Dipakai PDNS, Cek Rekam Jejak Windows Defender Kebobolan Ransomware
Jakarta, CNN Indonesia --
Penggunaan antivirus gratis Windows Defender untuk melindungi keamanan Pusat Data Nasional Sementara (PDNS) 2 yang jadi korban serangan siber ransomware mendapat sorotan khusus, bahkan jadi olok-olokan netizen di media sosial.
Windows Defender merupakan antivirus atau software perlindungan keamanan dari Microsoft yang gratis disertakan jika membeli license Microsoft lain, seperti Microsoft 365. Versi berbayarnya berbentuk Microsoft Defender for Business.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Apakah memang Windows Defender serentan itu hingga akhirnya mudah dibobol oleh peretas?
University of Hawaii Oahu, dalam laman resminya, menemukan kerentanan yang diketahui sebagai CVE-2024-29053 pada Windows Defendern. Kerentanan ini memungkinkan hacker yang memiliki akses ke fitur unggah berpotensi mengeksekusi kode berbahaya pada sistem target.
Eksploitasi CVE-2024-29053 yang berhasil dapat berdampak buruk pada lingkungan IoT. Hacker dapat memperoleh kontrol tidak sah atas perangkat yang terpengaruh, yang secara efektif membahayakan keamanan dan fungsinya.
Hal ini memungkinkan para pelaku untuk mengganggu operasi penting dalam lingkungan, yang berpotensi menyebabkan waktu henti atau kegagalan fungsi yang signifikan. Selain itu, hacket dapat memanfaatkan pijakan ini untuk menginstal perangkat lunak berbahaya seperti malware atau ransomware.
Ransomware adalah perangkat lunak pemerasan yang dapat mengunci komputer korban dan meminta uang tebusan hanya untuk membebaskannya. Tingkat keparahan dampaknya tergantung pada dua faktor utama.
Pertama, hak istimewa yang terkait dengan fungsionalitas pengunggahan file menentukan tingkat akses yang diperoleh penyerang setelah eksploitasi berhasil. Jika fungsi tersebut memberikan akses tingkat tinggi, hacker dapat menimbulkan lebih banyak kekacauan.
Kedua, niat hacker memainkan peran penting. Pelaku yang bertujuan untuk mengganggu atau mencuri data akan menyebabkan kerusakan yang signifikan. Di sisi lain, hacker yang hanya mencari pijakan di dalam jaringan mungkin menggunakan perangkat yang disusupi sebagai batu loncatan untuk serangan lebih lanjut.
Sejumlah hacker tercatat pernah dengan mudah membobol keamanan siber organisasi yang cuma menggunakan Windows Defender tercatat. Berikut di antaranya:
Sebuah kelompok hacker yang berkaitan dengan pengoperasian ransomware LockBit 3.0 memanfaatkan command line tool Windows Defender untuk memuat virus Cobalt Strike pada sistem yang disusupi dan menghindari deteksi oleh perangkat lunak keamanan.
Melansir Bleeping Computer, Cobalt Strike adalah rangkaian pengujian penetrasi dengan fitur ekstensif yang populer di kalangan hacker untuk mengintai jaringan secara diam-diam dan pergerakan lateral sebelum mencuri data dan mengenkripsinya.
Terkait serangan ransomware LockBit tersebut, para peneliti di Sentinel Labs melihat penyalahgunaan command line tool Microsoft Defender "MpCmdRun.exe" untuk memuat DLL berbahaya yang mendekripsi dan menginstal virus Cobalt Strike.
Pilihan Redaksi
Perusahaan keamanan SentinelOne menemukan celah keamanan berusia 12 tahun di Windows Defender. Kerentahan itu muncul dalam driver yang digunakan Windows Defender untuk menghapus file dan infrastruktur invasif yang dapat dibuat oleh malware.
Ketika driver menghapus file berbahaya, dia akan menggantinya dengan file baru yang jinak sebagai semacam penampung selama perbaikan. Tetapi para peneliti menemukan bahwa sistem tidak secara khusus memverifikasi file baru itu.
Akibatnya, penyerang dapat menyisipkan tautan sistem strategis yang mengarahkan driver untuk menimpa file yang salah atau bahkan menjalankan kode berbahaya.
SentinelOne pertama kali melaporkan bug tersebut ke Microsoft pada pertengahan November 2020. Microsoft menilai kerentanan tersebut sebagai risiko "tinggi", meskipun ada peringatan penting, mengutip Wired.
Laporan Tech Radar pada Februari 2024 mengungkap peretas berhasil mengeksploitasi kerentanan zero-day di Windows Defender SmartScreen untuk menginfeksi para trader kripto dengan malware.
Para peneliti dari Trend Micro mengungkapkan bahwa aktor ancaman yang menggunakan nama Water Hydra (alias DarkCasino) menyalahgunakan zero-day, yang sekarang dilacak sebagai CVE-2024-21412, dalam serangan yang dilakukan pada Malam Tahun Baru 2023.
Trend Micro mengklaim bahwa Water Hydra bergabung dengan saluran dan forum Telegram untuk pedagang valas, saham, dan kripto, dan menggunakan teknik spearphishing untuk membuat orang menginstal malware DarkMe.
Grup ini membagikan grafik saham yang ditautkan ke fxbulls[.]ru, sebuah situs informasi perdagangan Rusia yang disusupi yang, pada kenyataannya, menyamar sebagai fxbulls[.]com, platform broker forex.
(tim/dmi)
Komentar
Posting Komentar