Kebijakan Microsoft Membuat Server Ring 0 Lama Beresiko

Bayangkan Anda sedang membangun menara jenga, lalu tiba-tiba Anda harus menghapus semua balok paling bawah. Pusat data di seluruh dunia akan menghadapi dilema ini karena kebijakan baru Microsoft.

Dimulai dengan pembaruan Windows bulan April 2026, Microsoft menghapus kepercayaan default untuk semua driver kernel yang ditandatangani di bawah program root bertanda tangan silang yang sudah tidak digunakan lagi. Ini akan menargetkan Windows 11 24H2, 25H2, 26H1, dan Windows Server 2025. Setiap versi Windows mendatang akan mengikuti kebijakan yang sama.

Jika Anda menjalankan server dengan driver yang belum melalui Program Kompatibilitas Perangkat Keras Windows (WHCP) Microsoft, Anda mengalami masalah. Lebih rumit lagi, server-server ini cenderung lebih tua dan menjalankan fondasi semua operasi pusat data.

Apa yang Sebenarnya Diubah Microsoft, Dan Mengapa Itu Penting di Tingkat Kernel

Perubahan ini pertama kali diterapkan pada tahun 2021, ketika Microsoft menghentikan program bertanda tangan silang. Saat aktif, ini memungkinkan vendor perangkat keras pihak ketiga mengautentikasi driver mereka tanpa melalui jalur sertifikasi Microsoft sendiri.

Begini mekanismenya: vendor menandatangani driver mereka menggunakan sertifikat dari otoritas sertifikat pihak ketiga, yang kemudian ditandatangani oleh Microsoft. Tanda tangan balasan itulah yang membangun kepercayaan pada kernel Windows.

Sertifikat kedaluwarsa ketika fitur tersebut tidak digunakan lagi, tetapi Windows tetap mempercayai drivernya. Filosofi kompatibilitas ke belakang ini memastikan bahwa Microsoft tidak akan mengabaikan jutaan sistem yang diterapkan.

Setidaknya sampai akhir masa tenggang. Itu April 2026.

Driver kernel bukanlah perangkat lunak aplikasi biasa. Mereka berjalan di Ring 0: tingkat eksekusi paling istimewa di sistem operasi.

Driver kernel memiliki kendali hampir total atas memori, I/O, dan perangkat keras. Ketika terjadi kesalahan pada tingkat kernel, hal ini tidak hanya menghasilkan log kesalahan. Ini membuat mesin mogok, merusak data, atau secara diam-diam membahayakan setiap kontrol keamanan yang ada di atasnya dalam tumpukan.

Vektor serangan ini disebut Bring Your Own Vulnerable Driver (BYOVD). Mekanismenya sederhana: penyerang memuat driver yang ditandatangani secara sah namun rentan, sering kali dari perangkat lunak pemantauan perangkat keras lama, utilitas manajemen disk, atau periferal game. Kemudian mereka mengeksploitasinya untuk menonaktifkan alat deteksi titik akhir, meningkatkan hak istimewa, dan berpindah ke samping sebelum ada yang menyadarinya. Karena driver sudah ditandatangani, sebagian besar daftar yang diizinkan dan mesin antivirus melihatnya sebagai kode tepercaya.

Penelitian dari Nextgen Software memperkirakan bahwa sekitar 25% serangan ransomware pada tahun 2024 menggunakan teknik BYOVD khusus untuk menonaktifkan sistem EDR sebelum enkripsi. Proyek LOLDrivers telah mengkatalogkan lebih dari 900 driver 64-bit bertanda tangan yang diketahui dapat dieksploitasi. Driver pengontrol penyimpanan lama Anda mungkin ada dalam daftar itu. Driver firmware BMC Anda hampir pasti belum diaudit.

Langkah Microsoft tidak sepenuhnya menghilangkan BYOVD. Tapi ini menutup permukaan serangan yang paling jelas: seluruh kelas pengemudi yang bertanda tangan silang yang tidak pernah tunduk pada persyaratan validasi WHCP.

Masalah Perangkat Keras Lama yang Tidak Ingin Dibicarakan Siapa Pun

Server yang kemungkinan besar memiliki driver non-WHCP bukanlah server yang Anda segarkan pada tahun 2024. Server itulah yang Anda lupakan. Bisa jadi

• Integrasi kontrol industri
• Pengontrol penyimpanan pada perangkat keras tua yang menjalankan firmware khusus
• Modul keamanan perangkat keras dengan driver kernel milik vendor.
• Driver antarmuka jaringan untuk kartu 10GbE yang belum memiliki rilis firmware sejak 2019
• Agen manajemen hypervisor yang dipasang sekali dan tidak pernah disentuh lagi.

Tak satu pun dari risiko ini muncul pada inventaris aset standar sebagai ‘risiko keamanan’. Mereka muncul sebagai ‘infrastruktur yang berfungsi’. Setidaknya sampai tenggat waktu Microsoft.

Microsoft meluncurkan kebijakan dalam mode evaluasi terlebih dahulu. Kernel Windows memantau dan mengaudit pemuatan driver setidaknya selama 100 jam selama minimal tiga kali sistem dimulai ulang sebelum penerapan diaktifkan. Jika semua driver yang dimuat selama jendela tersebut melewati kebijakan kepercayaan yang baru, penegakan hukum akan dilakukan.

Jika ada driver bertanda silang yang gagal dalam pemeriksaan, sistem akan tetap berada dalam mode evaluasi dan me-reset penghitung. Hal ini merupakan katup pengaman yang disengaja, namun hal ini juga berarti organisasi yang menjalankan driver lama yang bermasalah dapat tetap berada dalam kondisi semi-diberlakukan secara terus-menerus. Itu tidak sama dengan dilindungi.

Kategori perangkat keras yang paling banyak terpapar adalah:

• Server yang menjalankan pengontrol penyimpanan khusus
• Sistem dengan BMC berpemilik atau driver manajemen out-of-band
• Peralatan apa pun dari vendor yang gulung tikar atau menghentikan lini produk sebelum WHCP menjadi jalur wajib.

Jika siklus penyegaran infrastruktur Anda berjalan lebih dari lima tahun, dan kemungkinan besar memang demikian, hampir pasti sistem Anda terkena dampaknya. Anda perlu menentukan berapa banyak sistem yang ada dalam cakupannya. Entah Anda mengetahuinya sekarang atau Anda akan belajar dari pengalaman pahit setelah pemadaman yang berkepanjangan.

Apa yang Sebenarnya Disertifikasi WHCP dan Apa yang Tidak Disertifikasi

Untuk mendapatkan driver yang ditandatangani melalui Program Kompatibilitas Perangkat Keras Windows, vendor harus mengirimkan driver melalui portal Pusat Pengembangan Perangkat Keras Microsoft. Kemudian harus lulus pengujian kompatibilitas dan keandalan, serta memenuhi persyaratan integritas kode saat ini. Microsoft mengontrol kunci penandatanganan. Vendor tidak pernah menangani kunci privat secara langsung.

Salah satu masalah yang terus-menerus terjadi pada driver yang ditandatangani silang adalah manajemen kunci: vendor memegang kunci pribadi mereka sendiri, dan kunci yang dicuri menyebabkan sertifikat sah digunakan untuk menandatangani driver jahat. Bootkit BlackLotus pada tahun 2023 menggunakan sertifikat lama yang ditandatangani silang untuk membangun persistensi tingkat kernel pada sistem perusahaan. Tim keamanan Microsoft mendokumentasikan 47 serangan terpisah yang memanfaatkan sertifikat yang ditandatangani silang antara tahun 2020 dan 2025, masing-masing memerlukan patch darurat dan pencabutan sertifikat setelah kejadian tersebut.

WHCP menghilangkan permukaan serangan tersebut dengan memusatkan penyimpanan kunci. Ini juga memaksa driver melalui jalur validasi yang menguji persyaratan Windows saat ini, bukan persyaratan yang ada saat driver pertama kali ditulis.

Inilah yang tidak disertifikasi oleh WHCP: perangkat keras yang mendasarinya. Driver bertanda tangan WHCP untuk server berusia lima tahun berarti driver tersebut lulus persyaratan sertifikasi Microsoft saat ini. Ini tidak berarti server tersebut terkini, aman, atau sesuai untuk infrastruktur Anda.

Pengemudi hanyalah lapisan perangkat lunak. Perangkat keras di bawahnya memiliki siklus hidupnya sendiri, kerentanan firmware sendiri, dan garis waktu akhir dukungannya sendiri.

Beberapa organisasi akan memperlakukan kepatuhan WHCP sebagai kotak centang yang menjaga perangkat keras lama tetap beroperasi tanpa batas waktu. Kenyataannya adalah, ini hanya satu lapisan dari tumpukan keamanan. Perangkat keras yang berjalan di bawah driver tersebut masih perlu ditambal, mengumpulkan CVE yang diketahui, dan menjalankan firmware yang belum mendapat pembaruan sejak tim teknik vendor pindah.

Keputusan Penyegaran: Seperti Apa Sebenarnya Matematika itu

Perangkat keras lama tidak hanya membawa risiko keamanan. Hal ini menimbulkan biaya yang tidak diperhitungkan dengan benar oleh sebagian besar tim keuangan.

Kontrak dukungan vendor yang diperluas untuk server yang melewati siklus hidup dukungan standarnya biasanya memakan biaya 15-20% dari biaya perangkat keras asli setiap tahunnya. Hal ini belum termasuk biaya overhead daya dan pendinginan yang digunakan oleh perangkat keras yang lebih tua dan kurang efisien dibandingkan dengan peralatan generasi saat ini. Dell PowerEdge R730 yang bertenaga 400W terus menerus versus R760 generasi saat ini yang menjalankan beban kerja yang sama pada 280W adalah item baris nyata pada tagihan listrik. Ini digabungkan di setiap server dalam kelompok yang sama.

Lalu ada biaya insiden. Satu pemadaman tidak terencana yang disebabkan oleh peristiwa ketidakcocokan driver memerlukan biaya lebih besar dalam hal jam teknis, gangguan bisnis, dan percepatan pengadaan perangkat keras dibandingkan anggaran yang dianggarkan sebagian besar organisasi untuk penyegaran terencana. Perbedaannya adalah siapa yang mengontrol waktunya.

Server yang paling terkena perubahan kepercayaan kernel Microsoft pada bulan April 2026 juga merupakan server yang kemungkinan besar telah melewati titik penyegaran optimalnya di setiap dimensi lainnya.

Perangkat keras yang belum diperbarui dalam lima tahun atau lebih mungkin dibeli sebelum WHCP menjadi standar yang diberlakukan, menjalankan driver yang belum diperbarui sejak jendela dukungan vendor ditutup, dan membawa hutang teknis yang semakin besar di berbagai bidang.

Inilah pertanyaan kuncinya: apakah perangkat keras ini dapat tetap berjalan, dan apa yang dapat Anda lakukan sekarang setelah April 2026 tiba?

Apa yang Harus Dilakukan Tentang Pembaruan Microsoft April

Mode evaluasi Microsoft memberi Anda sebuah jendela. Pastikan Anda menggunakannya.

Langkah pertama adalah inventaris driver. Lupakan perangkat lunak dan jaringan: Anda perlu mengevaluasi driver kernel Anda dalam produksi. Setiap server di armada Anda perlu diaudit untuk pengemudi yang terhubung kembali ke sertifikat yang ditandatangani silang.

Alat bawaan Microsoft dapat memunculkan hal ini: log peristiwa kernel Windows akan menandai driver yang terpengaruh selama mode evaluasi. Anda juga dapat menjalankan sigcheck dari Sysinternals pada direktori driver Anda untuk mengidentifikasi informasi rantai sertifikat sebelum pembaruan menyentuh sistem Anda.

Referensi silang daftar driver Anda terhadap dua sumber: proyek LOLDrivers (loldrivers.io), yang mengelola database driver rentan yang diketahui yang dikurasi oleh komunitas, dan daftar blokir driver rentan milik Microsoft, yang diperbarui melalui Windows Defender. Jika driver pada sistem Anda muncul di salah satu daftar, itu adalah permukaan serangan yang aktif saat ini. Itu adalah masalah terpisah dari pembaruan bulan April.

Untuk driver yang gagal dalam pemeriksaan WHCP dan tidak tersedia pengganti bersertifikat, Anda memiliki tiga jalur:

1. Menerapkan kebijakan Kontrol Aplikasi untuk Bisnis dengan otoritas UEFI Secure Boot untuk mengizinkan driver tertentu sebagai pengecualian eksplisit
2. Pisahkan perangkat keras yang terpengaruh dari segmen jaringan di mana pergerakan lateral akan menjadi konsekuensinya
3. Nonaktifkan perangkat keras dan pulihkan nilai sisa aset sebelum terdepresiasi lebih lanjut.

Jalur pengecualian bukanlah solusi permanen. Microsoft telah secara eksplisit menyatakan: setiap versi Windows yang akan datang akan menerapkan model kepercayaan yang mengutamakan WHCP. Pengecualian daftar yang diizinkan yang ada saat ini adalah jembatan kompatibilitas, bukan postur jangka panjang yang didukung. Organisasi yang membiarkan perangkat keras lama tetap berjalan melalui pengecualian manual hanya melakukan penghitungan mundur, bukan menyelesaikan masalah.

Jalur penonaktifan adalah satu-satunya jalur yang menutup eksposur secara permanen. Bergantung pada usia dan konfigurasi perangkat keras, penonaktifan menawarkan jalur langsung menuju pendapatan, bukan biaya.

Kesimpulan

Pembaruan Microsoft April 2026 tidak menimbulkan masalah baru. Ini memberi batas waktu pada salah satu yang sudah ada. Jika Anda memiliki server lama di infrastruktur Anda dengan driver non-WHCP, tenggat waktunya adalah sekarang.

Server-server tersebut pada akhirnya harus keluar dari produksi, jadi tenggat waktu ini dapat menjadi pelajaran juga. Apa pun yang masuk ke pusat data Anda memerlukan garis waktu offramp. Atur dan lupakan perangkat keras sudah ketinggalan zaman.