Perbaikan Bug Zero Day Windows Installer

Bug Zero Day Windows 10 Kembali Dapatkan Perbaikan, Kali Ini Untuk Windows Installer

NESABAMEDIA.COMSebuah celah kerentanan bug Zero Day yang ada di komponen Windows Installer, yang telah beberapa kali coba diperbaiki oleh Microsoft dan tanpa hasil, kini kembali mendapatkan pembaruan kecil. Pembaruan tersebut akan mencegah para peretas yang memanfaatkan bug Zero Day untuk mendapatkan akses ke sistem yang telah ditembus. 

Isu ini berdampak pada Windows 7 sampai dengan Windows 10. Usaha terakhir Microsoft untuk mengatasi masalah CVE-2020-16902 ini diketahui dilakukan pada bulan Oktober silam. Sebuah bypass, lengkap dengan Proof-of-Concept (PoC), muncul pada akhir Desember kemarin. 

Saat melakukan pemasangan paket MSI, Windows Installer akan membuat sebuah skrip rollback melalui msiexec.exe untuk mengembalikan perubahan apapun jika terjadi kesalahan selama proses pemasangan. 

Seorang peretas dengan hak akses lokal bisa menjalankan file exe dengan memanfaatkan izin pada sistem. Mereka kemudian bisa mengganti skrip rollback itu dengan file registry yang telah mereka modifikasi untuk memuat kode jahat mereka. 

Celah kerentanan itu muncul di radar Microsoft dan mendapatkan perbaikan pada bulan April 2019 (CVE-2019-0841). Peneliti celah kerentanan Sandbox Escaper menemukan sebuah bypass perbaikan itu pada akhir Mei, dan telah mempublikasikan beberapa detail teknisnya. 

Cerita kemudian berulang setidaknya selama empat kali, dan Windows Installer masih saja bisa dieksploitasi untuk memberikan hak akses tertinggi pada sebuah perangkat yang telah diretas, dengan memanfaatkan bug Zero Day. Bypass paling baru ini telah berhasil ditemukan solusinya oleh peneliti keamanan Abdelhamid Naceri. 

Sementara itu, CEO dari ACROS Security Mitja Kolsek menjelaskan bagaimana PoC milik Naceri itu bekerja. Metodenya adalah dengan memanfaatkan skrip rollback yang mengubah nilai pada registry berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath to c:\Windows\temp\asmae.exe

Hasilnya, Fax Service akan menggunakan file asmae.exe yang telah disusupkan oleh peretas saat layanan itu dijalankan. Layanan ini yang dimanfaatkan oleh peretas karena semua pengguna dengan hak akses apapun memiliki izin untuk menjalankan, dan hal itu berjalan di Local System. 

Hingga Microsoft berhasil menemukan perbaikan permanen, untuk saat ini yang bisa dilakukan adalah dengan menggunakan perbaikan sementara yang telah disediakan di platform oPatch. Perbaikan sementara itu berupa sebuah instruksi tunggal yang tidak membutuhkan restart perangkat. Berikut video yang mendemonstrasikan perbaikan sementara itu:

Leave a Reply

Send this to a friend