Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Reverse Engineering Terminator alias Zemana AntiMalware/AntiLogger Driver

by

Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.

Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.

Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.

Zemana memiliki dua lini produk:

  • Zemana AntiMalware, zamguard64.sys
  • Zemana AntiLogger, zam64.sys

Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).

Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:

  • Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
  • Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
  • Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.

Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.

selengkapnya : github.com

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Microsoft June 2023 Patch Tuesday memperbaiki 78 kekurangan, 38 bug RCE

by

Hari ini adalah Patch Selasa Juni 2023 Microsoft, dengan pembaruan keamanan untuk 78 kelemahan, termasuk 38 kerentanan eksekusi kode jarak jauh.

Sementara tiga puluh delapan bug RCE telah diperbaiki, Microsoft hanya mencantumkan enam kelemahan sebagai ‘Kritis’, termasuk penolakan serangan layanan, eksekusi kode jarak jauh, dan peningkatan hak istimewa.

Jumlah bug di setiap kategori kerentanan

  • tercantum

    • di bawah ini:

    • 17 Elevation of Privilege Vulnerabilities
    • 3 Security Feature Bypass Vulnerabilities
    • 32 Remote Code Execution Vulnerabilities
    • 5 Information Disclosure Vulnerabilities
    • 10 Denial of Service Vulnerabilities
    • 10 Spoofing Vulnerabilities
    • 1 Edge – Chromium Vulnerabilities

    Daftar ini tidak menyertakan enam belas kerentanan Microsoft Edge yang sebelumnya diperbaiki pada 2 Juni 2023.

    Patch Tuesday ini tidak memperbaiki kerentanan zero-day atau bug yang dieksploitasi secara aktif, menghilangkan beberapa tekanan yang biasanya dirasakan oleh admin Windows selama hari ini.

    sumber : bleepingcomputer.com

    Fortinet memperbaiki kerentanan RCE kritis di perangkat Fortigate SSL-VPN, tambal sekarang!

    by

    Fortinet telah merilis pembaruan firmware Fortigate baru yang memperbaiki kerentanan eksekusi kode jarak jauh pra-otentikasi kritis yang dirahasiakan di perangkat SSL VPN.

    Perbaikan keamanan dirilis pada hari Jumat dalam firmware FortiOS versi 6.0.17, 6.2.15, 6.4.13, 7.0.12, dan 7.2.5.

    Meskipun tidak disebutkan dalam release note, praktisi keamanan dan admin telah melaporkan bahwa pembaruan tersebut diam-diam memperbaiki kerentanan kritis SSL-VPN RCE yang akan diungkapkan pada Selasa, 13 Juni 2023.

    “Kerentanan tersebut akan memungkinkan agen yang bermusuhan melakukan interferensi melalui VPN, bahkan jika MFA diaktifkan,” kata penasihat dari perusahaan keamanan siber Prancis Olympe Cyberdefense.

    “Sampai saat ini, semua versi akan terpengaruh, kami menunggu rilis CVE pada 13 Juni 2023 untuk mengonfirmasi informasi ini.”

    Fortinet diketahui memberikan patch keamanan sebelum mengungkapkan kerentanan kritis untuk memberi pelanggan waktu untuk memperbarui perangkat mereka sebelum aktor ancaman merekayasa balik tambalan tersebut.

    Hari ini, informasi tambahan diungkapkan oleh peneliti kerentanan Keamanan Lexfo, Charles Fol, yang mengatakan kepada BleepingComputer bahwa pembaruan FortiOS yang baru menyertakan perbaikan untuk kerentanan RCE kritis yang ditemukan oleh dia dan Rioru.

    “Fortinet menerbitkan tambalan untuk CVE-2023-27997, kerentanan Eksekusi Kode Jarak Jauh @DDXhunter dan saya melaporkan,” demikian bunyi tweet oleh Fol.

    “Ini adalah pra-otentikasi yang dapat dijangkau, di setiap alat SSL VPN. Tambal Fortigate Anda. Detailnya nanti. #xortigate.”

    Selengkapnya: Bleeping Computer

    Para Ahli Mengungkap Eksploitasi untuk Kerentanan Windows Terbaru Sedang Aktif Diekploitasi

    by

    Muncul laporan tentang celah keamanan dalam Microsoft Windows yang sedang dieksploitasi secara aktif, yang dapat disalahgunakan oleh penyerang untuk memperoleh hak istimewa yang lebih tinggi pada sistem yang terpengaruh.

    Kerentanan ini, yang dikenali sebagai CVE-2023-29336, memiliki tingkat keparahan 7.8 dan berkaitan dengan bug elevation of privilege dalam komponen Win32k.

    “Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” ungkap Microsoft dalam sebuah peringatan yang dikeluarkan bulan lalu sebagai bagian dari pembaruan Patch Tuesday.

    Peneliti Avast, yaitu Jan Vojtěšek, Milánek, dan Luigino Camastra, diakui sebagai orang yang menemukan dan melaporkan kerentanan ini.

    Win32k.sys adalah driver mode kernel dan bagian integral dari arsitektur Windows, bertanggung jawab atas graphical user interface (GUI) dan pengelolaan jendela.

    Meskipun rincian spesifik tentang penyalahgunaan celah ini di lingkungan nyata saat ini belum diketahui, Numen Cyber telah memecahkan kode dari pembaruan yang dirilis oleh Microsoft untuk membuat eksplorasi konsep (PoC) yang digunakan sebagai bukti untuk Windows Server 2016.

    Perusahaan keamanan siber yang berbasis di Singapura menyatakan bahwa kerentanan ini bergantung pada alamat kernel handle yang bocor di memori heap untuk akhirnya memperoleh izin read-write.

    “Kerentanan Win32k telah dikenal dalam sejarah,” kata Numen Cyber. “Namun, dalam versi pratinjau Windows 11 terbaru, Microsoft telah mencoba memperbarui bagian kode kernel ini menggunakan Rust. Hal ini mungkin akan menghilangkan kerentanan semacam itu di sistem baru di masa depan.”

    Numen Cyber membedakan dirinya dari perusahaan keamanan Web3 biasa dengan menekankan perlunya kemampuan keamanan lanjutan, khususnya dalam hal serangan keamanan dan pertahanan tingkat OS. Produk dan layanan mereka menawarkan solusi terkini untuk mengatasi tantangan keamanan unik yang dihadapi dalam lingkungan Web3.

    Selengkapnya: The Hacker News

    Pembaruan Keamanan Mendesak: Cisco dan VMware Mengatasi Kerentanan Kritis

    by

    VMware telah merilis pembaruan keamanan untuk memperbaiki tiga kelemahan dalam Operasi Aria untuk Jaringan yang dapat menyebabkan pengungkapan informasi dan eksekusi kode jarak jauh.

    Yang paling serius dari ketiga kelemahan tersebut adalah cacat injeksi perintah yang diidentifikasi sebagai CVE-2023-20887 (skor CVSS: 9,8) yang dapat mengaktifkan eksekusi kode jarak jauh untuk aktor bermusuhan dengan akses jaringan.

    Kerentanan deserialisasi lainnya (CVE-2023-20888), yang memiliki peringkat CVSS 9,1 dari 10, juga telah diatasi oleh VMware.

    “Aktor jahat dengan akses jaringan ke VMware Aria Operations for Networks dan kredensial peran ‘anggota’ yang valid mungkin dapat melakukan serangan deserialisasi yang menghasilkan eksekusi kode jarak jauh,” kata perusahaan itu dalam sebuah penasehat.

    Produk yang sama berisi kerentanan tingkat tinggi kedua yang memungkinkan penyerang lokal resmi untuk mengubah pengaturan konfigurasi sistem dan menjalankan perintah (CVE-2023-20192, skor CVSS: 8,4).

    Cisco menyarankan agar klien menonaktifkan akses CLI untuk pengguna hanya-baca sebagai perbaikan untuk CVE-2023-20192. Kedua masalah tersebut telah diperbaiki di masing-masing VCS versi 14.2.1 dan 14.3.0.

    Meskipun tidak ada bukti bahwa kerentanan tersebut telah dieksploitasi di alam liar, sangat disarankan untuk menambalnya sesegera mungkin untuk mengurangi risiko apa pun.

    Anjuran juga datang sebagai tanggapan atas penemuan tiga kelemahan keamanan di RenderDoc, sebuah debugger grafis sumber terbuka (CVE-2023-33863, CVE-2023-33864, dan CVE-2023-33865), yang memungkinkan penyerang memperoleh hak tinggi dan menjalankan kode arbitrer.

    sumber : thehackernews.com

    UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

    by

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

    Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

    Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

    CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

    sumber : thehackernews.com

    Backdoor pada Enkripsi Mobile Phone dari Tahun 90an Masih Ditemui

    by

    Algoritma enkripsi GEA-1 diterapkan pada telepon genggam pada tahun 1990-an untuk mengenkripsi koneksi data. Sejak saat itu, algoritma ini tetap dirahasiakan.

    Namun, sekarang, tim peneliti dari Ruhr-Universität Bochum (RUB), bersama dengan rekan-rekan dari Prancis dan Norwegia, telah menganalisis algoritma tersebut dan mencapai kesimpulan berikut: GEA-1 sangat mudah ditembus sehingga harus merupakan enkripsi yang sengaja lemah yang dimasukkan sebagai pintu belakang.

    Meskipun kerentanan ini masih ada pada banyak telepon genggam modern, menurut para peneliti, kerentanan ini tidak lagi menimbulkan ancaman yang signifikan bagi pengguna.

    Para ahli keamanan IT mendapatkan algoritma GEA-1 dan GEA-2 dari sumber yang ingin tetap anonim dan memverifikasi keaslian algoritma tersebut pada langkah pertama.

    Sandi-sandi ini digunakan untuk mengenkripsi lalu lintas data melalui jaringan 2G, misalnya saat mengirim email atau mengunjungi situs web. Para peneliti menganalisis bagaimana tepatnya algoritma ini bekerja.

    Mereka menunjukkan bahwa GEA-1 menghasilkan kunci enkripsi yang terbagi menjadi tiga bagian, dua di antaranya hampir identik. Kunci-kunci ini relatif mudah ditebak karena arsitektur mereka.

    Para ahli IT juga mengkaji algoritma GEA-2. Algoritma ini hampir tidak lebih aman daripada GEA-1. “GEA-2 mungkin merupakan upaya untuk membuat penerus GEA-1 yang lebih aman,” kata Gregor Leander. “Namun, GEA-2 juga tidak jauh lebih baik. Setidaknya algoritma ini tampaknya tidak sengaja tidak aman.”

    Enkripsi yang dihasilkan oleh GEA-1 dan GEA-2 sangat lemah sehingga dapat digunakan untuk mendekripsi dan membaca data terenkripsi secara langsung yang dikirim melalui jaringan 2G. Saat ini, sebagian besar lalu lintas data dikirim melalui jaringan 4G, yang juga disebut LTE.

    Selain itu, data sekarang dilindungi dengan enkripsi transportasi tambahan. Oleh karena itu, para peneliti berasumsi bahwa kerentanan lama yang masih ada tidak lagi menjadi ancaman serius bagi pengguna.

    Selengkapnya: EurekAlert!