Peneliti keamanan SafeBreach, Alon Leviev, mengungkapkan di Black Hat 2024 bahwa dua zero-day dapat dieksploitasi dalam serangan penurunan versi untuk “membuka patch” sistem Windows 10, Windows 11, dan Windows Server yang telah diperbarui sepenuhnya dan memperkenalkan kembali kerentanan lama.
Microsoft mengeluarkan peringatan pada dua zero-day yang belum ditambal (dilacak sebagai CVE-2024-38202 dan CVE-2024-21302) yang berkoordinasi dengan pembicaraan Black Hat, memberikan saran mitigasi hingga perbaikan dirilis.
Dalam serangan penurunan versi, pelaku ancaman memaksa perangkat target yang terbaru untuk kembali ke versi perangkat lunak lama, sehingga menimbulkan kembali kerentanan yang dapat dimanfaatkan untuk membahayakan sistem.
Peneliti keamanan SafeBreach Alon Leviev menemukan bahwa proses pembaruan Windows dapat dikompromikan untuk menurunkan versi komponen OS yang penting, termasuk pustaka tautan dinamis (DLL) dan Kernel NT. Meskipun semua komponen ini sekarang sudah kedaluwarsa, saat memeriksa dengan Pembaruan Windows, OS melaporkan bahwa ia telah diperbarui sepenuhnya, dengan alat pemulihan dan pemindaian tidak dapat mendeteksi masalah apa pun.
Dengan memanfaatkan kerentanan zero-day, ia juga dapat menurunkan versi Secure Kernel dan Isolated User Mode Process milik Credential Guard serta hypervisor Hyper-V untuk mengungkap kerentanan eskalasi hak istimewa sebelumnya.
“Saya menemukan beberapa cara untuk menonaktifkan keamanan berbasis virtualisasi Windows (VBS), termasuk fitur-fiturnya seperti Credential Guard dan Hypervisor-Protected Code integrity (HVCI), bahkan ketika diterapkan dengan kunci UEFI. Sepengetahuan saya, ini adalah pertama kalinya kunci UEFI VBS berhasil dilewati tanpa akses fisik,” Leviev mengungkapkan.
“Hasilnya, saya dapat membuat mesin Windows yang telah ditambal sepenuhnya menjadi rentan terhadap ribuan kerentanan sebelumnya, mengubah kerentanan yang telah diperbaiki menjadi zero-day dan membuat istilah “sepenuhnya ditambal” tidak berarti apa-apa pada mesin Windows mana pun di dunia.”
Seperti dikatakan Leviev, serangan penurunan versi ini tidak terdeteksi karena tidak dapat diblokir oleh solusi deteksi dan respons titik akhir (EDR), dan juga tidak terlihat karena Pembaruan Windows melaporkan bahwa perangkat telah diperbarui sepenuhnya (meskipun diturunkan versinya).
Tidak ada bercak setelah enam bulan
Leviev mengungkap serangan penurunan versi “Windows Downdate” miliknya enam bulan setelah melaporkan kerentanan tersebut kepada Microsoft pada bulan Februari sebagai bagian dari proses pengungkapan yang bertanggung jawab dan terkoordinasi.
Microsoft mengatakan hari ini bahwa mereka masih berupaya memperbaiki Windows Update Stack Elevation of Privilege (CVE-2024-38202) dan Peningkatan Hak Istimewa Mode Kernel Aman Windows (CVE-2024-21302) kerentanan yang digunakan oleh Leviev untuk meningkatkan hak istimewa, membuat pembaruan berbahaya, dan memperkenalkan kembali kelemahan keamanan dengan mengganti file sistem Windows dengan versi lama.
Sebagaimana dijelaskan oleh perusahaan, kerentanan peningkatan hak istimewa CVE-2024-38202 Windows Backup memungkinkan penyerang dengan hak istimewa pengguna dasar untuk “membuka patch” bug keamanan yang sebelumnya telah diatasi atau melewati fitur Virtualization Based Security (VBS). Penyerang dengan hak istimewa admin dapat memanfaatkan kelemahan peningkatan hak istimewa CVE-2024-21302 untuk mengganti file sistem Windows dengan versi yang sudah usang dan rentan.
Microsoft mengatakan saat ini pihaknya tidak mengetahui adanya upaya untuk mengeksploitasi kerentanan ini di luar kendali dan menyarankan penerapan rekomendasi yang dibagikan dalam dua nasihat keamanan yang diterbitkan hari ini untuk membantu mengurangi risiko eksploitasi hingga pembaruan keamanan dirilis.
“Saya dapat menunjukkan bagaimana mungkin membuat mesin Windows yang telah ditambal sepenuhnya menjadi rentan terhadap ribuan kerentanan sebelumnya, mengubah kerentanan yang telah diperbaiki menjadi zero-day dan membuat istilah ‘sepenuhnya ditambal’ tidak berarti apa-apa pada mesin Windows mana pun di dunia,” kata Leviev.
“Kami yakin implikasinya signifikan tidak hanya bagi Microsoft Windows, yang merupakan OS desktop yang paling banyak digunakan di dunia, tetapi juga bagi vendor OS lain yang mungkin berpotensi rentan terhadap serangan penurunan versi.”
Pembaruan 07 Agustus, 17:27 EDT: Seorang juru bicara Microsoft mengirimkan pernyataan berikut setelah berita itu diterbitkan.
Kami menghargai kerja SafeBreach dalam mengidentifikasi dan melaporkan kerentanan ini secara bertanggung jawab melalui pengungkapan kerentanan yang terkoordinasi. Kami secara aktif mengembangkan mitigasi untuk melindungi dari risiko ini sambil mengikuti proses ekstensif yang melibatkan investigasi menyeluruh, pengembangan pembaruan di semua versi yang terpengaruh, dan pengujian kompatibilitas, untuk memastikan perlindungan pelanggan yang maksimal dengan gangguan operasional yang minimal.
Microsoft juga memberi tahu BleepingComputer bahwa mereka sedang mengerjakan pembaruan yang akan mencabut berkas sistem Virtualization Based Security (VBS) yang sudah usang dan belum ditambal untuk mengurangi serangan. Namun, perlu waktu untuk menguji pembaruan ini karena banyaknya berkas yang akan terpengaruh.
