Dalam beberapa tahun terakhir, peneliti keamanan semakin menaruh perhatian besar pada serangan Local Privilege Escalation (LPE) di sistem operasi Windows. Fokus utama mereka mengarah pada dua attack surface yang sering luput dari perhatian, yaitu driver kernel dan named pipe.
Baca Juga : Microsoft Umumkan Risiko BitLocker Recovery Setelah Update Windows Terbaru
pengguna awam, dua komponen ini justru menyimpan potensi celah yang sangat berbahaya jika tidak dikelola dengan benar.
Secara sederhana, serangan privilege escalation memungkinkan penyerang meningkatkan hak akses dari user biasa menjadi level SYSTEM, yaitu level tertinggi di Windows. Jika sudah mencapai tahap ini, penyerang bisa melakukan hampir apa saja, mulai dari memodifikasi sistem, mencuri data sensitif, hingga menjalankan malware tanpa terdeteksi.
Celah Berbahaya di Balik Kepercayaan Sistem
Driver kernel menjadi salah satu target favorit dalam serangan LPE karena berada di jantung sistem operasi Windows. Driver ini berfungsi sebagai penghubung antara perangkat keras dan sistem, sehingga secara default memiliki hak akses yang sangat tinggi.
Masalah muncul ketika driver kernel tidak menerapkan validasi input yang ketat, khususnya dalam proses IOCTL (I/O Control). Banyak driver berbasis Windows Driver Model (WDM) menggunakan mode METHOD_BUFFERED, di mana I/O Manager akan mengalokasikan buffer di kernel untuk menampung data dari user mode.
Sayangnya, dalam beberapa kasus, data yang dikirim oleh user tidak divalidasi dengan baik sebelum diproses di kernel. Celah inilah yang kemudian dimanfaatkan penyerang dengan mengirimkan permintaan IOCTL berbahaya, berisi nilai pointer dan panjang data yang dimanipulasi. Akibatnya, kernel bisa salah menafsirkan data tersebut seolah-olah berada di alamat memori yang valid.
Jika kondisi ini terjadi, penyerang berpotensi mendapatkan akses baca dan tulis arbitrer ke memori kernel, sebuah skenario yang sangat berbahaya bagi keamanan sistem.
Tahapan Eksploitasi Driver Kernel
Dalam praktiknya, eksploitasi driver kernel tidak dilakukan secara acak. Ada beberapa tahapan penting yang biasanya dilakukan penyerang atau peneliti keamanan untuk menemukan celah tersebut:
-
Device Discovery
Tahap awal adalah mengidentifikasi nama device yang diekspos oleh driver dan bisa diakses dari user mode. -
IOCTL Analysis
Setelah device ditemukan, penyerang akan menganalisis rutin dispatch IOCTL menggunakan tools reverse engineering seperti IDA Pro atau Ghidra. -
Vulnerability Identification
Pada tahap ini, fokus diarahkan pada pencarian kesalahan validasi input yang memungkinkan terjadinya eksploitasi.
Jika berhasil, input dari user dapat dipetakan langsung ke fungsi kernel berisiko tinggi seperti MmMapIoSpace. Dari sini, penyerang bisa membangun primitive arbitrary read/write.
Token Theft dan Eskalasi Hak Akses
Dengan kemampuan baca dan tulis arbitrer di kernel, langkah berikutnya biasanya adalah melakukan token theft attack. Teknik ini dilakukan dengan membaca token proses SYSTEM, lalu menuliskannya ke struktur EPROCESS milik proses penyerang.
Hasil akhirnya cukup fatal: proses yang awalnya berjalan sebagai user biasa kini memiliki hak akses SYSTEM. Pada titik ini, pertahanan sistem praktis runtuh sepenuhnya.
Jalur Komunikasi yang Sering Diremehkan
Selain driver kernel, named pipe juga menjadi vektor serangan LPE yang tidak kalah berbahaya. Named pipe banyak digunakan oleh service Windows berhak akses tinggi untuk komunikasi antar proses.
Berbeda dengan driver kernel, named pipe menggunakan protokol berbasis pesan, bukan akses memori langsung. Namun, banyak aplikasi service secara implisit mempercayai data yang masuk melalui named pipe tanpa melakukan pengecekan otorisasi yang memadai.
Serangan biasanya dimulai dengan mencari named pipe milik SYSTEM yang memiliki Access Control List (ACL) terlalu longgar, misalnya memberikan hak baca dan tulis kepada grup Everyone. Setelah itu, penyerang melakukan reverse engineering terhadap protokol komunikasi pipe untuk memahami format perintah yang digunakan.
Penyalahgunaan Fungsi Administratif
Dalam beberapa kasus yang ditemukan peneliti, service Windows memproses permintaan dari named pipe tanpa verifikasi hak akses yang memadai. Hal ini memungkinkan user biasa menjalankan fungsi administratif secara tidak langsung.
Contohnya, penyerang bisa meminta service untuk memodifikasi registry di lokasi sensitif seperti HKLM, yang seharusnya hanya bisa diakses oleh administrator.
Salah satu kasus nyata melibatkan sebuah solusi antivirus komersial. Dalam kasus ini, named pipe yang tidak aman memungkinkan penyerang memanipulasi Image File Execution Options (IFEO), sehingga mereka bisa menjalankan kode arbitrer dengan konteks SYSTEM.
Langkah Mitigasi yang Perlu Dilakukan
Untuk mengurangi risiko serangan ini, tim keamanan disarankan melakukan audit menyeluruh terhadap driver kernel pihak ketiga, terutama yang memberikan izin IOCTL berlebihan. Semua input dari user mode wajib divalidasi sebelum diproses di kernel.
Di sisi named pipe, implementasi harus menerapkan pengecekan izin secara eksplisit untuk setiap operasi sensitif. Validasi protokol juga perlu diperketat agar service tidak memproses perintah di luar skenario yang diizinkan.
Riset dari Hackyboiz juga menekankan pentingnya melakukan inventarisasi named pipe yang terekspos di sistem Windows dan menonaktifkan pipe dengan ACL yang terlalu permisif.
Baca Juga : Microsoft Hadirkan BitLocker dengan Akselerasi Hardware, Windows Jadi Lebih Aman
Seiring meningkatnya kompleksitas serangan di lingkungan Windows, pemahaman terhadap vektor privilege escalation melalui driver kernel dan named pipe menjadi semakin penting. Celah kecil dalam validasi input atau kontrol akses bisa berdampak besar terhadap keamanan sistem secara keseluruhan.
Bagi organisasi maupun profesional IT, mengenali dan menutup celah ini adalah langkah krusial untuk melindungi sistem enterprise dari serangan LPE yang semakin canggih dan terarah.
