Kerentanan baru di Windows memungkinkan eksekusi kode berbahaya
Kerentanan "File Immutability" muncul akibat asumsi yang salah terkait ketidakmampuan file untuk diubah oleh pengguna atau proses lain setelah dibuka tanpa izin tulis.
Sebuah kerentanan baru yang berpotensi mengancam keamanan pengguna Windows 11 telah ditemukan. Kerentanan ini memungkinkan penyerang menjalankan kode arbitrer dengan hak istimewa Kernel, membuka celah serius dalam sistem operasi tersebut. Kerentanan ini dinamakan "File Immutability" dan muncul karena kesalahan asumsi dalam desain inti Windows.
Dilansir dari Cybersecurity News (25/7), kerentanan "File Immutability" muncul akibat asumsi yang salah terkait ketidakmampuan file untuk diubah oleh pengguna atau proses lain setelah dibuka tanpa izin tulis. Hal ini dapat mengakibatkan perilaku yang tidak terdefinisi dan membuka pintu bagi penyerang untuk mengeksploitasi sistem. Komponen dan konsep yang terkait dengan kerentanan ini antara lain berbagi file Windows, manajer memori, penegakan berbagi, dan integritas kode.
Penyerang dapat memanfaatkan kerentanan ini dengan menggunakan redirector jaringan untuk memodifikasi file DLL dalam Protected Process Light (PPL) di sisi server dan mengabaikan pembatasan berbagi. Ini berarti file yang seharusnya tidak dapat diubah sebenarnya dapat dimodifikasi oleh pihak ketiga.
Penelitian terbaru dari Elastic Security mengungkapkan bahwa tanda tangan authenticode yang tertanam dalam file PE (Portable Executable) menggunakan katalog keamanan yang disimpan di direktori sistem Windows. Ketika tanda tangan ini valid, Windows memetakan file ke dalam memori kernel dan memvalidasi tanda tangan digital katalog tersebut. Namun, asumsi bahwa file tidak dapat diubah adalah salah dan menciptakan kerentanan.
Langkah-langkah serangan yang dapat dilakukan oleh penyerang mencakup: