Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

by

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

by Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer

Cacat Kritis di OpenSea Bisa Membiarkan Peretas Mencuri Cryptocurrency

by

Kerentanan kritis yang sekarang ditambal di OpenSea, pasar non-fungible token (NFT) terbesar di dunia, dapat disalahgunakan oleh aktor jahat untuk menguras dana cryptocurrency dari korban dengan mengirimkan token yang dibuat khusus, membuka vektor serangan baru untuk eksploitasi.

Temuan ini berasal dari perusahaan keamanan siber Check Point Research, yang memulai penyelidikan ke dalam platform menyusul laporan publik tentang dompet cryptocurrency curian yang dipicu oleh NFT yang dijatuhkan secara gratis. Masalah tersebut diperbaiki dalam waktu kurang dari satu jam setelah pengungkapan yang bertanggung jawab pada 26 September 2021.

“Dibiarkan tidak ditambal, kerentanan dapat memungkinkan peretas untuk membajak akun pengguna dan mencuri seluruh dompet cryptocurrency dengan membuat NFT berbahaya,” kata peneliti Check Point.

Seperti namanya, NFT adalah aset digital unik seperti foto, video, audio, dan barang-barang lainnya yang dapat dijual dan diperdagangkan di blockchain, menggunakan teknologi sebagai sertifikat keaslian untuk menetapkan bukti kepemilikan yang terverifikasi dan publik.

Modus operandi serangan bergantung pada pengiriman korban NFT berbahaya yang, ketika diklik, menghasilkan skenario di mana transaksi jahat dapat difasilitasi melalui penyedia dompet pihak ketiga hanya dengan memberikan tanda tangan dompet untuk menghubungkan dompet mereka dan melakukan tindakan pada dompet atas nama target.

OpenSea mengatakan belum mengidentifikasi contoh di mana kerentanan ini dieksploitasi di alam liar tetapi menambahkan bahwa mereka bekerja dengan layanan dompet pihak ketiga untuk “membantu pengguna mengidentifikasi permintaan tanda tangan berbahaya dengan lebih baik, serta inisiatif lain untuk membantu pengguna menggagalkan penipuan dan serangan phishing dengan lebih efektif.”

Selengkapnya: The Hacker News

Windows 11 Tidak Dapat Membuka Aplikasi Dengan Kunci Registri Non-ASCII

by

Masalah yang muncul dari peluncuran Windows 11 baru-baru ini telah menjadi topik yang menarik bagi banyak orang. Menambah daftar masalah yang terus bertambah adalah masalah kompatibilitas baru yang memengaruhi aplikasi yang menggunakan beberapa karakter non-ASCII di kunci registri mereka.

Microsoft mengungkapkan bahwa aplikasi tertentu dapat gagal dibuka sebagai akibatnya, serta menyebabkan masalah atau kesalahan lain dalam sistem operasi. Karena mendeteksi bug, Microsoft telah menahan kompatibilitas, sehingga pengguna yang memiliki perangkat yang terpengaruh tidak ditawarkan Windows 11 atau menghapus kemampuan untuk menginstalnya.

Namun, tingkat masalahnya tidak berhenti di situ: kunci registri yang terpengaruh yang menampilkan karakter non-ASCII mungkin tidak dapat diperbaiki sama sekali.

Pengguna disarankan untuk tidak mencoba meningkatkan secara manual ke Windows 11 dengan tombol Perbarui sekarang atau Alat Pembuatan Media hingga patch keamanan dapat dirilis.

Windows 11 juga telah diganggu dengan sejumlah masalah lain. Beberapa diantaranya adalah melambatnya CPU AMD hingga 15 persen, beberapa perangkat lunak jaringan dapat memperlambat kecepatan internet, dan kebocoran memori memengaruhi kinerja.

Selain itu, meskipun merupakan persyaratan kontroversial, Microsoft merinci mengapa OS memerlukan TPM 2.0 dalam sebuah video. Tampilan di balik layar keamanan yang dirancang untuk melindungi Windows 11 disampaikan oleh pakar keamanan Microsoft Dave Weston. Namun, pengguna masih dapat melewati persyaratan TPM, selain metode untuk menonaktifkan VBS.

Pembaruan Windows 10 KB5006670 & KB5006667 dirilis

by

Pembaruan Patch Oktober 2021 telah diluncurkan dan Microsoft telah menerbitkan pembaruan kumulatif KB5006670 dan KB5006667 untuk versi terbaru Windows 10.

Pembaruan kumulatif bulan ini mencakup perbaikan keamanan untuk PC dengan Pembaruan Mei 2021 (versi 21H1), Pembaruan Oktober 2020 (versi 20H2), dan Pembaruan Mei 2020 (versi 2004).

Pembaruan diluncurkan melalui Pembaruan Windows, WSUS, dan Katalog Pembaruan Microsoft dengan banyak perbaikan bug dan peningkatan kinerja.

Seperti setiap Patch Tuesday, Anda dapat memeriksa dan menginstal pembaruan baru dengan membuka Pengaturan, mengklik Pembaruan Windows, dan memilih ‘Periksa Pembaruan’ untuk menginstal pembaruan.

Microsoft telah mengatasi beberapa bug dengan pembaruan kumulatif hari ini untuk Windows 10 versi 2004 atau yang lebih baru. Pembaruan ini memperbarui PC ke Build 19041.1288, 19042.1288, dan 19043.1288.

Pembaruan kumulatif ini mengatasi masalah yang menyebabkan aplikasi seperti Outlook tiba-tiba berhenti bekerja selama penggunaan normal.

Selain itu, Microsoft akhirnya memperbaiki masalah yang menyebabkan ikon berita dan minat buram saat Anda menggunakan resolusi layar tertentu. Pembaruan juga dilengkapi dengan perbaikan berikut:

  • Mengatasi masalah yang mencegah beberapa aplikasi, seperti Microsoft Office dan Adobe Reader, membuka atau menyebabkannya berhenti merespons. Ini terjadi pada perangkat yang tunduk pada Microsoft Exploit Protectionfor Export Address Filtering.
  • Memperbaiki masalah yang dapat menyebabkan distorsi pada suara yang direkam oleh Cortana dan asisten suara lainnya.
  • Memperbaiki masalah yang menyebabkan perangkat Anda berhenti bekerja setelah Anda memulai ulang.
  • Memperbaiki masalah yang mencegah Anda memberikan masukan ke aplikasi saat bilah tugas tidak berada di bagian bawah layar.

Selengkapnya: Bleeping Computer

Bug LibreOffice, OpenOffice Memungkinkan Peretas Untuk Memalsukan Dokumen Yang Ditandatangani

by

LibreOffice dan OpenOffice telah mendorong pembaruan untuk mengatasi kerentanan yang memungkinkan penyerang memanipulasi dokumen agar tampak ditandatangani oleh sumber tepercaya.

Meskipun tingkat keparahan bug diklasifikasikan sebagai sedang, implikasinya bisa mengerikan. Tanda tangan digital yang digunakan dalam makro dokumen dimaksudkan untuk membantu pengguna memverifikasi bahwa dokumen tersebut belum diubah dan dapat dipercaya.

Penemuan bug, yang dilacak sebagai CVE-2021-41832 untuk OpenOffice, adalah karya empat peneliti di Ruhr University Bochum.

Bug yang sama berdampak pada LibreOffice, yang merupakan cabang dari OpenOffice yang muncul dari proyek utama lebih dari satu dekade lalu, dan untuk proyek mereka dilacak sebagai CVE-2021-25635.

Jika Anda menggunakan salah satu suite kantor sumber terbuka di atas, Anda disarankan untuk segera mememperbarui ke versi terbaru yang tersedia. Untuk OpenOffice, itu akan menjadi 4.1.10 dan yang lebih baru, dan untuk LibreOffice, 7.0.5 atau 7.1.1 dan yang lebih baru.

Karena tidak satu pun dari kedua aplikasi ini yang menawarkan pembaruan otomatis, Anda harus melakukannya secara manual dengan mengunduh versi terbaru dari masing-masing pusat unduhan – LibreOffice, OpenOffice.

Jika Anda menggunakan Linux dan versi yang disebutkan di atas belum tersedia di packet manager distribusi Anda, Anda disarankan untuk mengunduh paket “deb”, atau “rpm” dari pusat Unduhan atau buat LibreOffice dari sumber.

Selengkapnya: Bleeping Computer

Microsoft Autodiscover disalahgunakan untuk mengumpulkan kredensial

by

Para peneliti menemukan sebuah “kesalahan desain” dalam protokol Microsoft Autodiscover yang dapat memanen kredensial domain.

Pada hari Rabu, AVP Riset Keamanan Guardicore Labs Amit Serper menerbitkan hasil analisis Autodiscover, protokol yang digunakan untuk mengautentikasi ke server Microsoft Exchange dan untuk mengonfigurasi akses klien.

Ada iterasi berbeda dari protokol yang tersedia untuk digunakan. Guardicore menjelajahi implementasi Autodiscover berdasarkan POX XML dan menemukan “kesalahan desain” yang dapat dieksploitasi untuk ‘membocorkan’ permintaan web ke domain Autodiscover di luar domain pengguna, selama mereka berada di top-level (TLD) domain yang sama.

Untuk menguji protokol, tim terlebih dahulu mendaftarkan dan membeli sejumlah domain dengan akhiran TLD, termasuk Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, dan Autodiscover.com.uk, dan seterusnya.

Domain-domain ini kemudian ditugaskan ke server web Guardicore, dan para peneliti mengatakan bahwa mereka “hanya menunggu permintaan web untuk berbagai endpoint Autodiscover tiba.”

Secara total, Guardicore mampu menangkap 372.072 kredensial domain Windows dan 96.671 set kredensial unik dari sumber termasuk Microsoft Outlook dan klien email antara 16 April dan 25 Agustus 2021. Beberapa set dikirim melalui otentikasi dasar HTTP.

Untuk memitigasi masalah ini, Guardicore mengatakan bahwa domain TLD Autodiscover harus diblokir oleh firewall, dan ketika setup Exchange sedang dikonfigurasi, dukungan untuk otentikasi dasar harus dinonaktifkan — karena ini “sama seperti mengirim kata sandi dalam teks yang jelas melalui wire.”

Sumber: ZDNet

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

by

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News