Microsoft biasanya cuci tangan perihal update pada Windows versi lama. Namun pada hari Selasa, mereka mengeluarkan perbaikan untuk perusahaan yang masih menggunakan Windows 2003 dan Windows XP, untuk mencegah serangan mirip worm, seperti yang dilakukan Wannacry pada 2017.

“Adalah penting bahwa sistem yang terkena dampak ditambal secepat mungkin untuk mencegah skenario seperti itu terjadi,” kata tim keamanan Microsoft dalam sebuah blog. “Meskipun kami telah mengamati tidak ada eksploitasi kerentanan ini, sangat mungkin bahwa seseorang akan menulis eksploit untuk kerentanan ini dan memasukkannya ke dalam malware mereka.”

Perbaikan juga diperlukan untuk Windows 7, Windows Server 2008 R2, dan Windows Server 2008, menyembuhkan kerentanan pada Remote Code Execution, CVE-2019-0708, di Remote Desktop Services (RDP).

Perbaikan ini dirilis sebagai bagian dari paket bulanan pembaruan keamanan Patch Tuesday.

Wannacry adalah bagian dari ransomware yang mencakup kemampuan mirip worm untuk melompat dari satu komputer yang terinfeksi ke komputer lain. Kerentanan diidentifikasi pada 2017 dan Microsoft mengeluarkan tambalan di Microsoft Security Bulletin MS17-010. Namun, mereka yang tidak menambal cukup cepat terkena dampaknya. Bahkan, hingga saat ini banyak perusahaan yang masih mengalami serangan ini. Satu perusahaan keamanan memperkirakan dalam dua tahun ada lebih dari 4 juta sistem menjadi korban.

Para peneliti mengatakan Wannacry mampu menyebar begitu cepat karena penciptanya menggunakan alat peretasan yang dijuluki EternalBlue dan EternalRomance yang diyakini telah dicuri dari Badan Keamanan Nasional AS.

Untungnya seorang pakar keamanan menyadari bagaimana Wannacry menyebarkan dan mereka dapat mensterilkan server yang mendistribusikannya. Meski begitu, pintu yang memungkinkan worm serupa lainnya menyebar, belum sepenuhnya tertutup.

Secara kebetulan Malwarebytes mengeluarkan laporan pada hari Senin yang memperkirakan ada ratusan ribu sistem Windows yang berjalan dan masih rentan terhadap EternalBlue dan EternalRomance. Kerentanan semacam itu sangat lazim di negara-negara seperti India, Indonesia dan Malaysia, katanya, “di mana ada budaya yang buruk dalam memperbarui dan mengamankan perangkat lunak komputer.”

Sejak 1 April saja sudah ada 430.943 deteksi WannaCry secara global, kata Malwarebytes.

Ars Technica mengutip, satu peneliti memperkirakan 3 juta endpoint RDP terekspos, sementara yang lain diperkirakan bisa mencapai 16 juta.

Tod Beardsley, direktur penelitian di perusahaan keamanan Rapid7, mengatakan kepada Ars bahwa banyak lalu lintas serangan terhadap RDP tampaknya diarahkan secara khusus pada sistem point-of-sale (POS), jadi dia mencurigai ada banyak register kas dengan RDP yang tidak diperbarui, terekspos ke Internet. “

Beberapa perusahaan juga menjalankan server di jaringan industri dengan versi Windows yang lebih lama. Para peneliti di perusahaan keamanan dunia industri CyberX menganalisis lalu lintas dari lebih dari 850 jaringan teknologi operasional produksi (OT) di seluruh dunia dan menemukan bahwa 53 persen situs industri masih menjalankan Windows yang sudah tidak didukung.

“Masalahnya bermula dari fakta bahwa menambal komputer dalam jaringan industri sangat menantang karena mereka sering beroperasi 24×7 mengendalikan proses fisik skala besar seperti penyulingan minyak dan pembangkit listrik,” kata Phil Neray, wakil presiden CyberX. “Untuk perusahaan yang tidak dapat melakukan upgrade, kami sarankan menerapkan kontrol kompensasi seperti segmentasi jaringan dan pemantauan jaringan berkelanjutan,”

Ada mitigasi parsial pada sistem yang terkena dampak yang mengaktifkan Network Level Authentication (NLA), kata Microsoft. Sistem yang terkena dampak dapat dimitigasi terhadap malware ‘wormable’ atau ancaman malware tingkat lanjut yang dapat mengeksploitasi kerentanan, karena NLA memerlukan otentikasi sebelum kerentanan dapat dipicu. Namun, sistem yang terpengaruh masih rentan terhadap eksploitasi Remote Code Execution (RCE) jika penyerang memiliki kredensial yang valid yang dapat digunakan masuk ke jaringan.