Microsoft Tangani Kerentanan Zero-Day yang Dimanfaatkan Lazarus

Microsoft baru-baru ini mengumumkan pembaruan penting untuk sistem operasinya Windows, yang memperbaiki kerentanan keamanan yang telah dimanfaatkan sebagai zero-day oleh kelompok peretas terkenal, Lazarus Group, yang memiliki hubungan erat dengan Korea Utara. Kerentanan ini, yang dikenal dengan nama CVE-2024-38193 dan memiliki skor CVSS 7.8, merupakan bug eskalasi hak istimewa di Windows Ancillary Function Driver (AFD.sys) yang berhubungan dengan WinSock.

Menurut Microsoft, kerentanan ini memungkinkan penyerang yang berhasil mengeksploitasi celah keamanan ini untuk memperoleh hak istimewa SYSTEM, yang memberi mereka kendali penuh atas sistem operasi. Peringatan tentang kerentanan ini dikeluarkan oleh Microsoft minggu lalu, dan perbaikan untuk masalah ini telah diterbitkan dalam pembaruan rutin Patch Tuesday mereka, yang merupakan jadwal bulanan mereka untuk merilis perbaikan keamanan.

Penemuan dan pelaporan tentang kerentanan ini dilakukan oleh peneliti dari Gen Digital, yakni Luigino Camastra dan Milánek. Gen Digital merupakan perusahaan yang memiliki berbagai merek perangkat lunak keamanan dan utilitas terkemuka, seperti Norton, Avast, Avira, AVG, ReputationDefender, dan CCleaner. Dalam laporan mereka, Gen Digital mengungkapkan bahwa kerentanan ini memberi penyerang akses tidak sah ke area sistem yang sangat sensitif.

Menurut laporan dari Gen Digital, eksploitasi terhadap kerentanan ini pertama kali terdeteksi pada awal Juni 2024. Perusahaan tersebut menjelaskan bahwa celah keamanan ini memungkinkan penyerang untuk melewati batasan keamanan normal dan mengakses area sistem yang biasanya tidak dapat dijangkau oleh sebagian besar pengguna dan administrator. Hal ini meningkatkan risiko terhadap integritas sistem dan data yang sensitif.

Lebih lanjut, serangan yang memanfaatkan kerentanan ini ditandai dengan penggunaan rootkit bernama FudModule, yang dirancang untuk menghindari deteksi oleh sistem keamanan. Rootkit ini adalah jenis perangkat lunak berbahaya yang memberikan akses sembunyi-sembunyi dan kontrol penuh kepada penyerang, sering kali tanpa terdeteksi oleh alat keamanan tradisional. Meskipun rincian teknis dari serangan ini belum sepenuhnya terungkap, ada kemiripan antara kerentanan ini dan kerentanan eskalasi hak istimewa lainnya yang diperbaiki oleh Microsoft pada Februari 2024.

Kerentanan yang diperbaiki pada Februari 2024, yang dikenal dengan nama CVE-2024-21338 dan memiliki skor CVSS 7.8, juga melibatkan eskalasi hak istimewa kernel Windows yang terkait dengan driver AppLocker (appid.sys). Kerentanan ini memungkinkan penyerang untuk menjalankan kode arbitrer yang mengabaikan semua pemeriksaan keamanan, memungkinkan penyebaran rootkit seperti FudModule. Hal ini menunjukkan pola serangan yang berkelanjutan dan canggih dari Lazarus Group, yang dikenal karena kemampuannya dalam memanfaatkan kerentanan sistem untuk kepentingan mereka.

Perbedaan utama antara serangan ini dan serangan tradisional Bring Your Own Vulnerable Driver (BYOVD) adalah bahwa serangan ini memanfaatkan kerentanan di driver yang sudah terinstal pada sistem target, bukan membawa driver yang rentan dari luar. Serangan BYOVD tradisional melibatkan penggunaan driver yang dibawa oleh penyerang untuk melewati langkah-langkah keamanan, sedangkan serangan ini memanfaatkan kerentanan dalam driver yang sudah ada di sistem Windows, menjadikannya lebih sulit untuk dideteksi dan dicegah.

Serangan yang dilakukan oleh Lazarus Group ini juga menggarisbawahi pentingnya menjaga sistem keamanan tetap diperbarui dan memperhatikan pengumuman keamanan dari vendor perangkat lunak. Dalam laporan sebelumnya oleh perusahaan keamanan siber Avast, terungkap bahwa FudModule dikirimkan melalui trojan akses jarak jauh yang dikenal sebagai Kaolin RAT. Avast mencatat bahwa FudModule terintegrasi secara longgar dengan ekosistem malware yang digunakan oleh Lazarus Group dan bahwa kelompok ini sangat berhati-hati dalam menggunakan rootkit. Mereka hanya menyebarkannya ketika benar-benar diperlukan dan dalam kondisi yang sangat spesifik.

Mengatasi kerentanan ini adalah langkah penting untuk menjaga keamanan sistem operasi Windows dan melindungi pengguna dari potensi risiko yang bisa ditimbulkan oleh aktor negara yang terampil seperti Lazarus Group. Pembaruan yang dirilis oleh Microsoft bukan hanya memperbaiki kerentanan ini, tetapi juga menekankan pentingnya kepatuhan terhadap pembaruan keamanan dan kesadaran akan ancaman yang berkembang. Pengguna dan administrator diharapkan untuk segera menerapkan pembaruan ini untuk melindungi sistem mereka dari kemungkinan eksploitasi yang dapat membahayakan data dan keamanan mereka.