Microsoft Security Bulletin MS05-031

Vulnerability pada Step-by-Step Interactive Training Dapat Menyebabkan Remote Code Execution
(898458)

Dikeluarkan : 14 Juni 2005

Versi : 1.0
Dampak : Pengendalian kode secara jarak jauh (remote)
Tingkat Bahaya : Penting / Important
Ditujukan : Pengguna Microsoft Windows atau yang telah meng-install Step-by-Step
Interactive Training
Sistem yang Rentan : Sistem yang meng-install Step-by-Step Interactive Training
Cakupan : Bila penyerang berhasil masuk dengan status admin, ia dapat meng-install
Vulnerability program, melihat, mengubah, atau menghapus data, bahkan membuat account
baru dengan hak akses penuh.
Rekomendasi : Para pengguna produk Microsoft yang terpengaruh diharapkan sesegera
mungkin melakukan update.

Aplikasi yang rentan terserang:

• Microsoft Windows 2000 Service Pack 3 dan Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 dan Microsoft Windows XP Service Pack 2
• Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
• Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 dan Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems dan Microsoft Windows Server
2003 with SP1 for Itanium-based
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), dan Microsoft Windows
Millennium Edition (ME).

Komponen yang terserang:

• Step-by-Step Interactive Training
• Step-by-Step Interactive Training pada sistem berbasis Itanium
• Step-by-Step Interactive Training pada sistem berbasis 64-bit

Informasi Umum
Update ini akan mengatasi celah keamanan baru yang dilaporkan secara pribadi. Celah
keamanan pada Step-by-Step Interactive Training ini dapat menyebabkan penyerang mengambil alih
sistem. Jika pengguna masuk ke dalam sistem dengan menggunakan hak akses administrator, maka
penyerang yang berhasil mengeksploitasi celah ini dapat mengambil alih sistem. Sehingga penyerang
dapat meng-install program, melihat, menghapus, atau bahkan membuat account baru dengan hak akses
penuh. Pengguna yang menggunakan account yang memiliki hak akses lebih rendah dari administrator
(pengguna biasa) dampaknya akan lebih kecil daripada pengguna yang menggunakan hak akses
administrator. Meskipun begitu, dibutuhkan interaksi dari pengguna untuk mengeksploitasi celah ini.

Ciri Vulnerability Dampak Vulnerability Step-by-Step Interactive

Training
Interactive Training Vulnerability - CAN- Remote Code Execution Important
2005-1212
Penilaian ini berdasarkan pada sistem operasi yang rentan terhadap serangan, penggunaannya, dan efek
yang ditimbulkan dari ekploitasi yang dilakukan terhadap celah keamanan ini.
Vulnerability pada Interactive Training - CAN-2005-1212
Celah keamanan yang mengakibatkan pengeksekusian kode dari jarak jauh pada Step-by-Step
Interaktive Training terletak pada file bookmark link. Penyerang dapat mengeksploitasi celah ini dengan
membangun file bookmark link berbahaya yang memiliki potensi untuk menjalankan kode secara remote
jika pengguna mengunjungi website berbahaya atau membuka attachement berbahaya pada pesan e-mail.
Penyerang yang berhasil mengekploitasi celah ini dapat mengambil alih sistem yang terinfeksi. Meski
begitu, dibutuhkan juga interaksi dari pengguna untuk mengeksploitasi celah ini.

Skenario Serangan
• Dalam sekenerio penyerangan melalui Web, penyerang harus memiliki website yang berisi halaman
Web yang digunakan untuk mengeksploitasi celah ini. Penyerang juga akan mencoba bekerja sama
dengan sebuah website untuk mengirimkan halaman Web yang berisi halaman yang berbahaya.
Karena penyerang tidak memiliki jalan untuk mendorong pengguna mengunjungi website
berbahayanya, penyerang akan membujuk mereka untuk mengunjungi website-nya. Biasanya dengan
mengajak mereka untuk mengklik sebuah link yang membawanya ke situs penyerang atau ke website
yang diajak kerja sama tersebut.
• Penyerang yang berhasil mengeksploitasi celah ini dapat memiliki hak akses yang sama dengan
pengguna lokal. Pengguna yang menggunakan account dengan hak akses lebih rendah dari
administrator (pengguna biasa) dampaknya akan lebih kecil daripada pengguna yang menggunakan
hak akses administrator.
• Celah ini tidak dapat di eksploitasi secara langsung melalui e-mail. agar serangan dapat berhasil,
pengguna harus membuka attachement yang dikirimkan dalam e-mail tersebut atau harus mengklik
link yang disediakan di pesan e-mail tersebut.

Penanganan Vulnerability pada Server Exchange Server Outlook Web Acces (OWA)
• Secara default, Outlook Express 6, Outlook 2002, dan Outlook 2003 akan membuka pesan e-
mail HTML dalam area situs Restricted. Outlook 98 dan Outlook 2000 membuka pesan e-mail
jika Outlook E-mail Security Update telah ter-install. Outlook Express 5.5 SP 2 akan membuka
pesan e-mail HTML dalam area situs Restricted jika MS04-018 telah di-install. Area situs
Restricted akan membantu mengurangi serangan yang mencoba mengeksploitasi celah ini.
• Risiko penyerangan dari sisi e-mail HTML ini secara signifikan dapat dikurangi jika Anda
melakukan hal seperti di bawah ini:
• Meng-update yang ada pada Microsoft Security Bulletin MS03-040 atau Cumulative
Security Update versi lebih baru untuk Internet Explorer Anda.
• Menggunakan Internet Eksplorer 6 atau lebih.
• Menggunakan Microsoft Outlook E-mail Security Update, menggunakan Microsoft
Outlook Express 6 atau yang lebih baru, Microsoft Outlook 2000 Service Pack 2 atau yang
lebih baru dengan konfigurasi secara default.
• Lakukan manajemen e-mail untuk mengurangi celah ini dengan cara:
o Cegah pengguna dari membuka file attachement yang memiliki ekstensi yang tidak
familiar. Ekstensi file (.cbo, .cbl, .cbm) tidak biasa digunakan di e-mail dan harus
diwaspadai.
o Cegah pengguna dari membuka file attachement dari sumber yang tidak dipercaya.

Microsoft telah menguji cara kerjanya. Meskipun tidak menjamin hilangnya celah keamanan, metode-
metode di bawah ini dapat membantu memblok penyebaran serangan. Untuk mengurangi fungsi ruang
lingkup kerjanya, maka dapat dilakukan hal-hal seperti di bawah ini:
• Matikan pengendali untuk bookmark link pada Step-by-Step Interactive Training dengan membuang
registry key yang bersangkutan.
Key ini dapat dihapus untuk mengurangi penyerangan. Metode ini mengurangi penyerangan dengan
mencegah Step-by-Step Interactive Training dari pembukaan file yang terinfeksi secara otomatis. Isi
file tersebut masih dapat dibuka dari interface pengguna Step-by-Step Interactive Training.
Penting, buletin ini berisi informasi bagaimana memodifikasi registry. Pastikan Anda telah mem-
backup-nya terlebih dahulu sebelum memodifikasi. Pastikan juga Anda tahu bagaimana
 mengembalikan registry jika terdapat masalah. Masalah yang serius mungkin akan muncul jika Anda
salah memodifikasi registry. Jika ini terjadi, kemungkinan Anda harus meng-install ulang sistem
operasi Anda. Microsoft tidak menjamin masalah ini dapat diatasi. Resiko memodifikasi registry ini
menjadi tanggungan anda sendiri.
1. Klik Start  Run  ketik regedt32, klik OK
2. Pada registry editor, arahkan ke subkey registry di bawah ini:
HKEY_CLASSES_ROOT\.cbl (for “Microsoft Press Interactive Training”)
HKEY_CLASSES_ROOT\.cbm (for “Interactive Training”)
HKEY_CLASSES_ROOT\.cbo (for “Microsoft Interactive Training ”)
3. Untuk masing-masing subkey, klik pada subkey lalu tekan DELETE
4. Pada konfirmasi penghapusan, klik OK.
Cara ini juga dapat dilakukan dari menu command prompt dengan menggunakan perintah-
perintah di bawah ini:
reg.exe export HKCR\.cbl c:\cbl.reg
reg.exe delete HKCR\.cbl /f
reg.exe export HKCR\.cbm c:\cbm.reg
reg.exe delete HKCR\.cbm /f
reg.exe export HKCR\.cbo c:\cbo.reg
reg.exe delete HKCR\.cbo /f
Dampak dari cara ini: bookmark file pada Step-by-Step Interactive Training tidak dapat dibuka dulu,
tapi isinya masih dapat dibuka menggunakan user interface-nya.
• Jangan membuka atau menyimpan file-file berisi bookmark link Step-by-Step Interactive Training
(.cbo, .cbl, .cbm) yang Anda terima dari sumber yang tidak dipercaya.
Celah ini dapat dieksploitasi ketika pengguna membuka file .cbo, .cbl atau .cbm. Jangan pernah
membuka file dengan ekstensi tersebut. Metode di bawah ini tidak menutupi serangan lain dari sisi
lain misalnya web browsing.
• Lindungi serangan ke e-mail dengan memblok bookmark link Step-by-Step Interactive Training
(.cbo, .cbl, .cbm).
• Buang Step-by-Step Interactive Training untuk mencegah penyerangan dengan cara:
Klik Start pilih Run, lalu ketik %windir%\IsUninst.exe -x -y -a -f"%windir%\orun32.isu" Anda
mungkin saja perlu mengganti “orun32.isu” dengan “mrun32.isu”, bergantung pada versi yang Anda
install.
Dampak yang ditimbulkan dari cara ini: setelah Anda membuang aplikasi ini, semua aplikasi yang
bergantung padanya tidak akan berjalan lagi.
• Buang Step-by-Step Interactive Training dengan menggunakan Add or Remove Program dari Control
Panel. Untuk membuang aplikasi ini secara manual, ikuti langkah-langkah di bawah ini:
• Klik Start  Setting Control Panel
• Double klik Add or Remove Program, lalu pilih aplikasi yang terinfeksi lalu klik Remove.
• Ikuti perintah selanjutnya untuk melengkapi penghapusan.
• Hapus atau Rename program file Step-by-Step Interactive Training .ini
Jika aplikasi ini tidak dapat dibuang dengan metode-metode di atas, Anda dapat menghapus atau
mengganti nama fisik file-nya secara langsung. Lalu hapus atau ganti nama file
%windir%\Orun32.ini. Anda mungkin perlu mengganti “orun32.isu” dengan “mrun32.isu”,
bergantung pada versi yang Anda install.

Penting untuk diperhatikan!

1. Anda harus melakukan patch pada "semua" komponen yang rentan, baik sistem operasi maupun
aplikasi.
2. Bagi Anda yang menggunakan aplikasi dan sistem operasi yang kami sebutkan di atas, "sangat"
disarankan untuk meng-update sistem Anda segera. Untuk informasi detail silakan akses ke:
http://www.microsoft.com/technet/security/bulletin/MS05-031.mspx dan lakukan download
sesuai dengan konfigurasi sitsem yang Anda miliki.