Cyberthreat.id – Microsoft, perusahaan perangkat lunak AS, mengatakan telah merilis tambalan untuk zero-day Windows yang memiliki tingkat keparahan tinggi.

Menurut perusahaan, kerentanan itu juga sedang dieksploitasi peretas untuk mengirimkan muatan malware “Emotet”. Namun, mereka tak menjelaskan kelompok peretas mana yang menargetkan kerentanan.

Emotet adalah malware yang paling banyak didistribusikan peretas karena bisa membawa berbagai malware lain, termasuk ransomware. Aktivitas kelompok ini sempat mandek setelah ditindak oleh penegak hukum gabungan Eropa dan AS. Infrastruktur botnet Emotet pun telah disita pada Januari lalu. Namun, November lalu, Emotet bangkit kembali dan mulai bekerja sama dengan geng TrickBot.

Kerentanan teradi pada Windwos Appx Installer yang diberi label sebagai CVE-2021-43890. Peretas bisa mengekseksui kode jarak jauh, tapi masih perlu interaksi terlebih dulu dari pengguna yang ditargetkan.

“Kami telah menyelidiki kerentanan di AppX installer yang mempengaruhi Windows. Microsoft menyadari bahwa serangan yang mencoba mengeksploitasi kerentanan tersebut menggunakan paket yang dibuat khusus yang menyertakan malware Emtotet/Trickbot/Bazaloader,” kata Microsoft dikutip dari BleepingComputer, diakses Rabu (15 Desember 2021).

Menurut Microsoft, serangan tersebut bisa dimulai dengan lampiran berbahaya dalam distribusi email phishing. Namun, serangan ini berhasil jika penerima email tersebut membuka lampiran yang telah dirancang khusus tersebut.

Untuk memblokir upaya serangan tersebut, pengguna Windows harus menginstal tambalan Microsoft Desktop Installer, yaitu

• Microsoft Desktop Installer 1.16 untuk Windows 10 versi 1809 dan yang lebih baru
• Microsoft Desktop Installer 1.11 untuk Windows 10 versi 1709 atau Windows 10 versi 1803

Microsoft menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan, seperti mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Windows App dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Sebelumnya, peretas di balik Emotet juga menggunakan paket Windows App Installer berbahaya yang disamarkan sebagai perangkat lunak Adobe PDF. Namun, Microsoft tidak secara langsung menautkan kerentanan zero-day (CVE-2021-43890) ke serangan ini.

Geng Emotet memang mulai menginfeksi sistem Windows 10 dengan menginstal paket berbahaya menggunakan fitur bawaan App Installer (atau, Microsoft menyebutnya, AppX Installer).[]