• Our Partners:

Microsoft Diam-Diam Perbaiki Bug Pengecualian Folder di Microsoft Defender

Microsoft Diam-Diam Perbaiki Bug Pengecualian Folder di Microsoft Defender

NESABAMEDIA.COMMicrosoft baru-baru ini telah memperbaiki sebuah kelemahan yang ada di program antivirus Microsoft Defender di Windows yang memungkinkan para pelaku peretasan untuk menanam dan mengeksekusi paket berbahaya tanpa memicu mesin deteksi antivirus tersebut.  Ini adalah bug pengecualian folder di Microsoft Defender yang ditemukan beberapa waktu yang lalu.

Kerentanan keamanan ini diketahui berdampak pada versi terbaru Windows 10, dan para pelaku peretasan bisa memanfaatkan kerentanan itu sejak tahun 2014 silam.

Kerentanan ini imbas dari sebuah lubang pengaturan keamanan di kunci Registry ‘HKLM\Software\Microsoft\Windows Defender\Exclusions’. Kunci ini berisi daftar lokasi baik itu untuk file, folder, ekstensi dan proses yang dikecualikan dari pemindaian Microsoft Defender.

Mengeksploitasi kerentanan ini bisa memungkinkan terjadi karena kunci Registry bisa diakses oleh group ‘Everyone’ seperti yang terlihat pada tangkapan layar berikut ini.

Izin Perubahan Kunci Registry

Izin Perubahan Kunci Registry

Perubahan itu bisa dilakukan oleh user dengan hak akses lokal untuk mengaksesnya melalui baris perintah dengan kueri Windows Registry. 

Ahli keamanan siber Nathan McNulty juga memperingatkan bahwa pengguna bisa mengambil daftar pengecualian ini dari pohon Registry dengan entry yang disimpan di pengaturan Group Policy, yang memiliki informasi jauh lebih sensitif karena ini menyediakan pengecualian dari beberapa komputer di domain Windows. 

Setelah menemukan folder mana yang ditambahkan ke pengecualian Microsoft Defender, pelaku peretasan bisa mengirimkan dan mengeksekusi malware dari sebuah folder yang dikecualikan pada sistem Windows yang terinfeksi tanpa harus khawatir malware mereka akan terdeteksi dan dinetralkan oleh antivirus.

Dengan mengeksploitasi kerentanan ini, penguji pun membagikan sampel pengeksekusiannya dengan menggunakan ransomware Conti dari sebuah folder yang dikecualikan dan mengenkripsi sistem Windows tanpa adanya peringatan atau tanda terdeteksi oleh Microsoft Defender. 

Namun sekarang kerentanan itu tidak lagi bisa dieksploitasi, karena Microsoft telah memperbaikinya lewat sebuah pembaruan yang dikirimkan diam-diam. Peneliti dari SentinelOne mengkonfirmasi bahwa kerentanan ini tidak lagi bisa digunakan di sistem Windows 10 20H2 setelah memasang pembaruan Patch Tuesday bulan Februari 2022. 

Sementara itu, beberapa pengguna melihat adanya perubahan izin setelah memasang pembaruan yang sama. Beberapa bahkan mendapati perbaikan ini tanpa melakukan pembaruan apapun, yang mengindikasikan bahwa perbaikan telah dikirimkan melalui pembaruan cerdas Microsoft Defender dan Windows Update. 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
Send this to a friend