Cyberthreat.id – Peneliti keamanan siber Mohamad Askar menemukan masalah pada Microsoft Defender, perangkat lunak antivirus di Windows 10.

Pada pembaruan (update) baru-baru ini justru Microsoft Defender, menurut Askar, memungkinkan sebagai wadah untuk mengunduh file berbahaya (malware) dari internet ke komputer.

File sistem operasi (OS) resmi yang dapat disalahgunakan untuk tujuan jahat tersebut dikenal sebagai “a living-off-the-land binary” (LOLBins),” seperti dikutip dari BleepingComputer diakses Kamis (3 September 2020).

LOLBins adalah file bertanda Microsoft, artinya file tersebut asli dari OS dan sudah diinstal sebelumnya, atau tersedia dari Microsoft (yaitu program atau add-on Microsoft). Meski file yang sah (dan bermaksud baik), binari ini dapat dieksploitasi oleh penyerang dan digunakan dalam serangan.

Dalam konteks kerentanan itu, Microsoft Defender justru dapat digunakan sebagai LOLBins.

Dalam pembaruan tersebut, terjadi perubahan pada alat baris perintah Windows Defender, tepatnya pada MpCmdRun.exe sehingga bisa mengunduh file berbahaya dari jarak jauh.

Menurut Askar, alat baris perintah tersebut mendukung fungsi “DownloadFile”. Perubahan tersebut diperkirakan sejak Microsoft merilis pembaruan pada versi 4.18.2007.9 atau 4.18.2009.9.

Sumber: BleepingComputer

---

Akibatnya, penyerang di jaringan lokal dapat menggunakan “Microsoft Antimalware Service Command Line Utility” untuk mengunduh file dari internet dengan perintah berikut: “MpCmdRun.exe -DownloadFile -url -path ”

Dengan menggunakan teknik ini, Askar dapat mengunduh malware “Cobalt Strike” dari lokasi yang jauh secara langsung melalui Microsoft Defender.

---

Baca:

• Cobalt Strike, Backdoor yang Dipakai Serang BMW dan Hyundai
• Modus Baru Serangan ke Sistem PoS, Infeksi Malware Dilanjutkan Ransomware

---

Meskipun Defender akan mendeteksi dan mengurangi file berbahaya apa pun yang diunduh menggunakan metode ini, tidak jelas apakah layanan antivirus populer lainnya akan mampu bertahan dari jalur serangan ini.

Seperti yang Anda lihat di bawah, BleepingComputer dapat mengunduh file resources.exe, contoh “WastedLocker Ransomware” yang digunakan dalam serangan produsen layanan pelacak GPS, Garmin, baru-baru ini.

Kabar baiknya adalah Microsoft Defender akan mendeteksi file berbahaya yang diunduh dengan MpCmdRun.exe, tetapi tidak diketahui apakah perangkat lunak antivirus lain akan mendeteksinya atau tidak.[]