Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer

VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

by

(Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

Sumber: Ars Technica

Video musik Janet Jackson menyatakan eksploitasi keamanan siber

by

Video musik untuk hit pop Janet Jackson tahun 1989, Rhythm Nation, telah diakui sebagai eksploitasi untuk kerentanan keamanan siber setelah Microsoft melaporkannya dapat merusak komputer laptop lama.

Kisah tersebut merinci bagaimana “produsen komputer besar menemukan bahwa memutar video musik untuk Rhythm Nation milik Janet Jackson akan merusak model laptop tertentu.”

Penyelidikan lebih lanjut mengungkapkan bahwa beberapa mesin pabrikan juga mogok. Terkadang memutar video di satu laptop akan membuat laptop lain di dekatnya mogok. Ini misterius karena lagunya sebenarnya tidak seburuk itu.

Investigasi mengungkapkan bahwa semua laptop yang mogok berbagi hard disk drive 5400 RPM yang sama.

Pabrikan yang menemukan masalah tampaknya menambahkan filter khusus di saluran audio untuk mendeteksi dan menghapus frekuensi yang mengganggu selama pemutaran audio.

Beberapa mesin modern memiliki hard disk drive, apalagi drive yang berputar dengan kecepatan sangat lambat 5400 putaran per menit. Juga, hampir tidak ada orang yang mendengarkan Janet Jackson lagi.

Register tetap melaporkan berita ini karena The Mitre Corporation telah melihat cocok untuk mendaftarkannya pada daftar Common Vulnerabilities and Exposures (CVEs) – daftar pasti kerentanan keamanan siber yang perlu kita semua waspadai.

Ini terdaftar sebagai CVE-2022-38392 dan telah diakui oleh vendor keamanan Tenable.

Meskipun bug tersebut tampak lucu, serangan saluran samping adalah ancaman nyata. Peneliti Israel Mordechai Guri telah menemukan cara untuk menyerang komputer termasuk dengan membuat memori memancarkan radiasi dalam pita yang sama yang digunakan oleh Wi-Fi dan mengkodekan informasi ke dalam emisi tersebut.

Oleh karena itu, pemilik laptop dengan hard disk lama, lambat, harus sangat berhati-hati jika mereka mendengar lagu Janet Jackson saat bekerja – itulah sebabnya kami tidak menyertakan Rhythm Nation dalam cerita ini.

Sumber: The Register

Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

by

Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

  • merusak perangkat
  • jalankan kode arbitrer
  • membangun Backdoor untuk ketekunan
  • merutekan ulang lalu lintas jaringan
  • mencegat lalu lintas jaringan

Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

Peneliti mengatakan bahwa:

  • Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
  • Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
  • Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
  • Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

Sumber: Bleeping Computer

Installer Zoom memungkinkan peneliti meretas ke akses root di macOS

by

Seorang peneliti keamanan telah menemukan cara agar penyerang dapat memanfaatkan Zoom versi macOS untuk mendapatkan akses ke seluruh sistem operasi.

Rincian eksploitasi dirilis dalam presentasi yang diberikan oleh spesialis keamanan Mac Patrick Wardle pada konferensi peretasan Def Con di Las Vegas pada hari Jumat. Beberapa bug yang terlibat telah diperbaiki oleh Zoom, tetapi peneliti juga menyajikan satu kerentanan yang belum ditambal yang masih memengaruhi sistem sekarang.

Eksploitasi bekerja dengan menargetkan penginstal untuk aplikasi Zoom, yang perlu dijalankan dengan izin pengguna khusus untuk menginstal atau menghapus aplikasi Zoom utama dari komputer. Meskipun penginstal mengharuskan pengguna untuk memasukkan kata sandi mereka saat pertama kali menambahkan aplikasi ke sistem, Wardle menemukan bahwa fungsi pembaruan otomatis kemudian terus berjalan di latar belakang dengan hak pengguna super.

Ketika Zoom mengeluarkan pembaruan, fungsi pembaru akan menginstal paket baru setelah memeriksa bahwa itu telah ditandatangani secara kriptografis oleh Zoom. Tetapi bug dalam cara metode pemeriksaan diterapkan berarti bahwa memberikan pembaruan file apa pun dengan nama yang sama dengan sertifikat penandatanganan Zoom akan cukup untuk lulus tes — sehingga penyerang dapat mengganti segala jenis program malware dan menjalankannya oleh pembaru dengan hak istimewa yang lebih tinggi.

Hasilnya adalah serangan eskalasi hak istimewa, yang mengasumsikan penyerang telah mendapatkan akses awal ke sistem target dan kemudian menggunakan eksploitasi untuk mendapatkan tingkat akses yang lebih tinggi. Dalam kasus ini, penyerang memulai dengan akun pengguna yang dibatasi tetapi meningkat menjadi tipe pengguna yang paling kuat — dikenal sebagai “pengguna super” atau “root” — memungkinkan mereka untuk menambah, menghapus, atau memodifikasi file apa pun di mesin.

Wardle adalah pendiri Objective-See Foundation, sebuah organisasi nirlaba yang menciptakan alat keamanan sumber terbuka untuk macOS. Sebelumnya, pada konferensi keamanan siber Black Hat yang diadakan pada minggu yang sama dengan Def Con, Wardle merinci penggunaan algoritme yang tidak sah yang diambil dari perangkat lunak keamanan sumber terbukanya oleh perusahaan nirlaba.

Mengikuti protokol pengungkapan yang bertanggung jawab, Wardle memberi tahu Zoom tentang kerentanan pada bulan Desember tahun lalu. Yang membuatnya frustrasi, dia mengatakan perbaikan awal dari Zoom mengandung bug lain yang berarti kerentanan itu masih dapat dieksploitasi dengan cara yang sedikit lebih tidak langsung, jadi dia mengungkapkan bug kedua ini ke Zoom dan menunggu delapan bulan sebelum menerbitkan penelitian.

Beberapa minggu sebelum acara Def Con, Wardle mengatakan Zoom mengeluarkan tambalan yang memperbaiki bug yang awalnya ia temukan. Tetapi pada analisis lebih dekat, kesalahan kecil lainnya berarti bug itu masih dapat dieksploitasi.

Dalam versi baru penginstal pembaruan, paket yang akan diinstal pertama kali dipindahkan ke direktori yang dimiliki oleh pengguna “root”. Secara umum ini berarti bahwa tidak ada pengguna yang tidak memiliki izin root yang dapat menambah, menghapus, atau memodifikasi file dalam direktori ini.

Tetapi karena kehalusan sistem Unix (di mana macOS adalah salah satunya), ketika file yang ada dipindahkan dari lokasi lain ke direktori root, file tersebut mempertahankan izin baca-tulis yang sama seperti sebelumnya. Jadi, dalam hal ini, masih dapat dimodifikasi oleh pengguna biasa. Dan karena dapat dimodifikasi, pengguna jahat masih dapat menukar isi file tersebut dengan file yang mereka pilih sendiri dan menggunakannya untuk menjadi root.

Sementara bug ini saat ini aktif di Zoom, Wardle mengatakan sangat mudah untuk memperbaikinya dan dia berharap membicarakannya secara terbuka akan “melumasi roda” agar perusahaan menanganinya lebih cepat daripada nanti.

Dalam sebuah pernyataan kepada The Verge, Matt Nagel, pemimpin humas keamanan dan privasi Zoom, mengatakan: “Kami menyadari kerentanan yang baru dilaporkan dalam pembaruan otomatis Zoom untuk macOS dan sedang bekerja keras untuk mengatasinya.”

Sumber: THE VERGE

SmokeLoader Menyebar Secara Aktif dengan Mengeksploitasi Kerentanan Lama

by

Kerentanan yang tidak ditambal selalu menjadi titik manis bagi penjahat dunia maya untuk melancarkan serangan. Salah satu insiden yang menggambarkan keadaan menyedihkan dari sistem yang rentan telah menjadi perhatian akhir-akhir ini.

Para peneliti telah melihat eksploitasi massal dari dua kelemahan—CVE-2017-0199 dan CVE-2017-11882—yang berusia hampir lima tahun. Meskipun tambalan tersedia untuk kedua kekurangan, mereka terus dieksploitasi. Pelaku ancaman memanfaatkan kerentanan ini untuk mendistribusikan malware SmokeLoader.

SmokeLoader, yang tersedia di pasar dalam satu atau lain bentuk sejak 2011, terutama digunakan untuk mendistribusikan keluarga malware lain seperti TrickBot.

Modus operandi

  • Rantai infeksi dimulai dengan email phishing yang mendesak penerima untuk meninjau pesanan pembelian dan memeriksa tanggal yang terkait dengan pengiriman.
  • Email ini berasal dari alamat email web yang dihosting oleh perusahaan telekomunikasi besar di Taiwan dan menyertakan file excel seperti ‘Pesanan Pembelian FG-20220629.xlsx.’
  • File-file ini berisi eksploitasi untuk kerentanan dalam format terenkripsi.
  • Serangan itu juga memanfaatkan file EXE dan DLL untuk mem-bypass sistem keamanan email.

Sementara Fortinet menemukan bahwa sampel terbaru yang dijatuhkan oleh SmokeLoader adalah trojan zgRAT, ada juga laporan yang menjelaskan distribusi malware Amadey.

Menurut peneliti AhnLab, SmokeLoader digunakan dalam kampanye baru-baru ini yang menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Setelah celah perangkat lunak ini dibuka, mereka menyebabkan pengunduhan SmokeLoader yang akhirnya mendistribusikan versi baru malware Amadey.

Sementara CVE-2017-0199 dan CVE-2017-11882 ditemukan pada tahun 2017, mereka masih aktif dieksploitasi di berbagai kampanye lainnya. Ini menunjukkan bahwa pembuat malware mengandalkan kerentanan penuaan yang masih harus ditambal secara efektif di berbagai perangkat lunak. Sementara itu, kemunculan kembali SmokeLoader, menunjukkan bahwa penetes malware ada di sini untuk waktu yang lama.

Sumber: cyware

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer