Peneliti keamanan di Reason Labs mengungkapkan rincian kerentanan yang baru-baru ini mereka temukan dalam aplikasi Facebook Messenger untuk Windows.
Kerentanan, yang berada di Messenger versi 460.16, dapat dimanfaatkan oleh penyerang untuk mengeksekusi file berbahaya yang sudah ada pada sistem yang disusupi dengan maksud untuk membantu malware mendapatkan persistensi.
Reason Labs melaporkan kerentanan kepada Facebook pada bulan April, setelah itu perusahaan media sosial tersebut dengan cepat memperbaiki kerentanan dengan merilis versi terbaru Facebook Messenger untuk pengguna Windows melalui toko Microsoft.
Menurut peneliti, aplikasi yang rentan memicu panggilan untuk memuat Windows Powershell dari jalur C:\python27. Jalur ini biasanya dibuat ketika menginstal versi 2.7 dari Python dan tidak umum ada di sebagian besar instalasi Windows.
Untuk menguji apakah kerentanan tersebut dapat dieksploitasi, tim peneliti membuat reverse shell yang disamarkan sebagai Powershell.exe dan men-deploy-nya ke direktori Python. Mereka kemudian menjalankan aplikasi Messenger yang memicu panggilan tersebut, lalu berhasil mengeksekusi reverse shell, sehingga membuktikan bahwa aktor ancaman dapat mengeksploitasi kerentanan untuk mendapatkan persistensi.
Biasanya, penyerang yang menggunakan metode persistensi mengandalkan kunci registri, tugas yang dijadwalkan, dan layanan untuk mempertahankan akses aktif ke suatu sistem. Jenis kerentanan khusus ini dianggap lebih kompleks untuk dieksploitasi.
Baca Juga: “Seorang Hacker Jual 500 Juta Data Pengguna Facebook Dari 82 Negara, Termasuk Indonesia“
Kerentanan ini telah diperbaiki dalam Facebook Messenger versi 480.5. Pengguna yang menjalankan versi rentan sangat disarankan untuk memperbarui aplikasi ke rilisan terbaru.
Meskipun belum ada indikasi bahwa kerentanan sudah ada yang mengeksploitasi sebelum penemuan kerentanan oleh Reason Labs, kerentanan seperti itu sangatlah berisiko.
Aktor ancaman dapat menggunakan kerentanan seperti itu untuk mempertahankan akses ke perangkat korban dalam jangka waktu yang lama. Akses persisten semacam itu dapat memungkinkan mereka melakukan peretasan lebih lanjut, termasuk implantasi ransomware dan eksfiltrasi data.
