Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

15 Kerentanan Teratas Dieksploitasi Jutaan Kali untuk Meretas Sistem Linux

by

Hampir 14 juta sistem berbasis Linux secara langsung terpapar ke Internet, menjadikannya target yang menguntungkan untuk serangkaian serangan dunia nyata yang dapat mengakibatkan penyebaran web shell berbahaya, penambang koin, ransomware, dan trojan lainnya.

Itu menurut pandangan mendalam pada lanskap ancaman Linux yang diterbitkan oleh perusahaan keamanan siber AS-Jepang Trend Micro, yang merinci ancaman dan kerentanan teratas yang memengaruhi sistem operasi pada paruh pertama tahun 2021, berdasarkan data yang dikumpulkan dari honeypots, sensor, dan telemetri anonim.

Perusahaan, yang mendeteksi hampir 15 juta kejadian malware yang ditujukan untuk lingkungan cloud berbasis Linux, menemukan penambang koin dan ransomware menyumbang 54% dari semua malware, dengan web shell menyumbang 29% pangsa.

Selain itu, dengan membedah lebih dari 50 juta peristiwa yang dilaporkan dari 100.000 host Linux unik selama periode waktu yang sama, para peneliti menemukan 15 kelemahan keamanan berbeda yang diketahui dieksploitasi secara aktif di alam liar atau memiliki bukti konsep (PoC) —

  • CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
  • CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
  • CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
  • CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
  • CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
  • CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
  • CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
  • CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
  • CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
  • CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
  • CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
  • CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
  • CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability
Sumber: The Hacker News

Selengkapnya: The Hacker News

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

by

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

  • Windows Server 2019 (updated with July 2021 Updates)
  • Windows Server 2016 (updated with July 2021 Updates)
  • Windows Server 2012 R2 (updated with July 2021 Updates)
  • Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Microsoft mengonfirmasi bug zero-day print spooler Windows lainnya

by

Microsoft telah mengeluarkan peringatan untuk kerentanan zero-day print spooler Windows lainnya yang dilacak sebagai CVE-2021-36958 yang memungkinkan penyerang lokal untuk mendapatkan hak istimewa SISTEM di komputer.

Kerentanan ini adalah bagian dari kelas bug yang dikenal sebagai ‘PrintNightmare,’ yang menyalahgunakan pengaturan konfigurasi untuk print spooler Windows, print driver, dan fitur Windows Point and Print.

Microsoft merilis pembaruan keamanan pada bulan Juli dan Agustus untuk memperbaiki berbagai kerentanan PrintNightmare.

Namun, kerentanan yang diungkapkan oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke print server jarak jauh, seperti yang ditunjukkan di bawah ini.

Kerentanan ini menggunakan direktif registry CopyFile untuk menyalin file DLL yang membuka command prompt ke klien bersama dengan print driver saat Anda menyambung ke printer.

Meskipun pembaruan keamanan terbaru Microsoft mengubah prosedur penginstalan driver printer baru sehingga memerlukan hak admin, Anda tidak akan diminta untuk memasukkan hak admin untuk terhubung ke printer saat driver tersebut sudah diinstal.

Selanjutnya, jika driver ada pada klien, dan karenanya tidak perlu diinstal, menghubungkan ke printer jarak jauh akan tetap menjalankan arahan CopyFile untuk pengguna non-admin. Kelemahan ini memungkinkan DLL Delpy untuk disalin ke klien dan dieksekusi untuk membuka command prompt tingkat SISTEM.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows memblokir serangan relay PetitPotam NTLM

by

Microsoft telah merilis pembaruan keamanan yang memblokir serangan relay PetitPotam NTLM yang memungkinkan aktor ancaman untuk mengambil alih domain Windows.

Pada bulan Juli, peneliti keamanan GILLES Lionel, alias Topotam, mengungkapkan metode baru yang disebut PetitPotam yang memaksa pengontrol domain untuk mengautentikasi terhadap server aktor ancaman menggunakan fungsi API MS-EFSRPC.

Menggunakan vektor PetitPotam, aktor ancaman dapat menggunakan antarmuka Windows LSARPC untuk berkomunikasi dan menjalankan fungsi MS-EFSRPC API tanpa otentikasi. Fungsinya, OpenEncryptedFileRawA dan OpenEncryptedFileRawW, memungkinkan aktor ancaman untuk memaksa domain controller untuk mengautentikasi ke server relay NTLM di bawah kendali penyerang.

Pada bulan Juli, Microsoft merilis penasihat keamanan yang menjelaskan cara mengurangi serangan relay NTLM yang menargetkan Active Directory Certificate Services (AD CS).

Namun, Microsoft tidak memberikan informasi tentang pemblokiran vektor PetitPotam sampai peneliti menemukan cara mengamankannya menggunakan filter NETSH.

Sebagai bagian dari pembaruan Patch Tuesday Agustus 2021, Microsoft telah merilis pembaruan keamanan yang memblokir vektor PetitPotam (CVE-2021-36942), sehingga tidak dapat memaksa domain controller untuk mengautentikasi terhadap server lain.

Microsoft memperingatkan bahwa menginstal pembaruan ini dapat memengaruhi perangkat lunak cadangan yang menggunakan fungsi EFS API OpenEncryptedFileRaw(A/W).

Jika perangkat lunak cadangan Anda tidak lagi berfungsi setelah menginstal pembaruan ini pada Windows 7 Service Pack 1 atau Windows Server 2008 R2 Service Pack 1 dan yang lebih baru, Microsoft menyarankan Anda menghubungi pengembang perangkat lunak cadangan untuk mendapatkan versi yang diperbarui.

Selengkapnya: BleepingComputer

Microsoft memperbaiki kerentanan Windows Print Spooler PrintNightmare

by

Microsoft telah memperbaiki kerentanan PrintNightmare di Windows Print Spooler dengan mengharuskan pengguna memiliki hak administratif saat menggunakan fitur Point and Print untuk menginstal driver printer.

Pada bulan Juni, seorang peneliti keamanan secara tidak sengaja mengungkapkan kerentanan spooler cetak Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527). Ketika dieksploitasi, kerentanan ini memungkinkan eksekusi kode jarak jauh dan kemampuan untuk mendapatkan hak istimewa SISTEM lokal.

Microsoft segera merilis pembaruan keamanan yang memperbaiki komponen eksekusi kode jarak jauh tetapi tidak meningkatkan porsi hak istimewa lokal.

Namun, para peneliti dengan cepat menemukan bahwa sangat mungkin untuk mengeksploitasi fitur Point and Print untuk menginstal driver printer berbahaya yang memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan hak istimewa SISTEM di Windows.

Point and Print adalah fitur Windows yang memungkinkan pengguna untuk terhubung ke server printer, bahkan yang terhubung ke Internet jarak jauh, dan secara otomatis mengunduh dan menginstal driver printer server.

Dengan menggunakan fitur ini, peneliti keamanan Benjamin Delpy membuat server printer jarak jauh yang menginstal driver printer yang memungkinkan pengguna dengan hak istimewa rendah untuk membuka prompt perintah dengan hak istimewa SISTEM, seperti yang ditunjukkan dalam video di bawah ini.

Sebagai bagian dari pembaruan keamanan Patch Tuesday Agustus 2021 hari ini, Microsoft mengatasi kerentanan “PrintNightmare” ini dengan mengharuskan pengguna memiliki hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Microsoft memperingatkan bahwa perubahan ini dapat berdampak pada organisasi yang sebelumnya mengizinkan pengguna non-admin untuk menambahkan atau memperbarui driver printer, karena mereka tidak lagi dapat melakukannya.

Selengkapnya: BleepingComputer

Microsoft Patch Tuesday bulan Agustus 2021 memperbaiki 3 zero-days, 44 kelemahan

by

Hari ini adalah Patch Tuesday Microsoft Agustus 2021, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day dan total 44 kelemahan.

Microsoft telah memperbaiki 44 kerentanan (51 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 37 sebagai Penting.

Dari 44 kerentanan, 13 adalah eksekusi kode jarak jauh, 8 pengungkapan informasi, 2 penolakan layanan, dan 4 kerentanan spoofing.

Microsoft juga merilis pembaruan keamanan untuk dua kerentanan zero-day yang dinanti-nantikan yang ditemukan selama sebulan terakhir.

Salah satu pembaruan keamanan memperbaiki kerentanan PrintNightmare yang memungkinkan pelaku ancaman untuk mendapatkan hak istimewa tingkat SISTEM hanya dengan menghubungkan ke server print jarak jauh di bawah kendali mereka.

Microsoft telah memperbaiki kerentanan ini dengan mengharuskan pengguna yang memiliki hak administrator untuk menginstal driver printer menggunakan fitur Point and Print Windows.

Microsoft juga memperbaiki vektor serangan relay PetitPotam NTLM yang menggunakan API MS-EFSRPC untuk memaksa perangkat bernegosiasi dengan server relay jarak jauh di bawah kendali penyerang.

Microsoft menghimbau untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: BleepingComputer

Awas! Malware Android Baru Meretas Ribuan Akun Facebook

by

Sebuah trojan Android baru telah ditemukan menyusupi akun Facebook lebih dari 10.000 pengguna di setidaknya 144 negara sejak Maret 2021 melalui aplikasi penipuan yang didistribusikan melalui Google Play Store dan pasar aplikasi pihak ketiga lainnya.

Dijuluki “FlyTrap,” malware yang sebelumnya tidak terdokumentasi ini diyakini sebagai bagian dari keluarga trojan yang menggunakan trik rekayasa sosial untuk membobol akun Facebook sebagai bagian dari kampanye pembajakan sesi yang diatur oleh aktor jahat yang beroperasi di luar Vietnam, menurut sebuah laporan yang diterbitkan oleh zLabs Zimperium dan dibagikan dengan The Hacker News.

Meskipun sembilan aplikasi yang melanggar telah ditarik dari Google Play, mereka terus tersedia di toko aplikasi pihak ketiga, “menyoroti risiko aplikasi sideloaded untuk endpoint seluler dan data pengguna,” kata peneliti malware Zimperium Aazim Yaswant. Daftar aplikasi adalah sebagai berikut:

  • GG Voucher (com.luxcarad.cardid)
  • Vote European Football (com.gardenguides.plantingfree)
  • GG Coupon Ads (com.free_coupon.gg_free_coupon)
  • GG Voucher Ads (com.m_application.app_moi_6)
  • GG Voucher (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Coupon (com.free_coupon.net_coupon)
  • Net Coupon (com.movie.net_coupon)
  • EURO 2021 Official (com.euro2021)

Aplikasi jahat mengklaim menawarkan kode kupon Netflix dan Google AdWords dan memungkinkan pengguna memilih tim dan pemain favorit mereka di UEFA EURO 2020, yang berlangsung antara 11 Juni dan 11 Juli 2021, hanya dengan syarat mereka masuk dengan akun Facebook mereka untuk memberikan suara mereka, atau mengumpulkan kode kupon atau kredit.

Setelah pengguna masuk ke akun, malware dilengkapi untuk mencuri ID Facebook, lokasi, alamat email, alamat IP, dan cookie serta token yang terkait dengan akun Facebook korban, sehingga memungkinkan pelaku ancaman untuk melakukan kampanye disinformasi menggunakan detail geolokasi korban atau menyebarkan malware lebih lanjut melalui teknik rekayasa sosial dengan mengirimkan pesan pribadi yang berisi tautan ke trojan.

Selengkapnya: The Hacker News

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer