Cara mengaktifkan Kernel-mode Hardware-enforced Stack Protection di Windows 11

Kernel-mode Hardware-enforced Stack Protection adalah fitur keamanan yang diperkenalkan di Windows 11 22H2 yang melindungi sistem dari berbagai serangan memori, seperti buffer overflow tumpukan.

Microsoft menambahkan fitur ini ke Windows 11 22H2 sebagai bagian dari pembaruan Microsoft Defender pada bulan April 2023.

Jika diaktifkan, Kernel-mode Hardware-enforced Stack Protection akan meningkatkan keamanan Windows dengan menggunakan hardware untuk menerapkan stack protection, sehingga lebih sulit bagi penyerang untuk mengeksploitasi kerentanan.

Apa itu Kernel-mode Hardware-enforced Stack Protection?

Kernel-mode Hardware-enforced Stack Protection adalah fitur keamanan yang terutama melindungi terhadap serangan luapan buffer tumpukan, di mana penyerang mencoba memicu eksekusi kode arbitrer dengan meluapkan buffer (penyimpanan memori sementara) pada tumpukan (struktur data yang digunakan untuk menyimpan panggilan fungsi program dan variabel lokal).

Selama serangan ini, penyerang mencoba untuk menimpa alamat pengirim atau data kontrol untuk mengarahkan ulang eksekusi program untuk menjalankan kode berbahaya yang dipilih penyerang. 

Teknik menimpa alamat pengirim atau data kontrol untuk mengarahkan aliran eksekusi program dikenal sebagai serangan Return-Oriented Programming (ROP).

Fitur Kernel-mode Hardware-enforced Stack Protection Windows memerlukan tumpukan sementara berbasis hardware khusus yang disebut Shadow Stacks agar dapat berfungsi.

Shadow Stack adalah tumpukan memori sementara yang mencerminkan tumpukan standar yang digunakan oleh sistem operasi, dan tumpukan tersebut tidak dapat dimodifikasi oleh aplikasi yang berjalan di Windows.

Shadow Stacks ini digunakan dengan cara berikut:

1. Ketika fungsi program dipanggil, alamat pengirim disimpan di tumpukan normal dan Shadow Stack.
2. Ketika fungsi tersebut kembali, fitur stack protection yang didukung hardware memeriksa apakah alamat pengirim dari tumpukan utama cocok dengan yang disimpan di Shadow Stack.
3. Jika alamat pengirim cocok, fungsi akan kembali seperti yang diharapkan, dan eksekusi program berlanjut secara normal.
4. Namun, jika alamat pengirim tidak cocok, hal ini dapat mengindikasikan adanya serangan, seperti stack buffer overflow atau serangan ROP. Jika ini terjadi, Windows akan menghentikan proses untuk mencegah eksekusi kode berbahaya.

Dengan menggunakan Shadow Stacks, fitur Stack Protection yang didukung hardware dapat memitigasi serangan, sehingga melindungi sistem dari kerentanan, termasuk zero-days.

Namun, karena Shadow Stacks memerlukan teknologi Intel Control-Flow Enforcement Technology (CET), fitur ini hanya tersedia pada CPU yang lebih baru.

Oleh karena itu, untuk menggunakan Kernel-mode Hardware-enforced Stack Protection Windows, perangkat harus memiliki CPU Intel Tiger Lake atau CPU AMD Zen3 dan yang lebih baru dengan virtualisasi CPU yang diaktifkan di BIOS.

Cara mengaktifkan Kernel-mode Hardware-enforced Stack Protection

Meskipun fitur Kernel-mode Hardware-enforced Stack Protection Windows mungkin rumit untuk dipahami, mengaktifkan fitur ini cukup mudah.

Jika Anda menjalankan Windows 11 22H2 dengan pembaruan terkini, buka Keamanan Windows dan masuk ke Device Security > Core Isolation.

Jika Anda memiliki hardware yang diperlukan dan virtualisasi CPU diaktifkan, Anda akan melihat pengaturan yang disebut 'Kernel-mode Hardware-enforced Stack Protection', seperti yang ditunjukkan di bawah ini.

Untuk mengaktifkan fitur ini, cukup alihkan ke 'On', dan Windows akan memeriksa driver perangkat yang dimuat untuk melihat apakah ada driver yang dapat bertentangan dengan fitur keamanan.

Jika ada driver yang bertentangan terdeteksi, Anda akan diminta untuk meninjau daftar driver yang akan diperbarui ke versi yang lebih baru sebelum Anda dapat mengaktifkan fitur tersebut.

Setelah Anda memperbarui driver ke versi terbaru, Anda dapat mencoba mengaktifkan kembali fitur tersebut dan melihat apakah ada konflik lebih lanjut.

Jika tidak ditemukan driver yang bertentangan, Windows mungkin meminta Anda untuk me-restart komputer untuk mengaktifkan fitur tersebut.

Kernel-mode Hardware-enforced Stack Protection Dapat menyebabkan perilaku yang tidak terduga

Sayangnya, ketika fitur ini diaktifkan, Anda mungkin menemukan bahwa program tertentu tidak lagi berfungsi karena drivernya bertentangan dengan fitur Kernel-mode Hardware-enforced Stack Protection.

Hal ini biasanya terjadi ketika Windows tidak mengetahui adanya driver yang bertentangan dengan fitur tersebut dan tetap mengizinkannya untuk diaktifkan.

Meskipun konflik ini dapat menyebabkan Windows mogok, sering kali program tidak dapat diluncurkan lagi, dan Windows akan menyatakan bahwa driver tidak kompatibel dan meminta Anda untuk menonaktifkan fitur keamanan.

Pengguna yang telah mengaktifkan fitur ini melaporkan bahwa banyak konflik terkait dengan perlindungan hak cipta dan driver anti-cheat yang digunakan oleh game, termasuk PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) dan Dayz.

Namun, seiring semakin banyaknya pengguna yang mulai menggunakan fitur keamanan Windows ini, kemungkinan besar kita akan melihat versi yang ditingkatkan dari program perlindungan anti-cheat dan hak cipta ini untuk mendukung stack protection.