Security Patch

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

February 9, 2022 by Eevee

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Mozilla memperbaiki bug Firefox yang memungkinkan Anda mendapatkan hak istimewa admin Windows

February 9, 2022 by Winnie the Pooh

Mozilla merilis pembaruan keamanan untuk mengatasi kerentanan eskalasi hak istimewa tingkat keparahan tinggi yang ditemukan di Layanan Mozilla Maintenance.

Layanan Mozilla Maintenance adalah layanan Firefox dan Thunderbird opsional yang memungkinkan pembaruan aplikasi di latar belakang.

Ini memberi pengguna Firefox pengalaman pembaruan tanpa batas di mana mereka tidak lagi diharuskan mengklik ‘Ya’ di dialog Windows User Account Control (UAC) sebelum memperbarui web browser atau klien email mereka.

Mozilla memperbaiki kelemahan keamanan eskalasi hak istimewa yang dilacak sebagai CVE-2022-22753 hari ini, dengan merilis Firefox 97.

Eksploitasi yang berhasil pada sistem yang tidak ditambal dapat membuat penyerang meningkatkan hak istimewa mereka ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows).

Mozilla juga mengatakan bahwa Firefox 97 mengatasi beberapa bug keamanan memori yang ditemukan oleh pengembang dan komunitas Mozilla di Firefox 96 dan Firefox ESR 91.5.

Rilis hari ini juga hadir dengan fitur-fitur baru seperti dukungan untuk gaya baru scrollbar di Windows 11 dan perbaikan, termasuk peningkatan pemuatan font sistem macOS yang membuat pembukaan dan peralihan ke tab baru lebih cepat.

Selengkapnya: Bleeping Computer

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

February 9, 2022 by Winnie the Pooh

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

February 9, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Argo CD merilis patch untuk kerentanan zero-day

February 5, 2022 by Søren

Argo CD merilis patch minggu ini untuk kerentanan zero-day yang memungkinkan penyerang mengakses informasi sensitif seperti kata sandi dan kunci API.

Kerentanan ditemukan oleh tim Riset Keamanan Apiiro dan dijelaskan dalam posting blog yang dirilis bersamaan dengan tambalan.

Argo CD adalah platform Pengiriman Berkelanjutan open source yang populer, dan kerentanan — ditandai sebagai CVE-2022-24348 dengan skor CVSS 7,7 — “memungkinkan aktor jahat memuat file Kubernetes Helm Chart YAML ke kerentanan dan ‘melompat’ dari ekosistem aplikasi mereka ke data aplikasi lain di luar cakupan pengguna.”

Para aktor kemudian dapat membaca dan mengekstrak data yang berada di aplikasi lain, menurut Apiiro.

Di GitHub, perusahaan tersebut mengatakan semua versi CD Argo rentan terhadap bug traversal jalur dan mencatat bahwa “mungkin untuk membuat paket bagan Helm khusus yang berisi file nilai yang sebenarnya merupakan tautan simbolik, menunjuk ke file arbitrer di luar direktori root repositori. ”

“Jika penyerang dengan izin untuk membuat atau memperbarui Aplikasi mengetahui atau dapat menebak jalur lengkap ke file yang berisi YAML yang valid, mereka dapat membuat bagan Helm berbahaya untuk menggunakan YAML itu sebagai file nilai, sehingga mendapatkan akses ke data yang seharusnya tidak mereka miliki. akses,” jelas Argo CD.

“Dampaknya terutama bisa menjadi kritis di lingkungan yang menggunakan file nilai terenkripsi (misalnya menggunakan plugin dengan git-crypt atau SOPS) yang berisi data sensitif atau rahasia, dan mendekripsi rahasia ini ke disk sebelum merender grafik Helm. Juga, karena kesalahan apa pun pesan dari templat helm diteruskan kembali ke pengguna, dan pesan kesalahan ini cukup bertele-tele, penghitungan file pada sistem file server repositori dimungkinkan.”

Selengkapnya: ZDNet

Bug antivirus ESET memungkinkan penyerang mendapatkan hak istimewa Sistem Windows

February 3, 2022 by Eevee

Perusahaan keamanan internet Slovakia ESET merilis perbaikan keamanan untuk mengatasi kerentanan eskalasi hak istimewa lokal tingkat keparahan tinggi yang mempengaruhi beberapa produk pada sistem yang menjalankan Windows 10 dan yang lebih baru atau Windows Server 2016 ke atas.

Cacat (CVE-2021-37852) dilaporkan oleh Michael DePlante dari Zero Day Initiative Trend Micro, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk hak akun NT AUTHORITY SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows) menggunakan Windows Antimalware Scan Interface (AMSI).

AMSI pertama kali diperkenalkan dengan Windows 10 Technical Preview pada tahun 2015, dan memungkinkan aplikasi dan layanan untuk meminta pemindaian buffer memori dari produk antivirus utama yang diinstal pada sistem.

Menurut ESET, ini hanya dapat dicapai setelah penyerang mendapatkan hak SeImpersonatePrivilege, biasanya ditugaskan kepada pengguna di grup Administrator lokal dan akun Layanan lokal perangkat untuk meniru klien setelah otentikasi yang harus “membatasi dampak kerentanan ini.”

Namun, penasihat ZDI mengatakan penyerang hanya diminta untuk “mendapatkan kemampuan untuk mengeksekusi kode istimewa rendah pada sistem target,” yang sesuai dengan peringkat keparahan CVSS ESET juga menunjukkan bahwa bug dapat dieksploitasi oleh aktor ancaman dengan hak istimewa rendah.

Sementara ESET mengatakan baru mengetahui tentang bug ini pada 18 November, garis waktu pengungkapan yang tersedia dalam penasihat ZDI mengungkapkan bahwa kerentanan dilaporkan empat bulan sebelumnya, pada 18 Juni 2021.

Produk ESET yang terpengaruh

Daftar produk yang terkena dampak kerentanan ini cukup panjang, dan itu termasuk:

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, dan ESET Smart Security Premium dari versi 10.0.337.1 hingga 15.0.18.0

ESET Endpoint Antivirus untuk Windows dan ESET Endpoint Security untuk Windows dari versi 6.6.2046.0 hingga 9.0.2032.4

ESET Server Security untuk Microsoft Windows Server 8.0.12003.0 dan 8.0.12003.1, ESET File Security untuk Microsoft Windows Server dari versi 7.0.12014.0 ke 7.3.12006.0

ESET Server Security untuk Microsoft Azure dari versi 7.0.12016.1002 hingga 7.2.12004.1000

ESET Security untuk Microsoft SharePoint Server dari versi 7.0.15008.0 hingga 8.0.15004.0

ESET Mail Security untuk IBM Domino dari versi 7.0.14008.0 hingga 8.0.14004.0

ESET Mail Security untuk Microsoft Exchange Server dari versi 7.0.10019 hingga 8.0.10016.0

Pembuat antivirus merilis beberapa pembaruan keamanan antara 8 Desember dan 31 Januari untuk mengatasi kerentanan ini, ketika menambal produk rentan terakhir yang terkena serangan.
Untungnya, ESET tidak menemukan bukti eksploitasi yang dirancang untuk menargetkan produk yang terkena dampak bug keamanan ini di alam liar.
“Permukaan serangan juga dapat dihilangkan dengan menonaktifkan enable advanced scanning melalui opsi AMSI dalam pengaturan Lanjutan produk ESET,” tambah ESET.
“Namun, ESET sangat menyarankan untuk melakukan upgrade ke versi produk tetap dan hanya menerapkan solusi ini ketika upgrade tidak mungkin karena alasan penting.”

Sumber: Bleepingcomputer

Situs WordPress 600K dipengaruhi oleh kerentanan RCE plugin kritis

February 2, 2022 by Eevee

Essential Addons for Elementor, plugin WordPress populer yang digunakan di lebih dari satu juta situs, telah ditemukan memiliki kerentanan eksekusi kode jarak jauh (RCE) kritis di versi 5.0.4 dan yang lebih lama.

Cacat memungkinkan pengguna yang tidak diautistik untuk melakukan serangan inklusi file lokal, seperti file PHP, untuk mengeksekusi kode di situs.

“Kerentanan inklusi file lokal ada karena cara data input pengguna digunakan di dalam PHP termasuk fungsi yang merupakan bagian dari fungsi ajax_load_more dan ajax_eael_product_gallery,” jelas peneliti PatchStack yang menemukan kerentanan.

Satu-satunya prasyarat untuk serangan ini adalah agar situs tersebut mengaktifkan widget “galeri dinamis” dan “galeri produk” sehingga tidak ada pemeriksaan token yang ada.

Dua upaya patching gagal

Peneliti Wai Yan Muo Thet menemukan kerentanan pada 25 Januari 2022, dan pengembang plugin sudah tahu tentang keberadaannya pada saat itu.

Bahkan, penulis telah merilis versi 5.0.3 untuk mengatasi masalah ini dengan menerapkan fungsi “sanitize_text_field” pada data input pengguna. Namun, sanitasi ini tidak mencegah masuknya muatan lokal.

Upaya kedua adalah versi 5.0.4, yang menambahkan fungsi “sanitize_file_name” dan berusaha untuk menghapus karakter khusus, titik,garis miring, dan apa pun yang dapat digunakan untuk mengesampingkan langkah sanitasi teks.

Ini adalah versi yang diuji patchstack dan menemukan rentan, sehingga mereka memberitahu pengembang bahwa perbaikan tidak mengurangi masalah cukup.

Akhirnya, penulis merilis versi 5.0.5 yang menerapkan fungsi “realpath” PHP, mencegah resolusi pathname berbahaya.

Memperbarui dan mengurangi

Versi ini dirilis minggu lalu, pada tanggal 28 Januari 2022, dan saat ini hanya diinstal sekitar 380.000 kali menurut statistik unduhan WordPress.

Dengan plugin yang diinstal di lebih dari 1 juta situs WordPress, itu berarti ada lebih dari 600 ribu situs yang belum menerapkan pembaruan keamanan.

Jika Anda termasuk di antara banyak yang menggunakan Essential Addons untuk Elementor, Anda bisa mendapatkan versi terbaru dari sini atau menerapkan pembaruan langsung dari dasbor WP.

Untuk mencegah aktor memanfaatkan kelemahan inklusi file lokal bahkan ketika mereka tidak dapat dikurangi secara langsung, ikuti langkah-langkah ini:

Simpan jalur file Anda dalam database yang aman dan berikan ID untuk setiap orang.
Gunakan file allowlist yang diverifikasi dan aman dan abaikan yang lainnya.
Jangan sertakan file di server web yang dapat dikompromikan, tetapi gunakan database sebagai gantinya.
Buat server mengirim header unduhan secara otomatis alih-alih mengeksekusi file di direktori tertentu.

Sumber: Bleepingcomputer

Bug Samba dapat membiarkan penyerang jarak jauh mengeksekusi kode sebagai root

February 2, 2022 by Eevee

Samba telah mengatasi kerentanan tingkat keparahan kritis yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh dengan hak akses root pada server yang menjalankan perangkat lunak yang rentan.

Kerentanan, dilacak sebagai CVE-20211-44142 dan dilaporkan oleh Orange Tsai dari DEVCORE, adalah tumpukan baca/tulis di luar batas yang ada dalam modul vfs_fruit VFS saat mengurai metadata EA saat membuka file dalam smbd.

“Masalah di vfs_fruit ada di konfigurasi default modul VFS fruit menggunakan fruit:metadata=netatalk atau buah:sumber daya=file,” Samba menjelaskan dalam penasihat keamanan yang diterbitkan hari ini.

Modul vfs_fruit rentan dirancang untuk memberikan peningkatan kompatibilitas dengan klien Apple SMB dan server file Netatalk 3 AFP.

Menurut Pusat Koordinasi CERT (CERT/CC), daftar platform yang terpengaruh oleh kerentanan ini termasuk Red Hat, SUSE Linux, dan Ubuntu.

Penyerang dapat mengeksploitasi kelemahan dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna jika server yang ditargetkan menjalankan instalasi Samba sebelum versi 4.13.17, rilis yang membahas bug ini.

Sementara konfigurasi default terkena serangan, pelaku ancaman yang ingin menargetkan kerentanan ini akan memerlukan akses tulis ke atribut file yang diperluas.

Administrator disarankan untuk menginstal rilis 4.13.17, 4.14.12, dan 4.15.5 yang diterbitkan hari ini atau menerapkan patch yang sesuai untuk memperbaiki kerusakan keamanan sesegera mungkin.

Samba juga menyediakan solusi untuk admin yang tidak dapat segera menginstal rilis terbaru, yang mengharuskan mereka untuk menghapus ‘buah’ dari baris ‘objek vfs’ di file konfigurasi Samba mereka.

Namun, seperti yang dicatat oleh Tim Samba, “mengubah pengaturan modul VFS fruit:metadata atau fruit:resource untuk menggunakan pengaturan yang tidak terpengaruh menyebabkan semua informasi yang disimpan tidak dapat diakses dan akan membuatnya tampak seperti informasi hilang bagi klien macOS.”

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Security Patch

Produk ESET yang terpengaruh

Dua upaya patching gagal

Memperbarui dan mengurangi

Cookies Settings