Peretas mengurangi level kernel Windows untuk membuat rootkit dan menyusupi komputer
Peretas menggunakan teknik untuk menurunkan versi komponen kernel Windows untuk melewati fitur keamanan penting seperti Penegakan Tanda Tangan Pengemudi. Melalui hal ini, mereka dapat menyebarkan rootkit pada sistem yang telah diperbarui sepenuhnya, sehingga mengancam keamanan informasi pada komputer Windows yang tidak disadari oleh sedikit pengguna.
Peneliti keamanan Alon Leviev dari SafeBreach menemukan kerentanan yang memungkinkan pembajakan pembaruan pada Windows. Meskipun Microsoft telah menegaskan bahwa masalah ini tidak melampaui batas keamanan yang ditentukan, kenyataannya masih menunjukkan kemungkinan adanya gangguan dari peretas.
Leviev menciptakan alat Windows Downdate untuk membuat penurunan versi khusus pada sistem Windows, mengungkap kerentanan yang ditemukan melalui komponen seperti DLL, driver, dan kernel NT. Hal ini membuat kerentanan yang telah diperbaiki menjadi rentan terhadap serangan, sehingga menunjukkan bahwa keamanan kernel tetap berisiko.
Serangan ini dapat melewati Driver Signature Enforcement (DSE), sehingga memperlihatkan kemampuan untuk mengunggah driver kernel yang tidak ditandatangani dan menyebarkan rootkit. Ini tidak hanya menonaktifkan langkah-langkah keamanan tetapi juga menyembunyikan aktivitas penyerang, sehingga menyulitkan pendeteksian penyusupan.
Dengan menurunkan versi komponen kernel Windows melalui proses pembaruan, peretas dapat mengeksploitasi kerentanan DSE dan menyebarkan malware rootkit secara efektif. Hal ini membuka peluang terjadinya serangan tak terduga pada sistem Windows yang telah diperbarui sepenuhnya.
Peretas sekarang memiliki kemampuan untuk menurunkan versi komponen kernel Windows dalam upaya melewati fitur keamanan sama pentingnya dengan Penegakan tanda tangan Pengemudi. Melalui teknik ini, mereka dapat menyebar rootkit pada sistem yang sepenuhnya diperbarui. Artinya, risiko keamanan pada komputer Windows berpotensi menjadi bahaya besar yang hanya disadari oleh sedikit pengguna.
Secara khusus, serangan ini dapat terjadi dengan mengendalikan proses pembaruan Windows. Peretas dapat memasukkan komponen perangkat lunak lama, yang berisi kerentanan yang telah diperbaiki oleh sistem operasi, ke dalam komputer yang diperbarui tanpa mengubah status pembaruan sistem operasi. Hal ini menciptakan kesenjangan keamanan yang serius dalam sistem modern di mana pengguna percaya bahwa mereka memiliki perlindungan terbaik.
Turunkan versi Windows
Peneliti keamanan Alon Leviev dari SafeBreach melaporkan masalah kritis ini dan membantu menemukan kerentanan pembajakan pembaruan. Meskipun Microsoft telah menepis kekhawatiran ini dengan menyatakan bahwa masalah ini tidak melewati batas keamanan yang ditentukan, praktiknya tetap bahwa hanya satu penyerang yang perlu mencapai eksekusi kode kernel dengan hak administratif dapat memungkinkan intrusi.
Pada konferensi keamanan BlackHat dan DEFCON tahun ini, Leviev menunjukkan bahwa serangan ini dapat dilakukan dan lebih parah, namun belum sepenuhnya diperbaiki, sehingga membuka peluang untuk penurunan peringkat lebih lanjut atau serangan ulang yang tidak terduga. Dengan alat yang disebut Windows Downdate, Leviev memungkinkan pengguna untuk membuat penurunan versi khusus yang mengekspos sistem target yang tampaknya telah diperbarui sepenuhnya namun sebenarnya rentan terhadap Kerentanan yang sebelumnya ditemukan melalui komponen lama seperti DLL, driver, dan kernel NT.
“Saya mampu membuat komputer Windows yang telah ditambal sepenuhnya rentan terhadap kerentanan masa lalu, membuat kerentanan yang telah ditambal menjadi tidak ditambal, dan membuat istilah ‘ditambal sepenuhnya’ ‘menambal’ praktis tidak ada artinya di komputer Windows mana pun di dunia,” kata Leviev.
Meskipun keamanan kernel telah meningkat pesat dalam beberapa tahun terakhir, Leviev masih dapat melewati fitur Driver Signature Enforcement (DSE), yang menunjukkan bahwa penyerang dapat mengunggah driver kernel tanpa tanda tangan, sehingga menyebarkan malware rootkit. Ini tidak hanya menonaktifkan langkah-langkah keamanan tetapi juga menyembunyikan aktivitas penyerang yang dapat mendeteksi penyusupan ke dalam sistem.
“Dalam beberapa tahun terakhir, terdapat peningkatan penting pada keamanan kernel. Namun, meskipun dengan asumsi hak administratif dapat dikompromikan, selalu ada celah yang mempermudah penyerang” – Leviev menekankan.
Leviev memberi label eksploitasinya sebagai bypass DSE “ItsNotASecurityBoundary”, karena eksploitasi tersebut bergantung pada kerentanan perusakan file yang tidak dapat diubah. Ini adalah kelas kerentanan baru di Windows, yang dijelaskan oleh Gabriel Landau dari Elastic sebagai cara untuk mencapai eksekusi kode arbitrer dengan izin kernel. Setelah Landau melaporkan kerentanan ini, Microsoft dengan cepat menambal kerentanan “ItsNotASecurityBoundary” untuk mencegah peningkatan hak istimewa dari administrator ke kernel. Namun, menambal kerentanan ini masih belum sepenuhnya melindungi terhadap serangan degradasi seperti yang dikemukakan Leviev.
Menargetkan kernel
Penelitian baru yang diterbitkan hari ini oleh Leviev menunjukkan bagaimana penyerang dapat mengeksploitasi proses pembaruan Windows untuk melewati perlindungan DSE. Hal ini dapat dilakukan dengan menurunkan versi komponen yang dipatch, bahkan pada sistem Windows 11 yang diperbarui sepenuhnya. Serangan ini dimungkinkan berkat penggantian file ‘ci.dll’, yang bertanggung jawab untuk mengeksekusi DSE, dengan versi yang belum dipatch yang mengabaikan semua tanda tangan driver. Teknik ini pada dasarnya mengalahkan pemeriksaan perlindungan Windows secara efektif.
Proses penggantian ini dipicu dalam proses Pembaruan Windows. Itu semua terjadi dengan memanfaatkan kondisi baca ganda, di mana salinan ci.dll yang rentan dimuat ke dalam memori segera setelah Windows mulai memeriksa versi terbaru ci.dll.
Peristiwa yang disebut “race window” ini memungkinkan ci.dll yang rentan untuk dimuat ketika Windows masih mengira telah memverifikasi file tersebut, sehingga memungkinkan driver yang tidak ditandatangani untuk diunggah ke kernel. Hal ini tidak hanya menunjukkan celah dalam proses pembaruan Windows, namun juga membuka jalur potensial bagi penyerang untuk menyebarkan kode berbahaya.
Dalam video yang disajikan di bawah ini, Leviev mendemonstrasikan bagaimana dia memulihkan patch DSE melalui serangan degradasi dan mengeksploitasi komponen tersebut pada komputer yang telah dipatch sepenuhnya yang menjalankan Windows 11 23H2. Ia juga tidak segan-segan menjelaskan metode untuk menonaktifkan atau melewati Keamanan Berbasis Virtualisasi (VBS) Microsoft. Ini adalah fitur yang menciptakan lingkungan terisolasi untuk Windows yang melindungi sumber daya penting dan aset keamanan seperti mekanisme integritas kode kernel yang aman (skci.dll) dan kredensial pengguna yang ditetapkan.
Daftar isi artikel
Eksplorasi konten lain dari Heart To Heart
Berlangganan untuk dapatkan pos terbaru lewat email.
