Kerentanan Windows 10 dan 11: CVE-2024-6768 Terbongkar

Kurang dari sebulan setelah permasalahan terkait pembaruan CrowdStrike yang menyebabkan jutaan mesin Windows mengalami layar biru kematian, kini terungkap ancaman layar biru baru. Pada tanggal 12 Agustus, perusahaan perangkat lunak keamanan siber Fortra mengungkapkan detail mengenai kerentanan baru pada Windows yang berpotensi menyebabkan layar biru kematian. Menurut laporan tersebut, semua versi Windows 10 dan Windows 11 terpengaruh oleh kerentanan ini, bahkan jika semua pembaruan keamanan terbaru telah diinstal.

Kerentanan ini, yang dikenal sebagai CVE-2024-6768, berhubungan dengan sistem file log driver Windows. Ketika sistem menghadapi validasi yang tidak tepat dari jumlah yang ditentukan dalam data input, kerentanan ini dapat memicu fungsi yang dikenal sebagai KeBugCheckEx, yang pada gilirannya menyebabkan layar biru kematian yang sangat dikenal di kalangan pengguna Windows. Meskipun muatan utama dari eksploitasi ini cukup serius dan tidak memerlukan interaksi pengguna, kerentanan ini dinilai sebagai risiko sedang karena vektor serangannya bersifat lokal dan bukan jarak jauh.

Semua versi Windows 10 dan Windows 11, serta Windows Server 2022, terpengaruh oleh CVE-2024-6768, terlepas dari pembaruan keamanan yang telah diterapkan. Peneliti Fortra menunjukkan bahwa pengguna tanpa hak istimewa dapat menyebabkan kerusakan sistem dengan file yang dibuat khusus. Ricardo Narvaja, penulis utama eksploitasi di Fortra, menjelaskan bahwa masalah yang mungkin timbul termasuk ketidakstabilan sistem dan penolakan layanan. Pengguna dengan niat jahat dapat mengeksploitasi kerentanan ini untuk menyebabkan kerusakan berulang pada sistem yang terkena dampak, mengganggu operasi, dan berpotensi mengakibatkan kehilangan data.

Garis waktu penelitian mengenai kerentanan ini menunjukkan bahwa Microsoft pertama kali diberitahu mengenai masalah ini pada bulan Desember 2023. Namun, pada Februari 2024, perusahaan tersebut menjadi tidak responsif dan mengklaim tidak dapat mereproduksi kerentanan tersebut. Padahal, para peneliti Fortra berhasil mereproduksi hasil tersebut dalam sebuah bukti konsep di berbagai sistem virtual maupun fisik. Karena sifat kerentanannya yang kritis, tidak ada solusi atau mitigasi yang berhasil diidentifikasi oleh peneliti, dan Fortra tidak berharap Microsoft akan segera merilis perbaikan. Laporan kerentanan ini diterbitkan dengan harapan Microsoft akan melihat seberapa mudahnya kerentanan ini dieksploitasi dan melakukan eksplorasi perbaikan di masa depan.

Timeline dari penelitian CVE-2024-6768 adalah sebagai berikut:

• 20 Desember 2023: Dilaporkan ke Microsoft dengan bukti konsep eksploitasi.
• 8 Januari 2024: Microsoft menyatakan bahwa insinyurnya tidak dapat mereproduksi kerentanan tersebut.
• 12 Januari 2024: Fortra menyediakan tangkapan layar yang menunjukkan versi Windows yang menjalankan pembaruan Patch Selasa Januari dan dump memori dari kerusakan tersebut.
• 21 Februari 2024: Microsoft menanggapi bahwa mereka masih belum dapat mereproduksi masalah ini dan menutup kasus tersebut.
• 28 Februari 2024: Fortra berhasil mereproduksi masalah ini lagi dengan pembaruan Patch Tuesday Februari dan memberikan bukti tambahan termasuk video kondisi kerusakan.
• 19 Juni 2024: Fortra menginformasikan bahwa mereka akan mengejar CVE dan mempublikasikan penelitian.
• 16 Juli 2024: Fortra mengumumkan bahwa mereka telah memesan CVE-2024-6768 dan akan segera mempublikasikannya.
• 8 Agustus 2024: PoC berhasil direproduksi pada pembaruan terbaru (Juli Patch Tuesday) dari Windows 11 dan Server 2022, dengan tangkapan layar yang dibagikan kepada media.
• 12 Agustus 2024: Tanggal publikasi CVE yang direncanakan.

Implikasi dari CVE-2024-6768 bagi pengguna Windows cukup signifikan. Menurut Tyler Reguly, direktur asosiasi penelitian dan pengembangan keamanan di Fortra, kemungkinan kerentanan ini akan dieksploitasi di lingkungan nyata tergolong kecil karena kasus penggunaan dan dampaknya yang agak terbatas. Namun, tetap ada risiko bahwa pengguna dengan hak istimewa rendah dapat memicu layar biru kematian tanpa peringatan, bahkan jika beberapa pengguna aktif pada saat itu. Reguly menambahkan bahwa kerentanan ini mungkin akan digunakan oleh pihak-pihak dengan niat jahat untuk melumpuhkan server multi-pengguna atau penyerang yang ingin mem-boot ulang sistem tanpa hak istimewa tinggi atau log aktivitas.

Bagi rata-rata pengguna Windows, risiko ini mungkin tidak terlalu mengkhawatirkan. Namun, organisasi harus memperhatikan dan mungkin merasa cemas tentang lambatnya respons Microsoft terhadap kerentanan ini. Reguly berharap bahwa Microsoft akan melihat laporan ini dan memutuskan untuk merilis pembaruan untuk mengatasi kerentanan tersebut. Microsoft belum sepenuhnya lepas dari masalah layar biru kematian, termasuk pembaruan CrowdStrike yang mempengaruhi pengguna meskipun bukan kesalahan langsung dari Redmond. Selain itu, ada juga masalah layar biru lainnya yang disebabkan oleh pembaruan keamanan Juli 2024 yang menyebabkan perangkat Windows mungkin melakukan booting ke pemulihan BitLocker dan berdampak pada pengguna yang mengaktifkan enkripsi.