Telset.id – Mulai 24 Juni 2026, tiga sertifikat digital yang menjadi fondasi keamanan Secure Boot akan kedaluwarsa, berpotensi membuka celah bagi serangan bootkit berbahaya pada jutaan perangkat Windows dan Linux di seluruh dunia.
Sertifikat bertanda tangan Microsoft ini merupakan pilar utama dari Secure Boot, sebuah rantai kepercayaan yang dirancang untuk memverifikasi setiap firmware dan perangkat lunak yang dimuat saat sistem melakukan booting. Secure Boot memeriksa tanda tangan digital dari semua firmware yang dimuat selama proses startup untuk memastikan bahwa firmware tersebut berasal dari penyedia tepercaya, seperti pabrikan motherboard. Sistem ini diciptakan untuk menggagalkan UEFI bootkit, sebuah bentuk malware yang memodifikasi Unified Extensible Firmware Interface (UEFI), penerus dari BIOS yang memulai urutan boot awal.
Karena bootkit dimuat sebelum sistem operasi dan sebagian besar kode lainnya, mereka sangat sulit dideteksi. Setelah terinstal, bootkit biasanya memuat malware ke dalam sistem operasi yang mencuri kredensial, membuka pintu belakang sistem, atau melakukan tindakan jahat lainnya. Bahkan ketika sistem operasi telah dibersihkan, bootkit dapat menginfeksi ulang sistem dan bertahan meskipun sistem operasi diinstal ulang.
Sejarah Panjang Ancaman Bootkit
Asal-usul bootkit dapat ditelusuri kembali ke awal 1980-an dengan diciptakannya beberapa malware yang menargetkan mesin Apple II selama proses boot. Malware ini menyebar melalui disket yang seharusnya berisi game bajakan. Bootkit Windows mulai mendapat perhatian pada awal 2000-an sebagai proof of concept yang dikembangkan oleh para peneliti keamanan ofensif. BootRoot, sebuah bootkit yang didemonstrasikan di konferensi keamanan Black Hat 2005, kemungkinan merupakan contoh pertama dari jenis ini. Malware tersebut menginfeksi Network Driver Interface, yang menyederhanakan komunikasi antara driver protokol jaringan yang memungkinkan layanan seperti driver adaptor jaringan TCP/IP.
Pada tahun-tahun berikutnya, PoC serupa termasuk Vbootkit, Stoned Bootkit, dan Mebroot. Pada 2012, bentuk baru bootkit didemonstrasikan. Alih-alih menargetkan mesin melalui BIOS atau master boot record, bootkit ini menyerang sistem Mac OS X dengan menginfeksi EFI, sebuah paket firmware yang memulai proses boot. Bootkit kedua yang sangat primitif menargetkan mesin Windows 8 dengan menginfeksi UEFI bootkit, pendahulu dari UEFI. Sekitar tahun 2013, seorang peneliti mendemonstrasikan UEFI bootkit yang lebih canggih untuk Windows yang diberi nama Dreamboat.
Kasus pertama dari serangan dunia nyata yang menargetkan UEFI terjadi pada 2018 dengan ditemukannya malware yang dijuluki LoJax. Versi yang digunakan kembali dari perangkat lunak anti-pencurian yang sah bernama LoJack, malware ini diciptakan oleh kelompok peretas yang didukung Kremlin yang dilacak dengan nama-nama seperti Sednit, Fancy Bear, dan APT 28. Malware tersebut diinstal dari jarak jauh menggunakan alat malware yang dapat membaca dan menimpa bagian dari memori flash firmware UEFI.
Pada tahun 2020, para peneliti menemukan kasus kedua dari malware dunia nyata yang menyerang UEFI. Setiap kali perangkat yang terinfeksi di-reboot, UEFI-nya memeriksa apakah file berbahaya ada di folder startup Windows dan, jika tidak, menginstalnya. Peneliti dari Kaspersky, penyedia keamanan yang menemukan malware tersebut, menamainya “MosaicRegressor.” Sejak itu, segelintir UEFI bootkit baru telah muncul ke permukaan, termasuk ESpecter, FinSpy, dan MoonBounce.
Kelahiran Secure Boot dan Kerentanan LogoFail
Sebagai respons terhadap ancaman UEFI bootkit yang semakin mengerikan, Microsoft bekerja sama dengan produsen perangkat untuk mengembangkan Secure Boot, sebuah standar industri yang menggunakan tanda tangan kriptografi untuk memastikan bahwa setiap firmware yang dimuat selama startup dipercaya oleh pabrikan komputer. Secure Boot dirancang untuk menciptakan rantai kepercayaan yang mencegah penyerang mengganti firmware boot yang dimaksud dengan firmware berbahaya. Jika satu tautan dalam rantai startup tidak dikenali, Secure Boot akan mencegah perangkat untuk menyala.
Kemudian pada tahun 2023, para peneliti menemukan LogoFail, serangkaian kerentanan kritis yang ditemukan pada UEFI yang melakukan booting di hampir semua sistem Windows dan Linux di dunia. Sebuah bug penguraian gambar dalam perangkat lunak yang menampilkan logo pabrikan perangkat keras selama booting memungkinkan penyerang untuk melewati Secure Boot dan menginfeksi UEFI dengan firmware berbahaya.
Baca Juga:
Pembaruan Sertifikat Secure Boot: Apa yang Harus Dilakukan?
Penemuan LogoFail mengharuskan Microsoft untuk mengganti tanda tangan kriptografi yang ada yang mendasari Secure Boot dengan yang baru. Tiga tanda tangan lama, yang bertanggal 2011, akan dihapus. Sebagai gantinya adalah tanda tangan yang bertanggal 2023. Microsoft sedang dalam proses memperbarui mesin Windows 10 dan Windows 11. Distributor Linux juga sedang dalam proses memperbarui “shims,” sebuah bootloader UEFI tahap pertama kecil yang bertindak sebagai jembatan tepercaya antara kunci Secure Boot dan bootloader Linux.
Mesin yang gagal memperbarui kunci terkait Secure Boot akan terus berfungsi, tetapi mereka tidak akan lagi terlindungi dari ancaman UEFI baru. Perlu diperjelas, mereka sudah rentan terhadap ancaman UEFI baru yang mengeksploitasi kerentanan LogoFail di seluruh industri. Penyegaran kunci ini dirancang untuk memitigasi risiko itu dan mencegah serangan UEFI yang tidak terkait yang mungkin muncul di masa depan.
Untuk memeriksa status kunci pada mesin Windows, pengguna dapat membuka pengaturan Windows Security > Device Security > Secure Boot. Tanda centang hijau berarti pembaruan telah selesai. Sebagian besar mesin Windows memperbarui kunci secara otomatis selama distribusi patch bulanan reguler, tetapi mesin yang lebih tua mungkin memerlukan perhatian manual. Pengguna Linux harus menunggu rilis shims baru. Microsoft merekomendasikan orang untuk tetap mengikuti semua pembaruan firmware, karena terkadang diperlukan agar sertifikat Secure Boot dapat diperbarui dengan lancar.
Kerentanan keamanan seperti ini menjadi pengingat betapa pentingnya menjaga perangkat tetap terbarui. Ancaman siber terus berkembang, dan bahkan sistem keamanan yang tampaknya kokoh seperti Secure Boot pun bisa memiliki celah. Untuk melindungi data dan privasi, pengguna disarankan untuk selalu waspada dan mengikuti perkembangan keamanan terbaru, termasuk potensi risiko dari teknologi AI yang juga bisa dieksploitasi. Di sisi lain, inovasi seperti prosesor Intel 18A-P menawarkan peningkatan performa yang signifikan.
Implikasi dari kedaluwarsa sertifikat ini sangat jelas: pengguna yang gagal memperbarui sistem mereka akan kehilangan perlindungan Secure Boot terhadap ancaman UEFI yang baru dan yang sudah ada. Ini adalah perlombaan melawan waktu bagi jutaan pengguna di seluruh dunia untuk memastikan perangkat mereka tetap aman dari serangan bootkit yang dapat membahayakan seluruh sistem.
Komentar
Belum ada komentar.