Pakar Ungkap Kelemahan di Windows Smart App Control & SmartScreen

Peneliti keamanan siber telah menemukan kelemahan desain signifikan dalam dua fitur keamanan milik Microsoft: Windows Smart App Control (SAC) dan SmartScreen. Temuan ini menunjukkan bahwa pelaku ancaman mungkin dapat mengakses lingkungan target tanpa memperlihatkan peringatan keamanan, menyoroti potensi risiko yang ada pada kedua fitur ini.

Smart App Control (SAC) adalah fitur keamanan berbasis cloud yang diperkenalkan oleh Microsoft di Windows 11. Fitur ini dirancang untuk memblokir aplikasi berbahaya, tidak terpercaya, dan yang tidak diinginkan dari dijalankan di sistem pengguna. Ketika SAC tidak dapat membuat prediksi mengenai suatu aplikasi, sistem ini memeriksa apakah aplikasi tersebut memiliki tanda tangan digital yang valid sebagai syarat untuk diizinkan berjalan.

Sementara itu, SmartScreen adalah fitur keamanan yang dirilis bersamaan dengan Windows 10. Fitur ini bertugas untuk menilai apakah sebuah situs web atau aplikasi yang diunduh berpotensi berbahaya. SmartScreen menggunakan pendekatan berbasis reputasi untuk melindungi URL dan aplikasi, yang meliputi pemeriksaan reputasi untuk file yang diunduh dan tanda tangan digital yang digunakan untuk menandatangani file. Jika URL, file, aplikasi, atau sertifikat memiliki reputasi yang sudah terbentuk, pengguna tidak akan melihat peringatan. Sebaliknya, jika tidak ada reputasi, item tersebut akan dianggap berisiko lebih tinggi dan memperlihatkan peringatan kepada pengguna.

Penting untuk dicatat bahwa ketika Smart App Control diaktifkan, fitur ini menggantikan dan menonaktifkan SmartScreen Defender. Hal ini menimbulkan pertanyaan mengenai efektivitas kedua fitur tersebut dalam menjaga keamanan sistem.

Menurut laporan Elastic Security Labs yang dibagikan dengan The Hacker News, "Smart App Control dan SmartScreen memiliki sejumlah kelemahan desain mendasar yang dapat memungkinkan akses awal tanpa peringatan keamanan dan interaksi pengguna yang minimal." Kelemahan ini menunjukkan bahwa meskipun kedua fitur ini dirancang untuk melindungi sistem, mereka mungkin tidak cukup efektif dalam menghadapi teknik-teknik bypass yang digunakan oleh pelaku ancaman.

Salah satu metode yang ditemukan untuk menghindari perlindungan ini adalah dengan menandatangani aplikasi menggunakan sertifikat Extended Validation (EV) yang sah. Teknik ini telah dieksploitasi oleh pelaku ancaman untuk menyebarkan malware, seperti yang terlihat dalam kasus HotPage baru-baru ini. Sertifikat EV adalah bentuk sertifikat digital yang memberikan jaminan tambahan mengenai identitas pemiliknya, namun jika digunakan secara tidak benar, dapat mempermudah pelaku ancaman untuk melewati perlindungan keamanan.

Selain itu, terdapat beberapa teknik lain yang dapat digunakan untuk menghindari deteksi oleh SAC dan SmartScreen, antara lain:

• Reputasi Hijacking: Metode ini melibatkan identifikasi dan penggunaan kembali aplikasi dengan reputasi baik untuk menghindari sistem perlindungan. Contohnya termasuk aplikasi seperti JamPlus atau interpreter AutoHotkey yang dikenal, yang dapat digunakan untuk mengelabui sistem keamanan.
• Reputasi Seeding: Dalam metode ini, pelaku ancaman menggunakan biner yang tampaknya tidak berbahaya tetapi dikendalikan oleh mereka untuk memicu perilaku berbahaya akibat kerentanan dalam aplikasi atau setelah waktu tertentu.
• Reputasi Tampering: Teknik ini melibatkan perubahan bagian tertentu dari biner yang sah, seperti kalkulator, untuk menyuntikkan shellcode tanpa mengubah reputasinya secara keseluruhan.
• LNK Stomping: Teknik ini mengeksploitasi bug dalam penanganan file shortcut (LNK) oleh Windows untuk menghapus tag mark-of-the-web (MotW) dan menghindari perlindungan SAC. Dengan memodifikasi struktur internal file LNK secara non-standar, pelaku ancaman dapat menghilangkan label MotW sebelum pemeriksaan keamanan dilakukan.

Para peneliti menekankan bahwa sistem perlindungan berbasis reputasi, meskipun kuat dalam memblokir malware komoditas, memiliki kelemahan yang dapat dimanfaatkan jika tidak diperhatikan dengan seksama. "Perlindungan berbasis reputasi adalah lapisan yang kuat untuk memblokir malware komoditas," jelas perusahaan tersebut. "Namun, seperti teknik perlindungan lainnya, ia memiliki kelemahan yang dapat dihindari dengan sedikit kehati-hatian. Tim keamanan harus memeriksa unduhan dengan cermat dalam tumpukan deteksi mereka dan tidak hanya mengandalkan fitur keamanan bawaan OS untuk perlindungan di area ini."

Penemuan ini menunjukkan perlunya evaluasi dan penguatan lebih lanjut pada fitur-fitur keamanan ini untuk memastikan bahwa mereka dapat memberikan perlindungan yang efektif terhadap ancaman yang semakin canggih.