Teknik serangan baru dapat digunakan untuk melewati Driver Signature Enforcement (DSE) Microsoft pada sistem Windows yang telah dipatch sepenuhnya, sehingga menyebabkan serangan downgrade sistem operasi (OS).
“Bypass ini memungkinkan memuat driver kernel yang tidak ditandatangani, memungkinkan penyerang untuk menyebarkan rootkit khusus yang dapat menetralisir kontrol keamanan, menyembunyikan proses dan aktivitas jaringan, menjaga kerahasiaan, dan banyak lagi,” kata peneliti SafeBreach, Alon Leviev, dalam laporan yang dibagikan kepada The Hacker News.
Temuan terbaru ini didasarkan pada analisis sebelumnya yang mengungkap dua kelemahan eskalasi hak istimewa dalam proses pembaruan Windows (CVE-2024-21302 dan CVE-2024-38202) yang dapat digunakan untuk mengembalikan perangkat lunak Windows terbaru ke versi yang lebih lama. mengandung kerentanan keamanan yang belum ditambal.
Eksploitasi tersebut diwujudkan dalam bentuk alat yang dijuluki Windows Downdate, yang menurut Leviev, dapat digunakan untuk membajak proses Pembaruan Windows untuk membuat penurunan versi yang sepenuhnya tidak terdeteksi, terus-menerus, dan tidak dapat diubah pada komponen OS penting.
Hal ini dapat menimbulkan konsekuensi yang parah, karena menawarkan penyerang alternatif yang lebih baik dibandingkan serangan Bring Your Own Vulnerable Driver (BYOVD), yang memungkinkan mereka menurunkan versi modul pihak pertama, termasuk kernel OS itu sendiri.
Microsoft kemudian menangani CVE-2024-21302 dan CVE-2024-38202 masing-masing pada 13 Agustus dan 8 Oktober 2024, sebagai bagian dari pembaruan Patch Tuesday.
Pendekatan terbaru yang dirancang oleh Leviev memanfaatkan alat downgrade untuk menurunkan versi patch bypass DSE “ItsNotASecurityBoundary” pada sistem Windows 11 yang diperbarui sepenuhnya.
ItsNotASecurityBoundary pertama kali didokumentasikan oleh peneliti Elastic Security Labs Gabriel Landau pada Juli 2024 bersama PPLFault, menggambarkannya sebagai kelas bug baru dengan nama kode False File Immutability. Microsoft memperbaikinya awal Mei ini.
Singkatnya, ia mengeksploitasi kondisi balapan untuk mengganti file katalog keamanan terverifikasi dengan versi berbahaya yang berisi tanda tangan kode autentik untuk driver kernel yang tidak ditandatangani, setelah itu penyerang meminta kernel untuk memuat driver.
Mekanisme integritas kode Microsoft, yang digunakan untuk mengautentikasi file menggunakan pustaka mode kernel ci.dll, kemudian mem-parsing katalog keamanan jahat untuk memvalidasi tanda tangan driver dan memuatnya, yang secara efektif memberikan penyerang kemampuan untuk mengeksekusi kode arbitrer di inti.
Bypass DSE dicapai dengan memanfaatkan alat downgrade untuk mengganti perpustakaan “ci.dll” dengan versi yang lebih lama (10.0.22621.1376.) untuk membatalkan patch yang diterapkan oleh Microsoft.
Meskipun demikian, ada penghalang keamanan yang dapat mencegah keberhasilan bypass tersebut. Jika Keamanan Berbasis Virtualisasi (VBS) berjalan pada host yang ditargetkan, pemindaian katalog dilakukan oleh DLL Integritas Kode Kernel Aman (skci.dll), bukan ci.dll.
Namun, perlu dicatat bahwa konfigurasi defaultnya adalah VBS tanpa Kunci Unified Extensible Firmware Interface (UEFI). Akibatnya, penyerang dapat mematikannya dengan merusak kunci registri EnableVirtualizationBasedSecurity dan RequirePlatformSecurityFeatures.
Bahkan jika kunci UEFI diaktifkan, penyerang dapat menonaktifkan VBS dengan mengganti salah satu file inti dengan file inti yang tidak valid. Pada akhirnya, langkah-langkah eksploitasi yang harus diikuti penyerang adalah sebagai berikut –
- Mematikan VBS di Windows Registry, atau membatalkan validasi SecureKernel.exe
- Menurunkan versi ci.dll ke versi yang belum ditambal
- Menghidupkan ulang mesin
- Memanfaatkan bypass DSE ItsNotASecurityBoundary untuk mencapai eksekusi kode tingkat kernel
Satu-satunya contoh kegagalannya adalah ketika VBS diaktifkan dengan kunci UEFI dan tanda “Wajib”, yang terakhir menyebabkan kegagalan boot ketika file VBS rusak. Mode Wajib diaktifkan secara manual melalui perubahan registri.
“Pengaturan Wajib mencegah pemuat OS untuk terus melakukan booting jika Hypervisor, Kernel Aman, atau salah satu modul dependennya gagal dimuat,” catat Microsoft dalam dokumentasinya. “Perhatian khusus harus dilakukan sebelum mengaktifkan mode ini, karena, jika terjadi kegagalan modul virtualisasi, sistem akan menolak untuk melakukan booting.”
Oleh karena itu, untuk sepenuhnya memitigasi serangan tersebut, penting agar VBS diaktifkan dengan kunci UEFI dan tanda Mandatori yang disetel. Dalam mode lainnya, ini memungkinkan musuh mematikan fitur keamanan, melakukan penurunan versi DDL, dan mencapai bypass DSE.
“Pengambilan yang utama […] adalah bahwa solusi keamanan harus mencoba mendeteksi dan mencegah prosedur penurunan versi bahkan untuk komponen yang tidak melewati batas keamanan yang ditentukan,” kata Leviev kepada The Hacker News.
