Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

by

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC​​​​​
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

by Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

Peretas dapat membuka kunci mobil Honda dari jarak jauh menggunakan serangan Rolling-PWN

by

Tim peneliti keamanan menemukan bahwa beberapa model mobil Honda modern memiliki mekanisme rolling code yang rentan yang memungkinkan peretas dapat membuka kunci mobil atau bahkan menghidupkan mesin dari jarak jauh.

Disebut Rolling-PWN, kelemahannya memungkinkan serangan replay di mana aktor ancaman mencegat kode dari keyfob ke mobil dan menggunakannya untuk membuka atau menyalakan kendaraan.

Para peneliti mengklaim telah menguji serangan pada model Honda antara tahun 2021 dan 2022, termasuk model populer di bawah ini:

  • Honda Civic 2012
  • Honda X-RV 2018
  • Honda C-RV 2020

Selengkapnya

Sistem entri tanpa kunci di mobil modern mengandalkan rolling code yang dihasilkan oleh algoritma pseudorandom number generator (PRNG) untuk memastikan bahwa string unik digunakan setiap kali tombol keyfob ditekan.

Mekanisme kode bergulir diperkenalkan untuk mencegah kelemahan kode tetap yang memungkinkan serangan replay man-in-the-middle.

Kendaraan memiliki penghitung yang memeriksa kronologi kode yang dihasilkan, meningkatkan hitungan setelah menerima kode baru. Kode non-kronologis diterima, meskipun, untuk menutupi situasi penekanan keyfob yang tidak disengaja, atau ketika kendaraan berada di luar jangkauan.

Peneliti Kevin2600 dan Wesley Li menemukan bahwa penghitung di kendaraan Honda disinkronkan ulang ketika kendaraan mobil mendapat perintah mengunci/membuka kunci secara berurutan. Ini menyebabkan mobil menerima kode dari sesi sebelumnya, yang seharusnya dibatalkan.

Penyerang yang dilengkapi dengan peralatan radio yang ditentukan perangkat lunak (SDR) dapat menangkap urutan kode yang berurutan dan memutarnya kembali di lain waktu untuk membuka kunci kendaraan dan menyalakan mesinnya.

Para peneliti memberikan rincian tentang masalah Rolling-PWN bersama dengan beberapa video yang menunjukkan bagaimana hal itu dapat digunakan untuk membuka berbagai model Honda.

Kerentanan dilacak sebagai CVE-2021-46145 (keparahan sedang) dan digambarkan sebagai masalah “terkait dengan kode bergulir yang tidak kedaluwarsa dan sinkronisasi ulang kontra” di subsistem keyfob di Honda.

Saat itu diungkapkan, pada Desember 2021 [1, 2], tes dilakukan pada Honda Civic mulai 2012. Namun, model yang lebih baru juga rentan.

Jurnalis otomotif Rob Stumpf mampu meniru Rolling-PWN pada Honda Accord 2021 miliknya dengan menangkap kode pada waktu yang berbeda.

Sumber: Rob Stumpf

Dia menjelaskan bahwa selama urutan sinkronisasi ulang diputar ulang, tidak masalah jika hari atau bulan telah berlalu sejak menangkap kode; penyerang masih dapat menyinkronkan ulang dan melakukan tindakan membuka kunci.

Pengambilan kode kunci fob Honda (The Drive)

Stumpf mencatat bahwa bahkan jika penyerang dapat menggunakan Rolling-PWN untuk menyalakan Honda, mereka tidak akan dapat mengusirnya karena keyfob harus berada di dekat.

Dalam sebuah pernyataan kepada Vice, juru bicara Honda menyatakan bahwa laporan itu tidak kredibel dan tuduhan itu tidak berdasar.

Jika Honda menganggap penelitian Rolling-PWN valid, mengatasi masalah akan terbukti sulit karena perlu memperbarui firmware yang rentan.

Model yang lebih baru mungkin mendukung pembaruan OTA (over the air), tetapi Rolling-PWN akan jauh lebih sulit untuk diperbaiki pada model lama yang tidak.

Sumber: Bleeping Computer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

by

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

OpenSSL memperbaiki dua bug crypto “one-liner”

by

OpenSSL telah merilis pembaruan keamanan untuk mengatasi kerentanan mempengaruhi OpenSSL 3.0.4. Seorang penyerang dapat mengeksploitasi kerentanan ini untukmengambil kendali dari sistem yang terpengaruh.

Beberapa headlines menggambarkan bug itu sebagai kemungkinan “cacat yang lebih buruk dari Heartbleed flaw”. Heartbleed, adalah bug kebocoran data profil tinggi yang mengintai tanpa diketahui di OpenSSL selama beberapa tahun sebelum akhirnya dipublikasikan publisitas pada tahun 2014

Faktanya, Heartbleed mungkin dapat dianggap sebagai contoh awal dari aproses BWAIN (Bug With An Impressive Name)

Heartbleed adalah bug yang mengekspos banyak situs public-facing web ke lalu lintas berbahaya dan mengatakan “Hei”! Beri tahu saya jika Anda masih di sana dengan mengirimkan kembali pesan ini: ROGER. Omong-omong, kirim kembali teks dalam buffer memori yang panjangnya 64.000 byte.”

Server yang belum ditambal akan patuh membalas dengan sesuatu seperti: ROGER [ditambah 64000 minus 5 byte dari apa pun yang kebetulan mengikuti di memori, mungkin termasuk permintaan web orang lain atau bahkan kata sandi dan kunci pribadi].

Menariknya, kedua bug yang diperbaiki dalam rilis ini dsebut sebagai “one-liners”, artinya mengubah atau menambahkan hanya satu baris kode akan menambal setiap lubang.

Faktanya, seperti yang akan kita lihat, salah satu tambalan melibatkan perubahan satu instruksi assembler, yang pada akhirnya menghasilkan hanya dua bit yang ditukar dalam kode yang dikompilasi.

Bug-bug tersebut adalah sebagai berikut:

  • CVE-2022-2274: Memori overflow di eksponensial modular RSA.
  • CVE-2022-2097: Kebocoran data di enkripsi AES-OCB.

Kode eksponensial modular sekarang mengubah hitungan bit menjadi hitungan bilangan bulat, dengan membagi jumlah bit dengan jumlah byte dalam bilangan bulat dikalikan dengan 8 (jumlah bit dalam satu byte).

Kode enkripsi AES-OCB sekarang menggunakan tes JBE (lompat jika di bawah atau sama dengan) di akhir loopnya alih-alih JB (lompat jika di bawah), yang merupakan jenis perubahan yang sama seperti mengubah loop C untuk mengatakan ( i = 1; i <= n; i++) {…} bukan untuk (i = 1; i < n; i++) {…}.

Dalam kode yang dikompilasi, ini hanya mengubah satu bit dari satu byte, yaitu dengan mengganti nilai opcode biner 0111 0010 (lompat jika di bawah) menjadi 0111 0100 (lompat jika di bawah atau sama).

Untungnya, kami tidak mengetahui mode enkripsi khusus AES-OCB yang banyak digunakan (setara modernnya adalah AES-GCM, jika Anda terbiasa dengan banyak varian enkripsi AES).

Khususnya, seperti yang ditunjukkan oleh tim OpenSSL, “OpenSSL tidak mendukung rangkaian sandi berbasis OCB untuk TLS dan DTLS,” sehingga keamanan jaringan koneksi SSL/TLS tidak terpengaruh oleh bug ini.

Apa solusinya?
OpenSSL versi 3.0 dipengaruhi oleh kedua bug ini, dan mendapat pembaruan dari 3.0.4 ke 3.0.5. Sedangkan OpenSSL versi 1.1.1 dipengaruhi oleh bug kebocoran teks biasa AES-OCB, dan mendapat pembaruan dari 1.1.1p ke 1.1.1q. Dari dua bug tersebut, bug eksponensial modular adalah yang lebih parah.

Jika Anda menggunakan OpenSSL 3 dan Anda tidak dapat memutakhirkan source code Anda, tetapi Anda dapat mengkompilasi ulang sumber yang sudah Anda gunakan, maka solusi lainnya adalah membangun kembali OpenSSL Anda saat ini menggunakan pengaturan konfigurasi no-asm.

Untuk menekan code alone AES-OCB, Anda dapat mengkompilasi ulang dengan pengaturan konfigurasi no-ocb, yang seharusnya menjadi intervensi yang tidak berbahaya jika Anda tidak sengaja menggunakan mode OCB di perangkat lunak Anda sendiri.

Sumber: Naked Security

Security advisory secara tidak sengaja mengekspos sistem yang rentan

by

Security advisory untuk kerentanan (CVE) yang diterbitkan oleh MITRE secara tidak sengaja telah mengekspos tautan ke konsol admin jarak jauh dari lebih dari selusin perangkat IP yang rentan setidaknya sejak April 2022.

Penasihat CVE yang diterbitkan oleh MITRE mendapatkan sindikasi kata demi kata di sejumlah besar sumber publik, umpan, situs berita infosec, dan vendor yang menyediakan data tersebut kepada pelanggan mereka.

Bagian “referensi” dari nasihat ini biasanya mencantumkan tautan ke sumber asli (tulisan, posting blog, demo PoC) yang menjelaskan kerentanan. Namun, menyertakan tautan ke sistem yang belum ditambal secara publik berpotensi memungkinkan pelaku ancaman untuk sekarang menargetkan sistem ini dan melakukan aktivitas jahat mereka.

Penasihat kerentanan yang diterbitkan oleh MITRE untuk kerentanan pengungkapan informasi dengan tingkat keparahan tinggi pada bulan April secara ironis mengungkapkan tautan ke lebih dari selusin perangkat IoT langsung yang rentan terhadap kelemahan tersebut.

Bukan hal yang aneh jika penasihat keamanan menyertakan bagian “referensi” dengan beberapa tautan yang memvalidasi keberadaan kerentanan. Namun, tautan semacam itu biasanya mengarah pada demonstrasi atau penulisan bukti konsep (PoC) yang menjelaskan kerentanan daripada sistem yang rentan itu sendiri.

Setelah kerentanan dipublikasikan, penyerang menggunakan mesin pencari IoT publik seperti Shodan atau Censys untuk memburu dan menargetkan perangkat yang rentan.

Semua ini membuat kasus yang sangat luar biasa untuk buletin keamanan publik untuk mencantumkan bukan hanya satu tetapi lokasi dari beberapa perangkat rentan yang masih terhubung ke internet.

Karena sejumlah besar sumber bergantung pada MITER dan NVD/NIST untuk menerima umpan kerentanan, penasihat CVE (dihapus di bawah) telah disindikasikan oleh beberapa vendor, sumber publik, dan layanan yang menyediakan data CVE, seperti yang diamati oleh BleepingComputer.

Penasihat MITRE CVE mencantumkan lebih dari selusin tautan ke kamera IP yang rentan (BleepingComputer)

Mengklik salah satu tautan “referensi” di atas akan mengarahkan pengguna ke dasbor administrasi jarak jauh dari kamera IP atau perangkat video (rentan), yang berpotensi memungkinkan mereka untuk melihat umpan kamera langsung atau mengeksploitasi kerentanan.

Will Dormann, seorang analis kerentanan di Pusat Koordinasi CERT (CERT/CC) menyebut ini “hal yang tidak normal dan sangat BURUK” untuk dilakukan. Dan, peneliti keamanan Jonathan Leitschuh mengatakan hal yang sama dalam sebuah pernyataan kepada BleepingComputer.

Memang benar, penasehat CVE itu sendiri diterbitkan oleh MITRE, organisasi induk dari proyek CVE yang sering kali menjadi titik kontak pertama bagi pengguna yang melaporkan kerentanan keamanan dalam sistem pihak ketiga dan meminta pengidentifikasi CVE.

Namun, BleepingComputer menemukan bahwa sumber asli dari kesalahan tersebut adalah catatan keamanan yang diterbitkan oleh satu atau lebih peneliti keamanan China di GitHub sementara entri CVE MITRE untuk kerentanan telah “dipesan” dan menunggu produksi.

Dalam versi saran GitHub inilah beberapa tautan ke perangkat yang rentan terdaftar sebagai “contoh”. Dan informasi ini tampaknya telah disalin-tempel di entri CVE MITRE yang kemudian disindikasikan di beberapa situs:

Original security advisory di publis ke GitHub tetapi sekarang sudah dihapus (BleepingComputer)

Ironisnya, nasihat asli yang diterbitkan ke GitHub telah lama dihapus.

Perhatikan, dalam beberapa jam setelah email kami ke MITRE, saran CVE diperbarui dengan cepat untuk menghapus semua tautan “referensi” yang menunjuk ke perangkat IoT yang rentan, baik dari repo CVEProject GitHub MITRE dan database. Tetapi pembaruan ini mungkin tidak menghapus informasi ini dari sumber pihak ketiga yang telah mengambil dan menerbitkan salinan entri sebelumnya.

Sumber: Bleeping Computer

Karyawan Rogue HackerOne mencuri laporan bug untuk dijual di samping

by

Seorang karyawan HackerOne mencuri laporan kerentanan yang dikirimkan melalui platform bug bounty dan mengungkapkannya kepada pelanggan yang terpengaruh untuk mengklaim hadiah finansial.

Pekerja nakal telah menghubungi sekitar setengah lusin pelanggan HackerOne dan mengumpulkan hadiah “dalam beberapa pengungkapan,” kata perusahaan itu pada hari Jumat.

HackerOne adalah platform untuk mengoordinasikan pengungkapan kerentanan dan menengahi hadiah uang untuk pemburu bug yang mengirimkan laporan keamanan.

Pada 22 Juni, HackerOne menanggapi permintaan pelanggan untuk menyelidiki pengungkapan kerentanan yang mencurigakan melalui saluran komunikasi di luar platform dari seseorang yang menggunakan pegangan “rzlr.”

Pelanggan telah memperhatikan bahwa masalah keamanan yang sama sebelumnya telah dikirimkan melalui HackerOne.

Tabrakan bug, di mana banyak peneliti menemukan dan melaporkan masalah keamanan yang sama, sering terjadi; dalam hal ini, laporan asli dan laporan dari aktor ancaman memiliki kesamaan yang jelas yang mendorong untuk melihat lebih dekat.

Investigasi HackerOne menentukan bahwa salah satu karyawannya memiliki akses ke platform selama lebih dari dua bulan, sejak mereka bergabung dengan perusahaan pada 4 April hingga 23 Juni, dan menghubungi tujuh perusahaan untuk melaporkan kerentanan yang telah diungkapkan melalui sistemnya.

Karyawan nakal itu menerima hadiah untuk beberapa laporan yang mereka kirimkan, kata perusahaan itu. Ini memungkinkan HackerOne untuk mengikuti jejak uang dan mengidentifikasi pelaku sebagai salah satu pekerjanya yang melakukan triage pengungkapan kerentanan untuk “banyak program pelanggan.”

Menganalisis lalu lintas jaringan aktor ancaman mengungkapkan lebih banyak bukti yang menghubungkan akun utama dan sockpuppet mereka di HackerOne.

Kurang dari 24 jam setelah memulai penyelidikan, platform bug bounty mengidentifikasi pelaku ancaman, menghentikan akses sistem mereka, dan mengunci laptop mereka dari jarak jauh sambil menunggu penyelidikan.

Selama beberapa hari berikutnya, HackerOne melakukan pencitraan forensik jarak jauh dan analisis komputer tersangka dan selesai meninjau log akses data untuk karyawan tersebut selama masa kerja untuk menentukan semua program hadiah bug yang berinteraksi dengan aktor ancaman.

Pada 30 Juni, HackerOne menghentikan pekerjaan aktor ancaman.

HackerOne mencatat bahwa mantan karyawannya telah menggunakan bahasa “mengancam” dan “mengintimidasi” dalam interaksi mereka dengan pelanggan dan mendesak pelanggan untuk menghubungi perusahaan jika mereka menerima pengungkapan yang dibuat dengan nada agresif.

Perusahaan mengatakan bahwa “dalam sebagian besar kasus” tidak ada bukti data kerentanan telah disalahgunakan. Namun, pelanggan yang memiliki laporan yang diakses oleh pelaku ancaman internal, baik untuk tujuan jahat atau sah, telah diinformasikan secara individual tentang tanggal dan waktu akses untuk setiap pengungkapan kerentanan.

Pemberitahuan tersebut memberi tahu peretas tentang insiden tersebut dan menyertakan daftar laporan yang diakses oleh aktor ancaman baik secara sah, sebagai bagian dari pekerjaan mereka, atau dengan maksud untuk menyalahgunakan kerentanan yang dikirimkan.

Pembaruan [3 Juli, 14:21 EST]: Artikel diperbarui dengan pemberitahuan HackerOne kepada peretas dengan laporan yang diakses oleh karyawan nakal.

Sumber: Bleeping Computer

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News