NSA temukan kelemahan keamanan utama di Windows 10, perbaikan gratis dikeluarkan

Badan Keamanan Nasional (NSA) telah menemukan kelemahan keamanan utama dalam sistem operasi Microsoft Windows 10 yang dapat membuat peretas menangkap komunikasi-komunikasi yang tampaknya aman.

Tetapi alih-alih mengeksploitasi kelemahan untuk kebutuhan intelijennya sendiri, NSA memberi informasi kepada Microsoft sehingga dapat memperbaiki sistem untuk semua orang.

Microsoft merilis tambalan perangkat lunak gratis untuk memperbaiki kesalahan pada Selasa (14/1) dan memuji agensi intelijen karena menemukannya. Perusahaan mengatakan belum melihat bukti bahwa peretas telah menggunakan teknik ini.

Amit Yoran, CEO perusahaan keamanan Tenable, mengatakan “sangat jarang jika tidak pernah terjadi sebelumnya” bagi pemerintah AS untuk berbagi penemuan kerentanan kritis dengan perusahaan.

Yoran, yang merupakan direktur pendiri tim kesiapan darurat komputer Departemen Keamanan Dalam Negeri, mendesak semua organisasi untuk memprioritaskan menambal sistem mereka dengan cepat.

Penasihat yang dikirim oleh NSA pada Selasa mengatakan "konsekuensi dari tidak menambal kerentanan sangat parah dan tersebar luas."

Microsoft mengatakan seorang penyerang dapat mengeksploitasi kerentanan dengan memalsukan sertifikat penandatanganan kode sehingga tampak seperti fail yang berasal dari sumber tepercaya.

"Pengguna tidak akan mengetahui fail itu berbahaya, karena tanda tangan digital tampaknya berasal dari penyedia tepercaya," kata perusahaan itu.

Jika berhasil dieksploitasi, penyerang akan dapat melakukan "serangan man-in-the-middle" -- seorang penyerang akan berada di tengah-tengah komunikasi antara dua pihak -- dan mendekripsi informasi rahasia yang mereka sadap pada koneksi pengguna, kata perusahaan itu.

"Risiko terbesar adalah mengamankan komunikasi-komunikasi," kata Adam Meyers, wakil presiden intelijen untuk perusahaan keamanan CrowdStrike.

Beberapa komputer akan mendapatkan perbaikan secara otomatis, jika mereka memiliki opsi pembaruan otomatis dihidupkan. Orang lain bisa mendapatkannya secara manual dengan masuk ke Pembaruan Windows di pengaturan komputer.

Microsoft biasanya merilis pembaruan keamanan dan lainnya sebulan sekali dan menunggu hingga Selasa untuk mengungkapkan kelemahan dan keterlibatan NSA. Microsoft dan NSA sama-sama menolak mengatakan ketika agensi secara pribadi memberi tahu perusahaan.