Pelaku dapat memanfaatkan kelemahan yang mempengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.
Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.
Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.
Permission Lemah (Izin Lemah)
Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.
Orang biasanya membuat pengecualian untuk mencegah antivirus mempengaruhi fungsionalitas aplikasi yang terdeteksi secara keliru sebagai malware.
Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi pembobol sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.
Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.
Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah "permintaan reg" mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.
Pakar keamanan lainnya, Nathan McNulty, mengonfirmasi bahwa masalah tersebut ada pada Windows 10 versi 21H1 dan 21H2 tetapi tidak memengaruhi Windows 11.
McNulty juga mengkonfirmasi bahwa seseorang dapat mengambil daftar pengecualian dari registri dengan entri yang menyimpan pengaturan Group Policy. Informasi ini lebih sensitif karena memberikan pengecualian untuk beberapa komputer.
Seorang arsitek keamanan berpengalaman dalam melindungi Microsoft Stack, McNulty memperingatkan bahwa Microsoft Defender di server memiliki "pengecualian otomatis yang diaktifkan ketika peran atau fitur tertentu diinstal" dan ini tidak mencakup lokasi khusus.
Meskipun pelaku ancaman membutuhkan akses lokal untuk mendapatkan daftar pengecualian Microsoft Defender, ini jauh dari rintangan. Banyak penyerang sudah berada di jaringan perusahaan yang disusupi mencari cara untuk bergerak secara lateral senyaman mungkin.
Dengan mengetahui daftar pengecualian Microsoft Defender, pelaku ancaman yang telah menyusup ke Windows kemudian dapat menyimpan dan mengeksekusi malware dari folder yang dikecualikan tanpa takut ketahuan.
Dalam pengujian yang dilakukan oleh BleepingComputer, jenis malware yang dieksekusi dari folder yang dikecualikan berjalan tanpa hambatan pada sistem Windows dan tidak memicu peringatan dari Microsoft Defender.
Kami menggunakan sampel Conti ransomware dan ketika dijalankan dari lokasi normal Microsoft Defender memblokir malware.
Setelah menempatkan malware Conti di folder yang dikecualikan dan menjalankannya dari sana, Microsoft Defender tidak menunjukkan peringatan apa pun dan tidak mengambil tindakan apa pun, memungkinkan ransomware mengenkripsi sistem.
Kelemahan Microsoft Defender ini bukanlah hal baru dan telah disorot publik di masa lalu oleh Paul Bolton:
Seorang konsultan keamanan senior mengatakan bahwa mereka mengetahui masalah ini sekitar delapan tahun yang lalu dan mengakui keuntungan yang diberikannya kepada pengembang malware.
"Selalu berkata pada diri sendiri bahwa jika saya adalah semacam pengembang malware, saya hanya akan mencari pengecualian WD dan memastikan untuk meletakkan muatan saya di folder yang dikecualikan dan/atau menamakannya sama dengan nama file atau ekstensi yang dikecualikan" - Aura
Mengingat bahwa sudah selama ini dan Microsoft belum mengatasi masalah, administrator jaringan harus berkonsultasi dengan dokumentasi untuk mengkonfigurasi pengecualian Microsoft Defender dengan benar di server dan sistem lokal melalui kebijakan grup (Group Policy).
Orang biasanya membuat pengecualian untuk mencegah antivirus mempengaruhi fungsionalitas aplikasi yang terdeteksi secara keliru sebagai malware.
Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi pembobol sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.
Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.
Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah "permintaan reg" mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.
Pakar keamanan lainnya, Nathan McNulty, mengonfirmasi bahwa masalah tersebut ada pada Windows 10 versi 21H1 dan 21H2 tetapi tidak memengaruhi Windows 11.
McNulty juga mengkonfirmasi bahwa seseorang dapat mengambil daftar pengecualian dari registri dengan entri yang menyimpan pengaturan Group Policy. Informasi ini lebih sensitif karena memberikan pengecualian untuk beberapa komputer.
Seorang arsitek keamanan berpengalaman dalam melindungi Microsoft Stack, McNulty memperingatkan bahwa Microsoft Defender di server memiliki "pengecualian otomatis yang diaktifkan ketika peran atau fitur tertentu diinstal" dan ini tidak mencakup lokasi khusus.
Meskipun pelaku ancaman membutuhkan akses lokal untuk mendapatkan daftar pengecualian Microsoft Defender, ini jauh dari rintangan. Banyak penyerang sudah berada di jaringan perusahaan yang disusupi mencari cara untuk bergerak secara lateral senyaman mungkin.
Dengan mengetahui daftar pengecualian Microsoft Defender, pelaku ancaman yang telah menyusup ke Windows kemudian dapat menyimpan dan mengeksekusi malware dari folder yang dikecualikan tanpa takut ketahuan.
Dalam pengujian yang dilakukan oleh BleepingComputer, jenis malware yang dieksekusi dari folder yang dikecualikan berjalan tanpa hambatan pada sistem Windows dan tidak memicu peringatan dari Microsoft Defender.
Kami menggunakan sampel Conti ransomware dan ketika dijalankan dari lokasi normal Microsoft Defender memblokir malware.
Setelah menempatkan malware Conti di folder yang dikecualikan dan menjalankannya dari sana, Microsoft Defender tidak menunjukkan peringatan apa pun dan tidak mengambil tindakan apa pun, memungkinkan ransomware mengenkripsi sistem.
Kelemahan Microsoft Defender ini bukanlah hal baru dan telah disorot publik di masa lalu oleh Paul Bolton:
Seorang konsultan keamanan senior mengatakan bahwa mereka mengetahui masalah ini sekitar delapan tahun yang lalu dan mengakui keuntungan yang diberikannya kepada pengembang malware.
"Selalu berkata pada diri sendiri bahwa jika saya adalah semacam pengembang malware, saya hanya akan mencari pengecualian WD dan memastikan untuk meletakkan muatan saya di folder yang dikecualikan dan/atau menamakannya sama dengan nama file atau ekstensi yang dikecualikan" - Aura
Mengingat bahwa sudah selama ini dan Microsoft belum mengatasi masalah, administrator jaringan harus berkonsultasi dengan dokumentasi untuk mengkonfigurasi pengecualian Microsoft Defender dengan benar di server dan sistem lokal melalui kebijakan grup (Group Policy).

Post a Comment
Post a Comment