Kerentanan baru di Windows memungkinkan eksekusi kode berbahaya
Kerentanan "File Immutability" muncul akibat asumsi yang salah terkait ketidakmampuan file untuk diubah oleh pengguna atau proses lain setelah dibuka tanpa izin tulis.
Sebuah kerentanan baru yang berpotensi mengancam keamanan pengguna Windows 11 telah ditemukan. Kerentanan ini memungkinkan penyerang menjalankan kode arbitrer dengan hak istimewa Kernel, membuka celah serius dalam sistem operasi tersebut. Kerentanan ini dinamakan "File Immutability" dan muncul karena kesalahan asumsi dalam desain inti Windows.
Dilansir dari Cybersecurity News (25/7), kerentanan "File Immutability" muncul akibat asumsi yang salah terkait ketidakmampuan file untuk diubah oleh pengguna atau proses lain setelah dibuka tanpa izin tulis. Hal ini dapat mengakibatkan perilaku yang tidak terdefinisi dan membuka pintu bagi penyerang untuk mengeksploitasi sistem. Komponen dan konsep yang terkait dengan kerentanan ini antara lain berbagi file Windows, manajer memori, penegakan berbagi, dan integritas kode.
Penyerang dapat memanfaatkan kerentanan ini dengan menggunakan redirector jaringan untuk memodifikasi file DLL dalam Protected Process Light (PPL) di sisi server dan mengabaikan pembatasan berbagi. Ini berarti file yang seharusnya tidak dapat diubah sebenarnya dapat dimodifikasi oleh pihak ketiga.
Penelitian terbaru dari Elastic Security mengungkapkan bahwa tanda tangan authenticode yang tertanam dalam file PE (Portable Executable) menggunakan katalog keamanan yang disimpan di direktori sistem Windows. Ketika tanda tangan ini valid, Windows memetakan file ke dalam memori kernel dan memvalidasi tanda tangan digital katalog tersebut. Namun, asumsi bahwa file tidak dapat diubah adalah salah dan menciptakan kerentanan.
Langkah-langkah serangan yang dapat dilakukan oleh penyerang mencakup:
1. Menanam katalog keamanan di perangkat penyimpanan yang mereka kendalikan.
2. Memasang tautan simbolis ke katalog ini di direktori CatRoot agar Windows dapat menemukannya.
3. Meminta kernel untuk memuat driver kernel berbahaya yang tidak ditandatangani.
4. Memanfaatkan kelemahan ini untuk menyuntikkan kode berbahaya ke dalam sistem.
Kerentanan ini memungkinkan penyerang untuk menjalankan kode berbahaya dalam kernel, yang dapat membahayakan integritas dan keamanan sistem secara keseluruhan. Mitigasi yang dapat dilakukan meliputi:
1. Mengaktifkan hash halaman untuk mencegah modifikasi tidak sah.
2. Menghindari pembacaan ganda dari buffer yang dikendalikan penyerang.
3. Menyalin file ke buffer heap sebelum pemrosesan.
4. Mencegah paging melalui MmProbeAndLockPages atau VirtualLock.
Penemuan kerentanan "File Immutability" ini menegaskan pentingnya terus meningkatkan dan mengamankan sistem operasi dari potensi eksploitasi. Para pengguna diimbau untuk selalu memperbarui sistem mereka dan mengikuti praktik keamanan terbaik untuk melindungi data dan integritas sistem mereka.