Bypass tanda tangan driver Windows
- Penyerang dapat menurunkan versi komponen kernel Windows untuk melewati fitur keamanan seperti penegakan tanda tangan driver, lalu memasang rootkit pada sistem yang sudah sepenuhnya ditambal.
- Dengan mengendalikan proses Windows Update, komponen perangkat lunak lama yang rentan dapat dimasukkan ke sistem terbaru.
Downgrade Windows
- Peneliti keamanan SafeBreach, Alon Leviev, melaporkan masalah argumen pembaruan, tetapi Microsoft mengabaikannya karena menilai hal itu tidak melampaui batas keamanan.
- Leviev mendemonstrasikan bahwa serangan ini memungkinkan dalam konferensi keamanan BlackHat dan DEFCON, dan masalahnya masih belum diperbaiki.
- Peneliti tersebut merilis alat bernama Windows Downdate, yang dapat membuat downgrade kustom dan kembali mengekspos kerentanan yang sebenarnya sudah diperbaiki melalui komponen lama.
- Leviev menunjukkan bahwa fitur Driver Signature Enforcement (DSE) dapat dilewati untuk memuat driver kernel tanpa tanda tangan dan menyebarkan malware rootkit yang menonaktifkan kontrol keamanan.
Menargetkan kernel
- Leviev menjelaskan cara menyalahgunakan proses Windows Update untuk melewati perlindungan DSE.
- Dengan mengganti file
ci.dll dengan versi yang belum ditambal, tanda tangan driver dapat diabaikan dan pemeriksaan perlindungan Windows dapat dilewati.
- Penggantian ini dipicu oleh Windows Update dan memanfaatkan kondisi pembacaan ganda, saat Windows memverifikasi salinan terbaru sementara salinan
ci.dll yang rentan dimuat ke dalam memori.
- Ia juga menjelaskan cara menonaktifkan atau melewati VBS (Virtualization-Based Security).
Ringkasan GN⁺
- Artikel ini menjelaskan bagaimana kerentanan keamanan pada sistem Windows dapat dieksploitasi untuk melewati Driver Signature Enforcement dan memasang rootkit.
- Serangan semacam ini dimungkinkan dengan menyalahgunakan proses Windows Update untuk menurunkan versi komponen yang sudah ditambal.
- Hal ini menegaskan bahwa alat keamanan harus memantau prosedur downgrade secara ketat, terutama bahkan ketika tidak melintasi batas keamanan yang dianggap kritis.
- Alat keamanan lain dengan fungsi serupa yang direkomendasikan adalah solusi EDR (Endpoint Detection and Response).
1 komentar
Opini Hacker News
MS menyatakan bahwa UAC bukan batas keamanan. Pemaksaan tanda tangan driver memang fitur keamanan, tetapi dalam kasus ini mereka mengklaim bahwa tidak ada batas keamanan yang dilanggar
Pendapat pengguna yang merasa kurang ada model konseptual untuk memahami mengapa Windows rentan terhadap peretasan
Pengguna dengan hak administrator dapat melakukan tindakan sewenang-wenang pada komputer. Seorang pengguna bertanya-tanya apakah ada perbedaan halus yang membuat serangan ini lebih serius
Ada pendapat bahwa sulit dipercaya Microsoft menolak hal ini meskipun sudah ada demo. Di akun Vimeo tersebut juga ada banyak temuan keamanan lain
Dengan hak administrator, kode kernel dapat dijalankan sehingga pengguna root bisa memasang rootkit. Peneliti merilis alat bernama Windows Downdate
Di Windows dan Linux, akun lokal dengan hak biasa pada praktiknya setara dengan root. Ada pendapat tentang perbedaan antara UAC dan sudo. Ada juga pendapat bahwa akan lebih baik jika keduanya dihapus dari konfigurasi default
Kernel menegakkan aturan berbagi file tetapi tidak memeriksa izin yang saling bertentangan untuk pemetaan memori. Linux telah menghapus mandatory locking
Serangan ini sangat sederhana sampai terasa mencurigakan. Proses pembaruan ditipu agar memasang versi lama dari komponen kernel yang rentan. Ada pendapat bahwa MS pasti sudah mempertimbangkan masalah ini
Pengguna mengenang kesulitan saat Microsoft mulai mewajibkan tanda tangan driver. Pujian ditujukan kepada Alon Leviev dan SafeBreach yang menemukan kerentanan ini
Ada pendapat bahwa Windows 11 bisa dimodifikasi menjadi OS yang lebih baik, tetapi fokus sebaiknya tetap pada rootkit