Cyber Ark Temukan Kerentanan Pada Windows 10

Cyber Ark Temukan Kerentanan Pada Windows 10

Tidak hanya Windows sebelumnya, pengguna Windows 10 tampaknya harus hati-hati dan selalu mengupdate sistem operasi ini secara reguler, apalagi jika anda memiliki data penting didalamnya. Hal tersebut karena baru-baru ini sistem operasi Windows 10 telah ditemukan sebuah kerentanan yang cukup mengkhawatirkan semua pihak.




Cyber Ark, sebuah perusahaan keamanan yang mengkhususkan diri dalam keamanan telah menemukan teknik hooking yang dapat melewati perlindungan kernel Windows 10 “PatchGuard” dengan menggunakan fungsionalitas perangkat keras yang biasa ditemukan pada prosesor Intel. Teknik ini bisa digunakan untuk memasukan malware yang lebih canggih setelah komputer sudah terinfeksi.

Mereka menyebutnya GhostHook

Teknik hooking ini akan memberi kontrol penyerang atas bagaimana sebuah sistem operasi atau perangkat lunak beroperasi. Jenis perangkat lunak yang menggunakan kait sistem operasi tersebut bisa mencakup perangkat keamanan software, utilitas sistem, alat debugging, dan perangkat lunak berbahaya.

Menurut CyberArk, teknik hooking bukanlah cara untuk memanfaatkan perangkat lunak atau untuk meningkatkan hak istimewa. Ini harus dicapai melalui cara lain oleh penyerang. Rootkit diinstal pada komputer setelah malware menginfeksinya, misalnya untuk mendapatkan secara berkala.

CyberArk menamai teknik hooking yang bisa digunakan oleh aktor jahat untuk memotong proteksi kernel Microsoft PatchGuard disebut dengan  “GhostHook.” Menurut perusahaan tersebut, teknik ini memungkinkan penyerang untuk menghubungkan hampir semua kode yang berjalan di komputer.

Sumber permasalahan

Masalah ini tampaknya terletak pada Intel Processor Trace (IPT), yang merupakan perpanjangan dari arsitektur Intel dimana ini menangkap informasi tentang eksekusi perangkat lunak menggunakan perangkat keras khusus. Informasi tersebut dikumpulkan dalam paket data, yang dapat diproses oleh perangkat lunak decoder.

Paket tersebut mencakup informasi seperti: waktu, informasi arus dan informasi terkait mode program-induced (misalnya transisi status Intel TSX). Paket pertama mungkin akan mencoba mem-buffer secara internal sebelum mereka dikirim ke subsistem memori atau mekanisme output lain. Kemudian, perangkat lunak debugging akan memproses data dan merekonstruksi aliran program.

Intel PT, yang diperkenalkan pada chip Broadwell dan dikembangkan juga pada Skylake, dapat melacak perangkat lunak apapun yang berjalan di CPU, kecuali kontainer yang dilindungi SGX. Teknologi ini digunakan terutama untuk pemantauan kinerja, analisis kode, debugging, fuzzing, dan analisis dan deteksi malware.

Namun, penyerang juga bisa memanfaatkan teknologi ini untuk mengendalikan eksekusi thread. Idenya adalah membuat cabang CPU menjadi bagian kode yang berbahaya. Salah satu cara untuk melakukannya adalah dengan cara mengalokasikan buffer yang sangat kecil ke paket Intel PT. Ketika CPU kehabisan ruang penyangga, ia akan beralih ke bagian kode berbahaya yang akan menciptakan “hook”.

Karena operasi ini dijalankan di perangkat keras, di bawah sistem operasi Windows, CyberArk mengatakan bahwa akan mereka menganggap akan sangat sulit bagi Microsoft untuk mendeteksi dan mengalahkan teknik ini.

Lalu bagaimana tanggapan Microsoft tentang hal ini?

Mengutip dari situs tomshardware, Microsoft memberi penjelasan untuk hal tersebut, “Tim teknik telah menyelesaikan analisis mereka terhadap laporan ini dan menetapkan bahwa pihaknya membutuhkan penyerang yang telah menjalankan kode kernel pada sistem. Dengan demikian, ini tidak memenuhi standar untuk diperbaiki dalam update keamanan terbaru namun dapat ditangani untuk versi Windows yang akan datang. Karena itu kami sudah menutup kasus ini. “




Microsoft mungkin telah menyadari bahwa hal itu tidak dapat dengan mudah memperbaikinya dengan cara update sederhana, seperti yang juga dikatakan oleh CyberArk. Oleh karena itu, mereka mungkin telah menunda perbaikan sampai tim Microsoft menciptakan arsitektur perlindungan kernel yang lebih maju untuk versi Windows yang akan datang atau sampai Intel menemukan cara untuk menghentikan serangan jenis ini di generasi chip masa depan. Sampai saat itu, Windows 10 kemungkinan akan terus rentan terhadap rootkit yang diaktifkan oleh malware yang telah melewati Windows Defender atau perlindungan Windows lainnya.

 Baca Juga :

Loading…

Comments

VIDEO TERBARU MURDOCKCRUZ :

Indra Setia Hidayat

Saya bisa disebut sebagai tech lover, gamer, a father of 2 son, dan hal terbaik dalam hidup saya bisa jadi saat membangun sebuah Rig. Jauh didalam benak saya, ada sebuah mimpi dan harapan, ketika situs ini memiliki perkembangan yang berarti di Indonesia atau bahkan di dunia. Tapi, jalan masih panjang, dan cerita masih berada di bagian awal. Twitter : @murdockcruz Email : murdockavenger@gmail.com