Kerentanan Windows Defender Mengintai Tidak Terdeteksi selama 12 Tahun


Hanya karena a kerentanan sudah tua bukan berarti tidak berguna. Baik itu peretasan Adobe Flash atau eksploitasi EternalBlue untuk Windows, beberapa metode terlalu bagus untuk ditinggalkan penyerang, bahkan jika mereka sudah melewati masa jayanya. Tetapi bug kritis berusia 12 tahun dalam antivirus Microsoft Windows Defender yang ada di mana-mana tampaknya diabaikan oleh penyerang dan pembela hingga saat ini. Sekarang Microsoft akhirnya menambalnya, kuncinya adalah memastikan peretas tidak mencoba menebus waktu yang hilang.

Cacat tersebut, yang ditemukan oleh para peneliti di perusahaan keamanan SentinelOne, muncul pada driver yang Windows Defender — berganti nama menjadi Microsoft Defender tahun lalu — digunakan untuk menghapus file dan infrastruktur invasif yang dapat dibuat oleh malware. Saat driver menghapus file berbahaya, itu menggantikannya dengan yang baru, file jinak sebagai semacam placeholder selama perbaikan. Tetapi para peneliti menemukan bahwa sistem tidak secara khusus memverifikasi file baru itu. Akibatnya, penyerang dapat memasukkan tautan sistem strategis yang mengarahkan pengemudi untuk menimpa file yang salah atau bahkan menjalankan kode berbahaya.

Windows Defender akan berguna tanpa henti bagi penyerang untuk manipulasi seperti itu, karena ia dikirimkan bersama Windows secara default dan oleh karena itu hadir di ratusan juta komputer dan server di seluruh dunia. Program antivirus juga sangat tepercaya dalam sistem operasi, dan driver yang rentan secara kriptografis ditandatangani oleh Microsoft untuk membuktikan keabsahannya. Dalam praktiknya, penyerang yang mengeksploitasi cacat dapat menghapus perangkat lunak atau data penting, atau bahkan mengarahkan pengemudi untuk menjalankan kode mereka sendiri untuk mengambil alih perangkat.

“Bug ini memungkinkan eskalasi hak istimewa,” kata Kasif Dekel, peneliti keamanan senior di SentinelOne. “Software yang berjalan dengan hak istimewa rendah dapat meningkatkan ke hak administratif dan membahayakan mesin.”

SentinelOne pertama kali melaporkan bug tersebut ke Microsoft pada pertengahan November, dan perusahaan merilis patch pada hari Selasa. Microsoft menilai kerentanan sebagai risiko “tinggi”, meskipun ada peringatan penting. Kerentanan hanya dapat dieksploitasi jika penyerang sudah memiliki akses — jarak jauh atau fisik — ke perangkat target. Ini berarti ini bukan toko serba ada untuk peretas dan perlu digunakan bersama eksploitasi lain di sebagian besar skenario serangan. Tapi itu akan tetap menjadi target yang menarik bagi para peretas yang sudah memiliki akses itu. Penyerang dapat mengambil keuntungan karena telah membobol mesin Windows apa pun untuk menggali lebih dalam ke dalam jaringan atau perangkat korban tanpa harus terlebih dahulu mendapatkan akses ke akun pengguna yang memiliki hak istimewa, seperti yang dimiliki administrator.

SentinelOne dan Microsoft setuju bahwa tidak ada bukti bahwa cacat ditemukan dan dieksploitasi sebelum analisis peneliti. Dan SentinelOne menahan secara spesifik tentang bagaimana para penyerang dapat memanfaatkan kekurangan tersebut untuk memberikan waktu tambalan Microsoft untuk berkembang biak. Namun, sekarang temuan itu diketahui publik, hanya masalah waktu sebelum aktor jahat mencari cara memanfaatkannya. Seorang juru bicara Microsoft mencatat bahwa siapa pun yang menginstal patch 9 Februari, atau mengaktifkan pembaruan otomatis, sekarang terlindungi.

Dalam dunia sistem operasi arus utama, belasan tahun adalah waktu yang lama untuk menyembunyikan kerentanan yang buruk. Dan para peneliti mengatakan bahwa itu mungkin telah hadir di Windows lebih lama lagi, tetapi penyelidikan mereka dibatasi oleh berapa lama alat keamanan VirusTotal menyimpan informasi pada produk antivirus. Pada tahun 2009, Windows Vista digantikan oleh Windows 7 sebagai rilis Microsoft saat ini.

Para peneliti berhipotesis bahwa bug tetap tersembunyi begitu lama karena driver yang rentan tidak disimpan di hard drive komputer secara penuh, seperti driver printer Anda. Sebaliknya, ia berada di sistem Windows yang disebut “pustaka tautan dinamis”, dan Windows Defender hanya memuatnya saat diperlukan. Setelah driver selesai bekerja, itu akan dihapus dari disk lagi.

Diposting oleh : SGP Prize