Kerberoasting: Senjata Lama yang Masih Bikin Pusing Peretas

Bayangin deh, kamu punya kunci rumah super aman, tapi ternyata kuncinya itu bisa diduplikasi pakai mesin fotokopi jadul. Nah, kira-kira begitulah gambaran Kerberoasting, sebuah celah keamanan yang sudah ada sejak lama di Microsoft Active Directory (AD), tapi sampai sekarang masih jadi santapan empuk buat para penjahat siber.

Apa Sih Kerberoasting Itu?

Jadi gini, Active Directory itu ibarat penjaga gerbang super canggih di jaringan berbasis Windows. Dia yang ngatur siapa boleh masuk, akses apa aja, dan gimana caranya akses itu dilindungi. Nah, cara kerjanya AD itu pakai semacam "tiket" otentikasi, namanya Kerberos ticket. Tiket ini kayak kartu identitas sakti yang ngasih tau AD kalau kamu beneran orang yang berhak.

Masalahnya muncul pas ada yang namanya akun layanan (service accounts). Akun ini biasanya dipakai buat program atau aplikasi jalan di belakang layar, jadi nggak dipakai sama orang langsung. Nah, karena nggak dipakai manusia, kadang-kadang administrator AD lupa atau malas bikin kata sandi yang kuat buat akun-akun ini. Mereka malah pakai kata sandi yang gampang ditebak, kayak "password123" atau "admin".

Di sinilah Kerberoasting beraksi. Penyerang yang udah berhasil nyusup ke dalam jaringan (misalnya dari email phishing yang cerdik), bisa pura-pura minta tiket otentikasi buat akun layanan ini. Tiket yang dikasih sama AD itu ternyata dienkripsi pakai kata sandi akun layanan tadi. Nah, karena kata sandinya lemah, si penyerang tinggal "unduh" tiket itu, terus di luar jaringan mereka bisa pakai kekuatan komputer super (serangan kamus atau dictionary attack) buat nebak-nebak kata sandinya sampai ketemu. Kalau kata sandinya berhasil dipecahkan, wah, tamat riwayat keamanan jaringanmu! Penyerang bisa mengakses data-data penting yang dilindungi akun layanan itu.

Siapa yang Bisa Kena dan Siapa yang Diincar?

Serangan ini bisa dilakukan oleh siapa aja yang udah punya sedikit "akses awal" ke jaringan. Mulai dari peretas iseng, sampai yang paling ditakuti: pelaku ransomware. Target utamanya jelas, yaitu akun layanan yang punya "kekuatan super" alias hak akses istimewa. Bayangin aja kalau akun layanan yang megang kendali server database utama atau jaringan penting lainnya ternyata punya kata sandi lemah. Itu sama aja kayak ngasih kunci gudang harta karun ke orang asing.

Kenapa Masalah Lama Ini Masih Jadi Momok?

Akar masalahnya itu ada di warisan teknologi. AD itu sistem yang udah tua banget, dan karena udah terlanjur dipakai banyak orang, Microsoft masih mempertahankan fitur-fitur lama, termasuk metode enkripsi yang sebenarnya udah nggak seaman dulu. Contohnya RC4 dan NT hash. RC4 itu kayak mesin fotokopi jadul tadi, sangat cepat tapi hasilnya gampang dibaca ulang. Nah, kalau akun layanan pakai kata sandi yang nggak acak dan lemah, tiket yang dienkripsi pakai RC4 itu bisa dipecahkan ribuan kali lebih cepat daripada pakai metode enkripsi modern kayak AES.

Ironisnya, walaupun Microsoft sudah ngasih panduan cara ngatasinnya, banyak administrator yang masih lalai atau nggak punya waktu buat ngimplementasiin keamanan yang bener. Ditambah lagi, Microsoft juga nggak buru-buru matiin opsi-opsi enkripsi yang nggak aman, sehingga celah ini tetap terbuka lebar.

Kapan Terakhir Kali Denger Kabar Kerberoasting?

Meskipun udah ada lebih dari sepuluh tahun, Kerberoasting bukan sekadar cerita lama. Buktinya, di bulan Mei 2024, serangan ransomware terhadap Ascension Health yang gede banget itu ternyata pakai jurus Kerberoasting! Ini nunjukin kalau serangan ini masih relevan dan jadi senjata ampuh di era peretasan modern