MS05 031 Edited
MS05 031 Edited
Vulnerability pada Step-by-Step Interactive Training Dapat Menyebabkan Remote Code Execution
(898458)
Informasi Umum
Update ini akan mengatasi celah keamanan baru yang dilaporkan secara pribadi. Celah
keamanan pada Step-by-Step Interactive Training ini dapat menyebabkan penyerang mengambil alih
sistem. Jika pengguna masuk ke dalam sistem dengan menggunakan hak akses administrator, maka
penyerang yang berhasil mengeksploitasi celah ini dapat mengambil alih sistem. Sehingga penyerang
dapat meng-install program, melihat, menghapus, atau bahkan membuat account baru dengan hak akses
penuh. Pengguna yang menggunakan account yang memiliki hak akses lebih rendah dari administrator
(pengguna biasa) dampaknya akan lebih kecil daripada pengguna yang menggunakan hak akses
administrator. Meskipun begitu, dibutuhkan interaksi dari pengguna untuk mengeksploitasi celah ini.
Skenario Serangan
• Dalam sekenerio penyerangan melalui Web, penyerang harus memiliki website yang berisi halaman
Web yang digunakan untuk mengeksploitasi celah ini. Penyerang juga akan mencoba bekerja sama
dengan sebuah website untuk mengirimkan halaman Web yang berisi halaman yang berbahaya.
Karena penyerang tidak memiliki jalan untuk mendorong pengguna mengunjungi website
berbahayanya, penyerang akan membujuk mereka untuk mengunjungi website-nya. Biasanya dengan
mengajak mereka untuk mengklik sebuah link yang membawanya ke situs penyerang atau ke website
yang diajak kerja sama tersebut.
• Penyerang yang berhasil mengeksploitasi celah ini dapat memiliki hak akses yang sama dengan
pengguna lokal. Pengguna yang menggunakan account dengan hak akses lebih rendah dari
administrator (pengguna biasa) dampaknya akan lebih kecil daripada pengguna yang menggunakan
hak akses administrator.
• Celah ini tidak dapat di eksploitasi secara langsung melalui e-mail. agar serangan dapat berhasil,
pengguna harus membuka attachement yang dikirimkan dalam e-mail tersebut atau harus mengklik
link yang disediakan di pesan e-mail tersebut.
Penanganan Vulnerability pada Server Exchange Server Outlook Web Acces (OWA)
• Secara default, Outlook Express 6, Outlook 2002, dan Outlook 2003 akan membuka pesan e-
mail HTML dalam area situs Restricted. Outlook 98 dan Outlook 2000 membuka pesan e-mail
jika Outlook E-mail Security Update telah ter-install. Outlook Express 5.5 SP 2 akan membuka
pesan e-mail HTML dalam area situs Restricted jika MS04-018 telah di-install. Area situs
Restricted akan membantu mengurangi serangan yang mencoba mengeksploitasi celah ini.
• Risiko penyerangan dari sisi e-mail HTML ini secara signifikan dapat dikurangi jika Anda
melakukan hal seperti di bawah ini:
• Meng-update yang ada pada Microsoft Security Bulletin MS03-040 atau Cumulative
Security Update versi lebih baru untuk Internet Explorer Anda.
• Menggunakan Internet Eksplorer 6 atau lebih.
• Menggunakan Microsoft Outlook E-mail Security Update, menggunakan Microsoft
Outlook Express 6 atau yang lebih baru, Microsoft Outlook 2000 Service Pack 2 atau yang
lebih baru dengan konfigurasi secara default.
• Lakukan manajemen e-mail untuk mengurangi celah ini dengan cara:
o Cegah pengguna dari membuka file attachement yang memiliki ekstensi yang tidak
familiar. Ekstensi file (.cbo, .cbl, .cbm) tidak biasa digunakan di e-mail dan harus
diwaspadai.
o Cegah pengguna dari membuka file attachement dari sumber yang tidak dipercaya.
Microsoft telah menguji cara kerjanya. Meskipun tidak menjamin hilangnya celah keamanan, metode-
metode di bawah ini dapat membantu memblok penyebaran serangan. Untuk mengurangi fungsi ruang
lingkup kerjanya, maka dapat dilakukan hal-hal seperti di bawah ini:
• Matikan pengendali untuk bookmark link pada Step-by-Step Interactive Training dengan membuang
registry key yang bersangkutan.
Key ini dapat dihapus untuk mengurangi penyerangan. Metode ini mengurangi penyerangan dengan
mencegah Step-by-Step Interactive Training dari pembukaan file yang terinfeksi secara otomatis. Isi
file tersebut masih dapat dibuka dari interface pengguna Step-by-Step Interactive Training.
Penting, buletin ini berisi informasi bagaimana memodifikasi registry. Pastikan Anda telah mem-
backup-nya terlebih dahulu sebelum memodifikasi. Pastikan juga Anda tahu bagaimana
mengembalikan registry jika terdapat masalah. Masalah yang serius mungkin akan muncul jika Anda
salah memodifikasi registry. Jika ini terjadi, kemungkinan Anda harus meng-install ulang sistem
operasi Anda. Microsoft tidak menjamin masalah ini dapat diatasi. Resiko memodifikasi registry ini
menjadi tanggungan anda sendiri.
1. Klik Start Run ketik regedt32, klik OK
2. Pada registry editor, arahkan ke subkey registry di bawah ini:
HKEY_CLASSES_ROOT\.cbl (for “Microsoft Press Interactive Training”)
HKEY_CLASSES_ROOT\.cbm (for “Interactive Training”)
HKEY_CLASSES_ROOT\.cbo (for “Microsoft Interactive Training ”)
3. Untuk masing-masing subkey, klik pada subkey lalu tekan DELETE
4. Pada konfirmasi penghapusan, klik OK.
Cara ini juga dapat dilakukan dari menu command prompt dengan menggunakan perintah-
perintah di bawah ini:
reg.exe export HKCR\.cbl c:\cbl.reg
reg.exe delete HKCR\.cbl /f
reg.exe export HKCR\.cbm c:\cbm.reg
reg.exe delete HKCR\.cbm /f
reg.exe export HKCR\.cbo c:\cbo.reg
reg.exe delete HKCR\.cbo /f
Dampak dari cara ini: bookmark file pada Step-by-Step Interactive Training tidak dapat dibuka dulu,
tapi isinya masih dapat dibuka menggunakan user interface-nya.
• Jangan membuka atau menyimpan file-file berisi bookmark link Step-by-Step Interactive Training
(.cbo, .cbl, .cbm) yang Anda terima dari sumber yang tidak dipercaya.
Celah ini dapat dieksploitasi ketika pengguna membuka file .cbo, .cbl atau .cbm. Jangan pernah
membuka file dengan ekstensi tersebut. Metode di bawah ini tidak menutupi serangan lain dari sisi
lain misalnya web browsing.
• Lindungi serangan ke e-mail dengan memblok bookmark link Step-by-Step Interactive Training
(.cbo, .cbl, .cbm).
• Buang Step-by-Step Interactive Training untuk mencegah penyerangan dengan cara:
Klik Start pilih Run, lalu ketik %windir%\IsUninst.exe -x -y -a -f"%windir%\orun32.isu" Anda
mungkin saja perlu mengganti “orun32.isu” dengan “mrun32.isu”, bergantung pada versi yang Anda
install.
Dampak yang ditimbulkan dari cara ini: setelah Anda membuang aplikasi ini, semua aplikasi yang
bergantung padanya tidak akan berjalan lagi.
• Buang Step-by-Step Interactive Training dengan menggunakan Add or Remove Program dari Control
Panel. Untuk membuang aplikasi ini secara manual, ikuti langkah-langkah di bawah ini:
• Klik Start Setting Control Panel
• Double klik Add or Remove Program, lalu pilih aplikasi yang terinfeksi lalu klik Remove.
• Ikuti perintah selanjutnya untuk melengkapi penghapusan.
• Hapus atau Rename program file Step-by-Step Interactive Training .ini
Jika aplikasi ini tidak dapat dibuang dengan metode-metode di atas, Anda dapat menghapus atau
mengganti nama fisik file-nya secara langsung. Lalu hapus atau ganti nama file
%windir%\Orun32.ini. Anda mungkin perlu mengganti “orun32.isu” dengan “mrun32.isu”,
bergantung pada versi yang Anda install.