- Perangkat lunak antivirus Microsoft Defender memiliki kelemahan yang memungkinkan peretas mengeksekusi kode berbahaya pada PC Windows yang rentan.
- Setidaknya selama delapan tahun, masalah ini telah memengaruhi Windows 10 21H1 dan Windows 10 21H2; namun, baru belakangan ini ditemukan dan diidentifikasi.
- Virus ini memungkinkan peretas untuk menyimpan program jahat di area non-rutin komputer, memungkinkan mereka untuk melewati pemindaian antivirus.
Penyerang dapat memanfaatkan kelemahan pada fitur antivirus Microsoft Defender untuk menanam malware di lokasi yang dikecualikan Windows Defender dari pemindaian.
Masalah ini telah ada setidaknya selama delapan tahun meskipun baru-baru ini diidentifikasi dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.
Tambahkan lokasi
Microsoft Defender dapat mengecualikan lokasi tertentu di komputer Anda dari pemindaian, untuk memastikan bahwa area yang berisi informasi penting tidak rusak secara tidak sengaja oleh pemindaian antivirus.
Ada banyak aplikasi perangkat lunak yang sah, karena berbagai alasan, program antivirus salah mengidentifikasi sebagai malware dan dengan demikian mengkarantina atau memblokir akses ke komputer.
Jika pengguna memasukkan nama pengguna dalam daftar pengecualian mereka, itu mungkin memberikan penyerang informasi yang berguna pada sistem. Ini memungkinkan mereka untuk menyimpan file berbahaya di area komputer yang tidak dicari selama pemindaian rutin.
Peneliti keamanan menemukan bahwa perangkat lunak keamanan Defender Microsoft mengecualikan daftar lokasi berbahaya dari pemindaian, tetapi pengguna lokal mana pun dapat mengaksesnya.
Cakupan yang dikompromikan
Meskipun Windows Defender diizinkan untuk memeriksa malware dan file berbahaya di registri, pengguna lokal dapat meminta registri untuk menentukan jalur mana yang tidak boleh diperiksa oleh Defender.
Antonio Cocomazzi, peneliti ancaman yang dikreditkan dengan penemuan kerentanan RemotePotato0, mencatat tidak ada keamanan untuk informasi ini.
Meskipun Microsoft Defender tidak memindai semuanya, perintah "reg query"-nya mengungkapkan apa yang diperintahkan program untuk tidak dipindai, termasuk file, folder, ekstensi, dan proses.
Pakar keamanan Windows lainnya, Nathan McNulty, mengatakan masalah ini hanya ada pada Windows 10 versi 21H1 dan 21H2 tetapi tidak akan memengaruhi Windows 11.
Pengaturan kebijakan grup
Cara lain untuk mendapatkan pengaturan Kebijakan Grup adalah dengan mengambil daftar pengecualian dari registri. Informasi ini memberikan detail tentang apa yang dikecualikan dan lebih sensitif daripada sekadar mencantumkan pengaturan mana yang aktif di komputer tertentu.
Microsoft menyarankan Anda menonaktifkan pengecualian otomatis di Pembela Microsoft ketika platform server tidak didedikasikan untuk tumpukan Microsoft, kata McNulty. Jika server menjalankan perangkat lunak non-Microsoft, Anda harus mengizinkan Defender untuk memindai lokasi yang berubah-ubah.
Meskipun daftar pengecualian Microsoft Defender dapat diperoleh oleh penyerang dengan akses lokal, ini adalah tantangan kecil untuk diatasi.
Ketika jaringan perusahaan sudah disusupi, penyerang sering mencari cara untuk bergerak menggunakan alat yang kurang terlihat.
Memindai keseluruhan
Microsoft Defender mengizinkan pengecualian folder tertentu untuk mencegah antivirus memindai file di lokasi tersebut. Pembuat malware kemudian dapat menyimpan dan mengeksekusi file yang terinfeksi dari folder tersebut tanpa terlihat.
Seorang konsultan keamanan senior mengatakan bahwa dia pertama kali melihat masalah ini sekitar delapan tahun yang lalu, dan segera memahami potensinya untuk penggunaan yang berbahaya.
“Selalu berkata pada diri sendiri bahwa jika saya adalah semacam pengembang malware, saya hanya akan mencari pengecualian WD dan memastikan untuk letakkan payload saya di folder yang dikecualikan dan/atau beri nama sama dengan nama file atau ekstensi yang dikecualikan,” jelas aura.
Jika Anda adalah administrator jaringan untuk lingkungan Microsoft, lihat dokumentasi Microsoft Anda untuk informasi tentang cara mengecualikan program Defender dari pemindaian dan berjalan di semua server dan lokal Anda mesin.
Apa kekhawatiran utama Anda tentang celah yang memberi peretas peluang untuk melewati Microsoft Defender? Bagikan pemikiran Anda dengan kami di bagian komentar di bawah.
