Penelitian baru yang disajikan di konferensi keamanan Black Hat di Las Vegas hari ini menunjukkan bahwa kerentanan dalam Windows Update bisa dieksploitasi untuk menurunkan Windows ke versi lama, mengungkap sejumlah kerentanan historis yang kemudian dapat dieksploitasi untuk mendapatkan kontrol penuh atas sistem. Microsoft mengatakan bahwa mereka sedang bekerja pada proses kompleks untuk memperbaiki masalah ini, yang diberi nama “Downdate.”
Alon Leviev, peneliti SafeBreach Labs yang menemukan kelemahan ini, mengatakan bahwa ia mulai mencari metode serangan penurunan setelah melihat bahwa kampanye peretasan yang mengejutkan dari tahun sebelumnya menggunakan jenis malware (dikenal sebagai “BlackLotus UEFI bootkit”) yang bergantung pada penurunan manajer boot Windows ke versi lama dan rentan. Setelah menyelidiki alur Windows Update, Leviev menemukan cara untuk menurunkan Windows secara strategis – baik seluruh sistem operasi maupun komponen yang dipilih secara khusus. Dari situ, ia mengembangkan serangan konsep yang menggunakan akses ini untuk menonaktifkan perlindungan Windows yang dikenal sebagai Virtualization-Based Security (VBS) dan pada akhirnya menargetkan kode yang sangat berwenang yang berjalan di “kernel” inti komputer.
“Saya menemukan eksploitasi penurunan yang sepenuhnya tidak terdeteksi karena dilakukan dengan menggunakan Windows Update itu sendiri,” yang dipercayai oleh sistem, kata Leviev kepada WIRED sebelum presentasi konferensinya. “Dalam hal ketidakterlihatan, saya tidak menghapus pembaruan apa pun – saya pada dasarnya memperbarui sistem meskipun di balik layar sistem telah diturunkan. Jadi sistem tidak menyadari adanya penurunan dan masih terlihat terbaru.”
Kemampuan penurunan Leviev berasal dari kelemahan dalam komponen proses Windows Update. Untuk melakukan pembaruan, PC Anda menempatkan permintaan pembaruan yang sebenarnya ke dalam folder pembaruan khusus. Kemudian folder ini disajikan ke server pembaruan Microsoft, yang memeriksa dan mengkonfirmasi integritasnya. Selanjutnya, server membuat folder pembaruan tambahan untuk Anda yang hanya dapat dikontrol olehnya, di mana ia meletakkan dan menyelesaikan pembaruan dan juga menyimpan daftar tindakan – yang disebut “pending.xml” – yang mencakup langkah-langkah rencana pembaruan, seperti file yang akan diperbarui dan di mana kode baru akan disimpan di komputer Anda. Ketika Anda me-restart PC Anda, itu mengambil tindakan dari daftar dan memperbarui perangkat lunak.
Ide dari ini adalah bahwa meskipun komputer Anda, termasuk folder pembaruan Anda, dikompromikan, penjahat tidak dapat meretas proses pembaruan karena bagian pentingnya terjadi di folder pembaruan yang dikontrol oleh server. Leviev memeriksa dengan cermat berbagai file dalam folder pembaruan pengguna dan folder pembaruan server, dan akhirnya ia menemukan bahwa meskipun ia tidak dapat memodifikasi daftar tindakan dalam folder pembaruan server secara langsung, salah satu kunci yang mengontrolnya – yang disebut “PoqexecCmdline” – tidak dikunci. Ini memberikan Leviev cara untuk memanipulasi daftar tindakan, dan dengan itu seluruh proses pembaruan, tanpa sistem menyadari bahwa ada yang salah.
Dengan kontrol ini, Leviev kemudian menemukan strategi untuk menurunkan beberapa komponen kunci Windows, termasuk driver, yang berkoordinasi dengan perangkat keras; pustaka tautan dinamis, yang berisi program sistem dan data; dan, yang paling penting, kernel NT, yang berisi instruksi inti paling untuk menjalankan komputer. Semua ini bisa diturunkan ke versi lama yang mengandung kerentanan yang diketahui dan diperbaiki. Dan Leviev bahkan memperluas jangkauannya dari sana, untuk menemukan strategi untuk menurunkan komponen keamanan Windows termasuk Windows Secure Kernel; komponen kata sandi dan penyimpanan Windows Credential Guard; hypervisor, yang membuat dan mengawasi mesin virtual pada sistem; dan VBS, mekanisme keamanan virtualisasi Windows.
Teknik ini tidak termasuk cara untuk pertama kali mendapatkan akses jarak jauh ke perangkat korban, tetapi bagi penyerang yang sudah memiliki akses awal, itu dapat memungkinkan serangan yang sebenarnya, karena Windows Update adalah mekanisme yang sangat dipercayai dan dapat memperkenalkan kembali berbagai kerentanan berbahaya yang telah diperbaiki oleh Microsoft selama bertahun-tahun. Microsoft mengatakan bahwa mereka belum melihat upaya untuk mengeksploitasi teknik ini.
“Kami sedang mengembangkan mitigasi untuk melindungi dari risiko ini sambil mengikuti proses ekstensif yang melibatkan penyelidikan menyeluruh, pengembangan pembaruan di semua versi yang terpengaruh, dan pengujian kompatibilitas, untuk memastikan perlindungan pelanggan yang maksimal dengan gangguan operasional yang minimal,” kata juru bicara Microsoft kepada WIRED dalam sebuah pernyataan.
Bagian dari perbaikan perusahaan melibatkan mencabut file sistem VBS yang rentan, yang harus dilakukan dengan hati-hati dan bertahap, karena itu bisa menyebabkan masalah integrasi atau memperkenalkan masalah lain yang tidak terkait yang sebelumnya telah diatasi oleh file sistem yang sama.
Leviev menekankan bahwa serangan penurunan merupakan ancaman penting bagi komunitas pengembang untuk dipertimbangkan karena peretas terus mencari jalan masuk ke sistem target yang licin dan sulit dideteksi.