Bahaya Baru, "Windows Downdate" Modus Downgrade OS Windows untuk Lancarkan Serangan Hacker

Sebuah teknik serangan baru ditemukan dapat melewati Driver Signature Enforcement (DSE) milik Microsoft pada sistem Windows yang telah sepenuhnya diperbarui, membuka jalan bagi serangan downgrade sistem operasi (OS). Ini bisa menjadi ancaman serius bagi keamanan perangkat dan data pengguna.

Peneliti SafeBreach, Alon Leviev, mengungkap temuan mengejutkan dalam sebuah laporan yang dibagikan kepada The Hacker News. Dia menjelaskan bahwa teknik ini memungkinkan penyerang untuk memuat driver kernel yang tidak ditandatangani, membuka pintu bagi serangan tingkat lanjut seperti deployment rootkit. Rootkit ini mampu menonaktifkan kontrol keamanan, menyembunyikan proses dan aktivitas jaringan, serta menjaga keberadaan penyerang tetap tersembunyi.

Teknik ini merupakan pengembangan dari analisis sebelumnya yang mengungkap dua kelemahan peningkatan hak akses dalam proses pembaruan Windows (CVE-2024-21302 dan CVE-2024-38202). Kelemahan ini dapat dimanfaatkan untuk mengembalikan perangkat lunak Windows terkini ke versi yang lebih lama, yang memiliki kerentanan keamanan yang belum ditambal.

Serangan tersebut memanfaatkan alat yang diberi nama Windows Downdate, yang dapat membajak proses Windows Update untuk melakukan downgrade pada komponen OS penting secara tak terdeteksi, persisten, dan tak dapat dikembalikan. Ini memberikan penyerang alternatif yang lebih efektif dibandingkan serangan Bring Your Own Vulnerable Driver (BYOVD), memungkinkan mereka untuk menurunkan versi modul pihak pertama, termasuk kernel OS itu sendiri.

Meskipun Microsoft telah menambal CVE-2024-21302 dan CVE-2024-38202 pada bulan Agustus dan Oktober 2024, teknik baru yang dikembangkan Leviev memanfaatkan Windows Downdate untuk menurunkan versi patch DSE bypass "ItsNotASecurityBoundary" pada sistem Windows 11 yang telah diperbarui sepenuhnya.

"ItsNotASecurityBoundary" pertama kali didokumentasikan oleh peneliti Elastic Security Labs, Gabriel Landau, pada bulan Juli 2024 bersama dengan PPLFault, dan digambarkan sebagai kelas bug baru yang diberi kode nama False File Immutability. Microsoft memperbaiki bug ini pada bulan Mei lalu.

Teknik ini memanfaatkan kondisi perlombaan untuk mengganti file katalog keamanan yang diverifikasi dengan versi berbahaya yang berisi tanda tangan authenticode untuk driver kernel yang tidak ditandatangani. Selanjutnya, penyerang meminta kernel untuk memuat driver tersebut.

Mekanisme integritas kode Microsoft, yang mengotentikasi file menggunakan pustaka mode kernel ci.dll, kemudian mengurai katalog keamanan yang berbahaya untuk memvalidasi tanda tangan driver dan memuatnya, memungkinkan penyerang untuk menjalankan kode arbitrer di kernel.

Penyerang mencapai bypass DSE dengan menggunakan alat downgrade untuk mengganti pustaka "ci.dll" dengan versi yang lebih lama (10.0.22621.1376) untuk membatalkan patch yang diterapkan oleh Microsoft.

Namun, ada penghalang keamanan yang dapat mencegah bypass ini berhasil. Jika Virtualization-Based Security (VBS) dijalankan pada host yang ditargetkan, pemindaian katalog dilakukan oleh Secure Kernel Code Integrity DLL (skci.dll), bukan ci.dll.

Sayangnya, konfigurasi default VBS tanpa Unified Extensible Firmware Interface (UEFI) lock. Hal ini memungkinkan penyerang untuk menonaktifkannya dengan mengubah kunci registri EnableVirtualizationBasedSecurity dan RequirePlatformSecurityFeatures.

Bahkan dalam kasus UEFI lock yang diaktifkan, penyerang dapat menonaktifkan VBS dengan mengganti salah satu file inti dengan file yang tidak valid. Pada akhirnya, langkah-langkah eksploitasi yang perlu dilakukan penyerang adalah sebagai berikut:

• Menonaktifkan VBS di registri Windows, atau membuat SecureKernel.exe tidak valid

• Menurunkan versi ci.dll ke versi yang belum ditambal

• Merestart mesin

• Mengeksploitasi bypass DSE ItsNotASecurityBoundary untuk mencapai eksekusi kode tingkat kernel

Teknik ini hanya gagal ketika VBS diaktifkan dengan UEFI lock dan flag "Mandatory". Mode terakhir ini menyebabkan kegagalan boot ketika file VBS rusak. Mode Mandatory diaktifkan secara manual melalui perubahan registri.

Antivirus ESET HOME Security Ultimate 1 Tahun 5 Device https://s.shopee.co.id/BCAIccKEE

Microsoft mencatat dalam dokumentasinya bahwa pengaturan "Mandatory" mencegah pemuat OS untuk melanjutkan boot jika Hypervisor, Secure Kernel, atau salah satu modul dependennya gagal dimuat. Oleh karena itu, perlu kehati-hatian sebelum mengaktifkan mode ini karena sistem akan menolak untuk boot jika terjadi kegagalan pada modul virtualisasi.

Oleh karena itu, untuk sepenuhnya mengurangi risiko serangan ini, penting untuk mengaktifkan VBS dengan UEFI lock dan flag Mandatory. Dalam mode lain, penyerang dapat menonaktifkan fitur keamanan ini, melakukan downgrade DLL, dan mencapai bypass DSE.

Leviev menekankan bahwa solusi keamanan harus mencoba mendeteksi dan mencegah prosedur downgrade, bahkan untuk komponen yang tidak melewati batasan keamanan yang telah ditentukan.

Penemuan ini sekali lagi mengingatkan kita tentang pentingnya menjaga sistem operasi dan perangkat lunak tetap diperbarui, serta menerapkan mekanisme keamanan yang kuat untuk mencegah serangan tingkat lanjut.

Tweet

Postingan terkait:

— Monday, October 28, 2024 — Add Comment — computer security, windows, windows downdate