Ada Celah Untuk Hacker Di Safe Mode Windows

Peneliti CybersArk Labs mengumumkan, fitur diagnostik Windows, Safe Mode, dapat digunakan sebagai vektor serangan jarak jauh oleh peretas yang telah memiliki akses ke PC atau server target.
Metode penyerangan ini dinilai peneliti sebagai metode yang tidak umum, dan memfokuskan perhatian pada alat yang digunakan untuk memperbaiki permasalahan pada PC dan menghapus ancaman keamanan. Peneliti juga menyebut telah menciptakan sejumlah bukti konsep serangan yang memanfaatkan alat Windows Safe Mode sebagai vektor penyerang.


Alat tersebut memungkinkan peretas untuk mengumpulkan informasi rahasia pada PC yang menggunakan Windows 10 serta pada server Windows.

Peneliti juga menyebut, dengan memanfaatkan Safe Mode, peretas dapat dengan mudah berpindah di dalam jaringan tanpa terdeteksi, seperti yang dilaporkan Threat Post.

Penggunaan Safe Mode ideal untuk penyerang karena sebagian besar software keamanan end point pihak ketiga Safe Mode tidak berjalan, bersama perlindungan Virtual Secure Module (VSM) Microsoft.

Secara desain, Safe Mode tidak melakukan proses boot pada software atau driver apapun yang tidak penting untuk pengoperasian Windows. Sehingga, dengan memaksa reboot dari jarak jauh di Safe Mode, penyerang yang telah mengakses sistem target dapat mengoperasikannya dengan bebas tanpa perlu pengkhawatirkan sistem pertahanan end point.

Namun, untuk dapat melakukan hal tersebut, penyerang membutuhkan akses administrator, sehingga dapat mengubah peraturan registrasi dan memiliki kemapuan untuk memicu reboot ke Safe Mode pada komputer target. Selanjutnya, penyerang dapat menciptakan alat penyerangan yang termuat di Safe Mode, seperti obyek COM berbahaya.

Alat ini memungkinkan kode berbahaya penyerang akan bekerja secara otomatis selama proses rebootatau saat korban melakukan restart pada PC. Berdasarkan konsep yang diciptakannya, peneliti juga menemukan kode berbahaya tersebut menyulitkan pengguna dalam membedakan Windows Normal Mode atau Safe Mode.

Selain itu, penelitian ini juga mengungkap pemanfaatkan Safe Mode memungkinkan penyerang melompati proses pengembangan dan pengujian kode, guna mendeteksi dan menonaktifkan sistem pertahanan endpoint yang mungkin akan melindungi mesin yang terinfeksi.