Daftar Pengecualian Microsoft Defender, Bisa Dimanfaatkan Peretas Untuk Lewati Deteksi

Daftar Pengecualian Microsoft Defender, Bisa Dimanfaatkan Peretas Untuk Lewati Deteksi

NESABAMEDIA.COMPelaku peretasan bisa memanfaatkan kelemahan yang baru saja ditemukan di antivirus Microsoft Defender di Windows, untuk mempelajari lokasi yang dikecualikan untuk pemindaian antivirus dan menanamkan malware di sana.

Celah kerentanan ini terletak di fitur daftar pengecualian Microsoft Defender. Menariknya, masalah ini sebenarnya sudah ada sejak delapan tahun lalu, dan ini berdampak pada Windows 10 21H1 dan Windows 10 21H2. 

Seperti halnya program antivirus lainnya, Microsoft Defender memiliki fitur yang memungkinkan pengguna untuk menambahkan lokasi di lokal maupun jaringan, di perangkat mereka yang akan dikecualikan dari pemindaian malware. 

Pengguna pada umumnya akan membuat pengecualian ini untuk mencegah antivirus melakukan pemindaian file atau folder tertentu, yang bisa mengganggu fungsionalitas dari aplikasi karena dianggap dan terdeteksi sebagai malware

Karena daftar pengecualian pemindaian ini berbeda dari satu pengguna ke pengguna lainnya, ini bisa menjadi informasi yang bisa dimanfaatkan para pelaku peretasan untuk menyerang sistem, karena ini memberikan mereka lokasi di mana bisa menyimpan file berbahaya tanpa takut terdeteksi oleh antivirus.

Peneliti keamanan telah membuat daftar beberapa lokasi yang biasanya dikecualikan dari pemindaian Microsoft Defender yang tidak terproteksi dan banyak pengguna lokal yang bisa mengaksesnya. Terlepas dari izin yang dimiliki, pengguna lokal bisa mencari tahu kunci registry dan mempelajari jalur yang tidak mengizinkan Microsoft Defender untuk memeriksa malware atau file berbahaya lainnya. 

Antonio Cocomazzi, peneliti dari SentinelOne yang melaporkan kerentanan yang kemudian diberi nama RemotePotatoo ini, mengatakan bahwa tidak ada perlindungan atas informasi ini, yang bisa dianggap sebagai informasi sensitif, dan mereka yang menjalankan perintah req query, bisa mendapatkan semua yang dikecualikan untuk pemindaian Microsoft Defender, entah itu file, folder, ekstensi atau proses. 

Ahli keamanan lainnya, Nathan McNulty mengkonfirmasi bahwa masalah ini terdapat pada Windows 10 versi 21H1 dan 21H2 namun tidak berdampak ke Windows 11. Dia juga mengkonfirmasi bahwa siapapun bisa mengambil daftar pengecualian dari registry dengan masukan yang tersimpan di pengaturan Group Policy. Informasi ini lebih sensitif karena menyediakan daftar pengecualian untuk beberapa komputer. 

Meskipun pelaku peretasan membutuhkan akses lokal untuk mendapatkan daftar pengecualian Microsoft Defender, sejauh ini masih bisa menjadi ancaman serius. Banyak peretas yang telah berada di jaringan perusahaan yang disusupi untuk mencari cara untuk bergerak secara lateral senyaman mungkin.

Editor: Muchammad Zakaria

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
Send this to a friend