Panduan Teknologi Penuh Inspirasi

 


Mengungkap Celah Keamanan Permanen Windows yang Mengincar Software Antivirus

0
Posted March 27, 2017 by Fajar Anggiawan in News

Hampir semua software antivirus populer yang berjalan di Windows untuk melindungi sistem ternyata dapat dieksploitasi sebagai celah keamanan berbahaya. Setidaknya, itulah informasi yang disampaikan oleh Cybellum Networks Ltd dengan memperkenalkan zero-day exploit yang dinamakan DoubleAgent.

DoubleAgent dapat mengeksploitasi Windows XP hingga Windows 10 dengan arsitektur x86 dan x64, level pengguna SYSTEM/Admin serta setiap proses termasuk yang memiliki hak akses spesial atau privileged. Fitur pada Windows yang dieksploitasi pada Windows telah ada sejak 15 tahun dan dikatakan sebagai celah keamanan permanen.

Application Verifier pada Windows  umumnya digunakan oleh developer untuk mengecek permasalahan memory pada program secara runtime. Konsep pada Application Verifier yaitu dengan meng-inject file DLL yang melakukan verifikasi di memory  kepada suatu program.  DoubleAgent merupakan program exploit  yang dibuat seolah-olah seperti Application Verifier dengan melakukan code injection hanya saja file DLL dapat berisi payload berbahaya. Celakanya, file DLL akan tetap dipanggil oleh Windows setiap setiap kali proses dijalankan sehingga ancaman dapat bersifat persisten.

Konsep yang diungkap oleh DoubleAgent dapat disalahgunakan seperti mengontrol antivirus secara penuh dengan melewati mekanisme pertahanan pada antivirus tersebut. Ancaman ini telah dibuktikan dan berhasil mengancam antivirus antara lain Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal dan Trend Micro. Bahkan, exploit ini dapat dijadikan sebagai cara oleh malware agar dapat aktif pada suatu sistem.

 

Melacak Kerentanan Application Verifier

Apakah DoubleAgent benar exploit yang bersifat zero-day atau belum pernah ditemukan sebelumnya sebagaimana pernyataan dari Cybellum? Konsep dari Application Verifier atau Avrf sudah ada sejak tahun 2004 dan topik ini diangkat kembali di tahun 2010 hingga sekarang di berbagai komunitas programming, blog bahkan Microsoft pun mendokumentasikannya. Tidak hanya sekedar konsep, source code pun telah tersedia untuk publik sebelum Cybellum merilis DoubleAgent. Jadi exploit yang diusung oleh DoubleAgent bukanlah zero-day exploit. Namun, implementasi  Avrf untuk potensi negatif misalnya mengekploitasi  antivirus memang Cybellum yang memperkenalkannya.  Menggunakan konsep lama yang dikemas untuk menyerang antivirus apalagi dengan hak akses Administror dimana ada berbagai fitur tersembunyi lainnya untuk melakukan code injection,  maka semua ini hanya terkesan sebagai teknik marketing Cybellum yang merupakan suatu start-up baru.

 

Klarifikasi Avast

Ondrej Vlcek selaku CTO and General Manager of the Consumer Business, Avast, memberikan tanggapan terhadap pemberitaan mengenai kerentanan yang menyerang mayoritas software antivirus populer termasuk Avast dan AVG.

Menurut Vlecek, Cybellum telah melaporkan adanya potensi exploit yang dapat melewati perlindungan self-protection pada tahun lalu melalui program Bug Bounty. Perbaikan pada Avast dan AVG langsung dilakukan sejak laporan tersebut diterima sehingga dapat dipastikan produk Avast dan AVG yang dirilis di awal tahun 2017 bersifat aman dan tidak dapat dieksploitasi.

Perlu digaris bawahi, exploit ini memerlukan hak akses Administrator untuk melakukan serangan. Jadi, jenis exploit  apa saja yang dijalankan pada hak akses tersebut juga akan dapat berakibat fatal atau dapat memodifikasi internal sistem terkecuali exploit dapat dijalankan tanpa memerlukan hak akses spesial. Oleh karena itu, Vlecek menganggap tingkat ancaman dari exploit ini bersifat ringan dan pemberitaan dari Cybellum mengenai resiko dari exploit DoubleAgent adalah terlalu berlebihan.

(Visited 198 times, 1 visits today)

Share artikel ini melalui:
Share on Facebook1Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

>> malware researcher - IT translator - journalist <<

Latest
 
 

Read more:
ASUS GTX 750 Ti STRIX OC

ASUS kembali hadir dengan produk video card-nya yang menyasar segmen midrange yaitu ASUS STRIX GTX 750 Ti OC version. Perlu diketahui, seri...

Close