Seorang peneliti keamanan asal Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan update alat keamanan Windows.
Kerentanan berada di dua registry key yang tidak dikonfigurasi dengan benar untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
Clément Labro, peneliti yang menemukan zero-day ini, mengatakan bahwa penyerang yang memiliki pijakan pada sistem rentan dapat memodifikasi registry key untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.
“Performance” sub-key biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya itu, sub-key ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.
Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SYSTEM.
Sementara sebagian besar peneliti keamanan melaporkan masalah keamanan yang parah seperti ini kepada Microsoft secara pribadi ketika mereka menemukannya, namun dalam kasus Labro, ini sudah terlambat.
Labro mengatakan dia menemukan zero-day setelah dia merilis pembaruan ke PrivescCheck, alat untuk memeriksa kesalahan konfigurasi umum Windows yang dapat disalahgunakan oleh malware untuk privilege escalation.
Pembaruan, yang dirilis bulan lalu, menambahkan dukungan untuk rangkaian pemeriksaan baru untuk teknik privilege escalation.
Baca Juga: “Lebih Dari 245.000 Sistem Windows Masih Rentan Terhadap BlueKeep“
Labro mengatakan dia tidak tahu pemeriksaan baru itu menyoroti metode privilege escalation baru dan belum diperbaiki sampai dia mulai menyelidiki serangkaian peringatan yang muncul pada sistem lawas seperti Windows 7, beberapa hari setelah rilis.
Pada saat itu, sudah terlambat bagi peneliti untuk melaporkan masalah tersebut ke Microsoft secara pribadi, dan peneliti memilih untuk menulis blog tentang metode baru ini di situs pribadinya.
Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi perbaikan untuk masalah ini belum dirilis.
Tidak jelas apakah Microsoft akan memperbaiki zero-day baru yang ditemukan Labro tersebut. Namun, ACROS Security telah membuat patch mikro, meskipun ini bukanlah patch resmi. Patch mikro ini bisa diinstal melalui perangkat lunak keamanan 0patch untuk mencegah adanya eksploitasi.
