Sebuah teknik serangan baru berhasil melewati Driver Signature Enforcement (DSE) Microsoft pada sistem Windows yang sudah ditambal sepenuhnya, sehingga memungkinkan terjadinya serangan penurunan versi sistem operasi (OS). Serangan ini memfasilitasi pemuatan driver kernel yang tidak ditandatangani, memungkinkan penyerang untuk menyebarkan rootkit yang dapat menonaktifkan kontrol keamanan, menyembunyikan proses dan aktivitas jaringan, serta menjaga kerahasiaan. Menurut peneliti SafeBreach, Alon Leviev, teknik ini memanfaatkan alat bernama Windows Downdate untuk membajak proses Pembaruan Windows dan melakukan penurunan versi pada komponen OS penting secara tidak terdeteksi, permanen, dan tak dapat dibatalkan. Temuan ini didasarkan pada dua kelemahan dalam peningkatan hak istimewa pada proses pembaruan Windows (CVE-2024-21302 dan CVE-2024-38202), yang dapat dimanfaatkan untuk menurunkan versi perangkat lunak Windows ke versi yang masih mengandung kerentanan. Microsoft telah menangani kedua kelemahan ini pada Patch Tuesday masing-masing pada tanggal 13 Agustus dan 8 Oktober 2024.
Teknik terbaru ini menggunakan alat Windows Downdate untuk mengesampingkan bypass DSE “ItsNotASecurityBoundary” pada Windows 11 yang sudah diperbarui. Serangan ini memanfaatkan kondisi balapan untuk menggantikan berkas katalog keamanan dengan versi berbahaya yang memuat tanda tangan untuk driver kernel tak bertanda. Mekanisme integritas kode Microsoft, yang menggunakan pustaka ci.dll, memvalidasi berkas ini, yang pada akhirnya memungkinkan penyerang menjalankan kode arbitrer dalam kernel. Namun, jika Virtualization-Based Security (VBS) aktif, pemindaian dilakukan oleh skci.dll alih-alih ci.dll. Meski demikian, konfigurasi default memungkinkan penyerang untuk menonaktifkan VBS dengan memodifikasi kunci registry. Bahkan ketika UEFI lock diaktifkan, penyerang masih dapat menonaktifkan VBS dengan mengganti berkas inti dengan versi yang tidak valid.
Langkah eksploitasi serangan ini meliputi mematikan VBS melalui registry, menurunkan versi ci.dll ke versi tidak terlindungi, merestart sistem, dan memanfaatkan bypass DSE untuk menjalankan kode di tingkat kernel. Serangan ini hanya gagal ketika VBS diaktifkan dengan UEFI lock dan bendera “Mandatory” yang menyebabkan boot gagal jika berkas VBS rusak. Mode Mandatory, yang harus diaktifkan secara manual, mencegah sistem untuk melakukan boot jika salah satu modul virtualisasi gagal dimuat. Microsoft menyarankan bahwa untuk mencegah serangan ini, VBS sebaiknya diaktifkan dengan UEFI lock dan bendera Mandatory. SafeBreach merekomendasikan agar solusi keamanan harus mampu mendeteksi dan mencegah prosedur penurunan versi pada komponen yang rentan.
Microsoft mengonfirmasi sedang mengembangkan pembaruan keamanan untuk mencabut berkas sistem VBS yang rentan guna meminimalkan risiko. Proses ini memerlukan pengujian ketat untuk memastikan perlindungan tanpa mengganggu integrasi sistem. Microsoft juga menyatakan apresiasi terhadap upaya SafeBreach dalam melaporkan kerentanan ini secara bertanggung jawab dan tengah mengembangkan mitigasi menyeluruh untuk melindungi pengguna dengan dampak operasional minimal.
Sumber : https://thehackernews.com/2024/10/researchers-uncover-os-downgrade.html
Sumber : https://thehackernews.com/2024/10/researchers-uncover-os-downgrade.html