terletak pada fungsi RPC yang berhubungan
dengan pertukaran message melalui protokol TCP/IP. Hal ini mempengaruhi bagian
antar-muka Distributed Component Object Model (DCOM) yang berhubungan dengan
RPC, yang akan mendengarkan ( listen ) port-port RPC yang tersedia. DCOM adalah
protokol yang berfungsi untuk mengaktifkan komponen pada perangkat lunak ( software
) agar dapat berkomunikasi langsung dengan jaringan. Protokol ini didesain untuk penggunaan
jaringan multi tranport termasuk protokol Internet misalnya HTTP. RPC melalui
HTTP v1 ( pada sistem operasi WIndows NT 4.0, Windows 2000 ) dan v2 ( Windows
XP, Windows Server 2003 ) mempunyai suatu fitur baru yaitu mendukung protokol transportasi
RPC yang mengijinkan RPC untuk beroperasi melalui port TCP 80 dan 443. Hal
ini menyebabkan komunikasi antara klien dan server dapat dilakukan walaupun dalam pengawasan
server proxy dan firewall. COM Internet Services ( COM ) mengijinkan DCOM
untuk melakukan RPC melalui HTTP untuk komunikasi DCOM klien dan DCOM server.
Port Portmap 111 adalah nomor port yang paling banyak diakses, namun umumnya
nomor port ini telah difilter oleh firewall. Kecenderungan lain berpindah pada nomor port
lain yang dapat digunakan untuk mengirim pesan tertentu yang telah dimanipulasi, seperti
port 135, 139, 445, 593 pada remote komputer. Melalui port-port ini maka seorang user
dapat melakukan permintaan yang dapat mengekploitasi dengan menjalankan kode dengan
hak sistem lokal.
Masalah ini semuanya disebabkan oleh kelemahan pada servis RPCSS. Servis ini berhubungan
dengan aktivasi DCOM. Kegagalan terjadi pada penanganan messages yang salah sehingga
mempengaruhi aktivasi DCOM yang mendengarkan port UDP 135, 137, 138, 445
dan port TCP 135, 139, 445, 593. Ditambah port 80 dan 443 ( CIS atau RPC over HTTP
) jika diaktikan. Dengan kesalahan ini, maka seorang klien dapa menggunakan kegagalan
ini untuk mengeksekusi kode yang dapat dijalankan pada server.
Pada makalah ini akan dibahas secara khusus eksploitasi pada sistem operasi Microsoft
Windows dan variannya
