Para peneliti dari perusahaan keamanan siber AS-Israel, SafeBreach, telah menyingkapkan kerentanan di Pertahanan Microsoft dan sistem Deteksi dan Respons Titik Akhir (EDR) Kaspersky yang berpotensi memungkinkan penyerang untuk menghapus file di komputer korban dari jarak jauh. Kerentanan ini mengeksploitasi ketergantungan produk keamanan pada tanda tangan byte untuk mengidentifikasi malware, memungkinkan kesalahan positif yang mengarah pada penghapusan file yang sah. Wakil Presiden Riset Keamanan SafeBreach, Tomer Bar, dan peneliti keamanan Shmuel Cohen menyajikan temuan mereka pada konferensi Black Hat Asia di Singapura, merinci bagaimana mereka mampu memanipulasi alat keamanan ini agar salah mengidentifikasi file tidak berbahaya sebagai ancaman.
Metodologi Eksploitasi
Para peneliti mencapai hal ini dengan memasukkan tanda tangan malware ke dalam file yang sah, seperti database atau mesin virtual, menyebabkan sistem EDR menandai dan kemudian menghapus file tersebut. Metode serangan ini dapat dimulai melalui cara yang relatif sederhana, seperti mendaftarkan pengguna baru di situs web dengan nama yang menyertakan tanda tangan malware, atau memasukkan tanda tangan dalam komentar di video. Penghapusan file-file ini dapat mengganggu layanan yang bergantung pada file-file tersebut, sehingga menimbulkan risiko signifikan pada sistem yang terpengaruh. Meskipun melaporkan temuan ini ke masing-masing perusahaan, para peneliti mencatat bahwa kerentanan dapat tetap dapat dieksploitasi karena desain yang melekat pada produk keamanan.
Peneliti SafeBreach Shmuel Cohen mampu melewati sistem anti-perusakan. mekanisme EDR terkemuka untuk mengeksekusi kode berbahaya dalam salah satu proses EDR itu sendiri. Baca blog penelitian untuk mempelajari lebih lanjut dan melihat apa yang dapat Anda lakukan untuk melindungi organisasi Anda. https://t.co/nAmOeSnaaf pic.twitter.com/8QqmV3LKVR
— Pelanggaran Aman ( @safebreach) 19 April 2024
Respon dan Mitigasi
Microsoft merespons temuan SafeBreach dengan menerbitkan patch (CVE-2023-24860 dan yang lebih baru CVE-2023-3601) bertujuan untuk memitigasi kerentanan. Namun, SafeBreach mampu melewati patch awal, sehingga mendorong tindakan lebih lanjut dari Microsoft. Sejak saat itu, perusahaan telah menerapkan langkah-langkah tambahan, termasuk daftar putih dan opsi bagi pengguna untuk mengonfigurasi Defender agar melakukan karantina daripada menghapus file yang ditandai. Kaspersky, di sisi lain, pada awalnya tidak merilis perbaikan, dan menyatakan bahwa masalah tersebut disebabkan oleh desain produk. Mereka kemudian mengindikasikan rencana perbaikan untuk mengatasi masalah ini. Terlepas dari upaya ini, para peneliti berpendapat bahwa menyelesaikan kerentanan secara menyeluruh memerlukan desain ulang produk yang terlibat secara signifikan.
Temuan SafeBreach menyoroti kompleksitas dalam mengamankan sistem komputer modern dari vektor serangan yang inovatif. Para peneliti menekankan pentingnya untuk tidak hanya mengandalkan patch sebagai mekanisme pertahanan dan menganjurkan pendekatan keamanan berlapis, mengakui bahwa kerentanan dalam kontrol keamanan dapat menyebabkan perilaku yang tidak terduga dan berpotensi dapat dilewati. Dialog yang sedang berlangsung antara peneliti keamanan siber dan vendor perangkat lunak memainkan peran penting dalam mengidentifikasi dan memitigasi kerentanan tersebut, menggarisbawahi
