Pelaku ancaman dapat memanfaatkan kelemahan yang memengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.
Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.
Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.
Orang biasanya membuat pengecualian untuk mencegah antivirus memengaruhi fungsionalitas aplikasi sah yang terdeteksi secara keliru sebagai malware.
Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi penyerang pada sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.
Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.
Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.
Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan karena melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah “permintaan reg” mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.
Selengkapnya: Bleeping Computer