Kelemahan Webdav Windows Mempercepat Penyebaran Malware Diam-diam Arabian Post

(PENAFN- The Arabian Post)

Pelaku ancaman memanfaatkan fitur Windows lama untuk menyebarkan malware akses jarak jauh sambil menghindari perlindungan browser konvensional dan beberapa alat pemantauan endpoint, menurut temuan baru dari peneliti keamanan siber.

Peneliti di Cofense Intelligence mengidentifikasi kampanye yang sedang berlangsung di mana penyerang menyalahgunakan protokol Web Distributed Authoring and Versioning, yang dikenal sebagai WebDAV, bersama dengan Windows File Explorer. Teknik ini memungkinkan file berbahaya yang dihosting di server jarak jauh diakses dan dijalankan melalui antarmuka pengelolaan file bawaan sistem operasi, bukan melalui browser web, sehingga mengurangi kemungkinan terdeteksi oleh kontrol keamanan web tradisional.

WebDAV adalah ekstensi dari protokol HTTP yang memungkinkan pengguna mengelola file di server web jarak jauh seolah-olah file tersebut disimpan secara lokal. Meskipun dikembangkan pada akhir 1990-an untuk memfasilitasi pengeditan kolaboratif dan berbagi file melalui internet, fitur ini tetap didukung di versi modern Windows, termasuk Windows 10 dan Windows 11. Integrasinya ke dalam File Explorer memungkinkan folder jarak jauh dipasang dan dijelajahi langsung di lingkungan desktop.

Peneliti keamanan mengatakan bahwa penyerang memanfaatkan fungsi ini dengan mengirim email phishing yang berisi tautan yang diformat untuk dibuka melalui File Explorer menggunakan jalur “file://” atau WebDAV. Ketika penerima mengklik tautan tersebut, sistem terhubung ke server WebDAV jarak jauh yang dikendalikan oleh pelaku ancaman. Korban kemudian disajikan dengan tampilan direktori file standar, sering kali berisi shortcut atau ikon dokumen yang dirancang menyerupai file asli.

Setelah dibuka, file ini memicu pengunduhan dan eksekusi Remote Access Trojan, atau RAT, yang memberi penyerang akses permanen ke sistem yang terinfeksi. RAT biasanya memungkinkan pelaku ancaman mengekstrak data, merekam ketikan, menyebarkan payload tambahan, dan bergerak secara lateral di jaringan. Dalam lingkungan perusahaan, ini dapat menyebabkan pencurian kredensial, penyebaran ransomware, atau kompromi jaringan yang lebih luas.

Lihat juga Perubahan perekrutan kripto karena peran non-teknis mendorong pertumbuhan

Analis Cofense Intelligence mencatat bahwa karena interaksi terjadi melalui Windows File Explorer bukan sesi browser, lapisan keamanan tertentu mungkin tidak aktif. Browser web biasanya menyertakan sandboxing, penyaringan URL, dan mekanisme pemblokiran berbasis reputasi. Sebaliknya, koneksi File Explorer ke berbagi WebDAV mungkin tidak memicu pemeriksaan yang sama, terutama di lingkungan di mana protokol lama tetap diaktifkan demi kompatibilitas.

Spesialis keamanan siber telah lama memperingatkan tentang risiko yang terkait dengan layanan lama yang tertanam dalam sistem operasi. WebDAV telah muncul dalam beberapa rantai serangan selama dekade terakhir, sering kali bersamaan dengan kampanye phishing. Microsoft telah mengeluarkan panduan selama bertahun-tahun yang menyarankan administrator untuk menonaktifkan layanan WebClient yang terkait dengan WebDAV jika tidak diperlukan, tetapi banyak organisasi tetap mengandalkannya untuk alur kerja internal atau aplikasi lama.

Kampanye terbaru ini mencerminkan tren yang lebih luas di mana pelaku ancaman berusaha melewati sistem deteksi dan respons endpoint dengan menyalahgunakan alat yang dipercaya dan bawaan. Pendekatan ini, sering disebut “living off the land”, mengurangi kebutuhan untuk memperkenalkan binari berbahaya secara jelas pada tahap awal kompromi. Sebaliknya, penyerang memanfaatkan komponen sistem yang sah untuk membangun pijakan sebelum menyebarkan malware yang lebih mencolok.

Perusahaan keamanan yang melacak aktivitas phishing melaporkan peningkatan berkelanjutan dalam upaya intrusi berbasis email yang menargetkan perusahaan dan entitas sektor publik. Penyerang sering kali menyamar sebagai lembaga keuangan, perusahaan logistik, atau departemen internal, dengan pesan yang menciptakan rasa urgensi. Dengan menyematkan jalur WebDAV dalam hyperlink atau tombol yang disamarkan, mereka dapat memulai koneksi yang tampak rutin bagi pengguna akhir.

Para ahli memperingatkan bahwa meskipun beberapa platform deteksi endpoint dapat mengidentifikasi koneksi jaringan yang mencurigakan atau proses anak yang mencurigakan yang dipicu oleh File Explorer, deteksi tidak bersifat universal. Sistem yang sangat bergantung pada inspeksi berbasis browser atau penyaringan gateway mungkin melewatkan aktivitas yang dimulai melalui protokol sistem operasi asli.

Lihat juga AI Gemini Google mengambil alih tugas Android

Kemunculan kampanye ini bertepatan dengan peningkatan perhatian terhadap kerentanan rantai pasokan dan alat akses jarak jauh. Sepanjang tahun lalu, beberapa pelanggaran terkenal melibatkan penyerang yang memanfaatkan utilitas administratif yang sah untuk mempertahankan keberlanjutan akses. Analis mengatakan bahwa teknik WebDAV menyoroti bagaimana teknologi lama, jika tetap diaktifkan secara default, dapat digunakan kembali dalam skenario serangan modern.

Strategi mitigasi yang disarankan oleh profesional keamanan siber meliputi menonaktifkan layanan WebClient jika WebDAV tidak penting, membatasi koneksi keluar ke server WebDAV yang tidak dipercaya, dan memastikan solusi pemantauan endpoint dikonfigurasi untuk menandai perilaku mencurigakan yang berasal dari File Explorer. Pelatihan kesadaran pengguna juga tetap menjadi pertahanan penting, karena email phishing menjadi vektor utama pengiriman.

Microsoft belum mengumumkan kerentanan tertentu terkait WebDAV dalam konteks ini, karena penyalahgunaan bergantung pada fungsi yang sah daripada cacat kode. Meski begitu, administrator perusahaan disarankan untuk meninjau konfigurasi sistem dan menerapkan prinsip hak istimewa paling kecil untuk meminimalkan paparan.

Ada masalah yang Anda temui? Arabian Post berusaha menyampaikan informasi yang paling akurat dan dapat diandalkan kepada pembaca. Jika Anda yakin menemukan kesalahan atau ketidakkonsistenan dalam artikel ini, jangan ragu untuk menghubungi tim editorial kami di editor[at]thearabianpost[dot]com. Kami berkomitmen untuk segera menanggapi kekhawatiran dan memastikan integritas jurnalistik tertinggi.