Vulnerability

Eksploitasi 0-hari Windows PrintNightmare publik memungkinkan pengambilalihan domain

July 1, 2021 by Mally

Detail teknis dan eksploitasi proof-of-concept (PoC) telah bocor secara tidak sengaja untuk kerentanan yang saat ini belum ditambal di Windows yang memungkinkan eksekusi kode jarak jauh.

Terlepas dari kebutuhan untuk otentikasi, tingkat keparahan masalah ini sangat penting karena aktor ancaman dapat menggunakannya untuk mengambil alih server domain Windows untuk menyebarkan malware dengan mudah ke seluruh jaringan perusahaan.

Masalah ini memengaruhi Windows Print Spooler dan karena daftar panjang bug yang memengaruhi komponen ini selama bertahun-tahun [1, 2, 3, 4], para peneliti menamakannya PrintNightmare.

Beberapa peneliti telah menguji eksploitasi PoC yang bocor pada sistem Windows Server 2019 yang sepenuhnya ditambal dan dapat mengeksekusi kode sebagai SISTEM.

Kebocoran detail untuk kerentanan ini terjadi secara tidak sengaja, karena kebingungan dengan masalah lain, CVE-2021-1675, juga memengaruhi Print Spooler yang ditambal Microsoft dalam peluncuran pembaruan keamanan bulan ini.

Awalnya, Microsoft mengklasifikasikan CVE-2021-1675 sebagai masalah eskalasi hak istimewa dengan tingkat keparahan tinggi, tetapi beberapa minggu kemudian mengubah peringkat menjadi kritis dan berdampak pada eksekusi kode jarak jauh, tanpa memberikan detail apa pun.

Dikreditkan untuk pelaporan CVE-2021-1675 adalah peneliti dari tiga perusahaan cybersecurity (Tencent, AFINE, NSFOCUS) tetapi beberapa tim menganalisis Windows Print Spooler.

selengkapnya : www.bleepingcomputer.com

NVIDIA Menambal Bug Serangan Spoof GeForce Tingkat Tinggi

June 30, 2021 by Mally

Perangkat lunak grafis game NVIDIA yang disebut GeForce Experience, dibundel dengan GPU GTX pembuat chip yang populer, memiliki kerentanan dan membuka pintu bagi penyerang jarak jauh yang dapat mengeksploitasi bug untuk mencuri atau memanipulasi data pada komputer Windows yang rentan.

NVIDIA memberi tahu pelanggan akhir minggu lalu tentang bug tersebut dan merilis tambalan perangkat lunak untuk cacat tersebut, yang ada dalam perangkat lunak Windows GeForce Experience (versi 3.21 dan sebelumnya). Pembaruan GeForce 3.23 sekarang tersedia untuk memitigasi bug.

Bug dilacak sebagai CVE‑2021‑1073, dengan peringkat keparahan CVSS 8.3 (tinggi). Perusahaan memperingatkan:

Perangkat lunak NVIDIA GeForce Experience mengandung kerentanan di mana, jika pengguna mengklik tautan berformat jahat yang membuka halaman login GeForce Experience di tab browser baru alih-alih aplikasi GeForce Experience dan memasukkan informasi login mereka, situs berbahaya tersebut bisa mendapatkan akses ke token sesi login pengguna. Serangan semacam itu dapat menyebabkan data pengguna yang ditargetkan ini diakses, diubah, atau hilang.

Mereka yang terpengaruh disarankan untuk mengunduh dan menginstal pembaruan perangkat lunak melalui halaman GeForce Experience Download atau cukup membuka klien perangkat lunak, yang kemudian akan memperbarui perangkat lunak secara otomatis.

GeForce Experience adalah perangkat lunak gratis yang dibundel dengan kartu grafis NVIDIA dan dirancang khusus untuk meningkatkan kinerja game PC. Ini memungkinkan pengguna untuk memantau dan mengoptimalkan kinerja sistem, mengambil tangkapan layar dalam game, dan merekam atau streaming langsung permainan game ke komunitas seperti Twitch.

Selengkapnya: Threat Post

Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

June 30, 2021 by Mally

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis yang diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Google Compute Engine (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk mengatur metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Dalam skenario dunia nyata, rantai serangan yang digunakan dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia.

Selengkapnya: The Hacker News

Bug Microsoft Edge Dapat Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

June 29, 2021 by Mally

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.

Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Selengkapnya: The Hacker News

Kerentanan Cisco ASA dieksploitasi secara aktif setelah eksploitasi dirilis

June 28, 2021 by Mally

Peretas memindai dan secara aktif mengeksploitasi kerentanan di perangkat Cisco ASA setelah eksploitasi PoC dipublikasikan di Twitter.

Pada hari Kamis, para peneliti dari Tim Offensive Positive Technologies menerbitkan eksploitasi PoC untuk kerentanan Cisco ASA CVE-2020-3580 di Twitter.

Kerentanan Cisco ASA ini adalah kerentanan cross-site scripting (XSS) yang dilacak sebagai CVE-2020-3580.

Cisco pertama kali mengungkapkan kerentanan dan mengeluarkan perbaikan pada Oktober 2020. Namun, patch awal untuk CVE-2020-3580 tidak lengkap, dan perbaikan lebih lanjut dirilis pada April 2021.

Kerentanan ini dapat memungkinkan aktor ancaman yang tidak diautentikasi untuk mengirim email phishing yang ditargetkan atau tautan berbahaya ke pengguna perangkat Cisco ASA untuk menjalankan perintah JavaScript di browser pengguna.

“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode skrip dalam konteks antarmuka atau memungkinkan penyerang mengakses informasi sensitif berbasis browser,” kata penasihat Cisco.

Karena pelaku ancaman sekarang secara aktif mengeksploitasi kerentanan tersebut, sangat penting bagi administrator untuk segera menambal perangkat Cisco ASA yang rentan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Selengkapnya: Bleeping Computer

Patch Bug Tor Browser untuk Mencegah Pelacakan Aktivitas Online Anda

June 24, 2021 by Mally

Browser Tor open-source telah diperbarui ke versi 10.0.18 dengan perbaikan untuk beberapa masalah, termasuk bug yang merusak privasi yang dapat digunakan untuk pengguna sidik jari secara unik di berbagai browser berdasarkan aplikasi yang diinstal di komputer.

Selain memperbarui Tor ke 0.4.5.9, versi Android browser telah ditingkatkan ke Firefox ke versi 89.1.1, bersama dengan patch yang diluncurkan oleh Mozilla untuk beberapa kerentanan keamanan yang ditangani di Firefox 89.

Satu di antara masalah yang diperbaiki adalah serangan sidik jari baru yang terungkap bulan lalu. Dijuluki skema flooding, kerentanan memungkinkan situs web jahat untuk memanfaatkan informasi tentang aplikasi yang diinstal pada sistem untuk menetapkan pengidentifikasi unik permanen kepada pengguna bahkan ketika mereka beralih browser, menggunakan mode penyamaran, atau VPN.

Dengan kata lain, kelemahan ini memanfaatkan skema URL khusus di aplikasi sebagai vektor serangan, memungkinkan pelaku jahat untuk melacak pengguna perangkat di antara browser yang berbeda, termasuk Chrome, Firefox, Microsoft Edge, Safari, dan bahkan Tor, secara efektif menghindari lintas-browser perlindungan anonimitas di Windows, Linux, dan macOS.

Masalah ini memiliki implikasi serius terhadap privasi karena dapat dieksploitasi oleh musuh untuk membuka kedok pengguna Tor dengan menghubungkan aktivitas penjelajahan mereka saat mereka beralih ke browser non-anonim, seperti Google Chrome.

Selengkapnya: The Hacker News

Ribuan Server VMware vCenter Masih Terbuka untuk Diserang Melalui Internet

June 21, 2021 by Mally

Ribuan instance Server VMware vCenter dengan dua kerentanan yang baru-baru ini diungkapkan di dalamnya tetap dapat diakses publik di Internet tiga minggu setelah perusahaan mendesak organisasi untuk segera menambal kekurangan tersebut, dengan alasan tingkat keparahannya.

Kerentanan, CVE-2021-21985 dan CVE-2021-21986, pada dasarnya memberi penyerang cara untuk mengambil kendali penuh atas sistem yang menjalankan vCenter Server, sebuah utilitas untuk mengelola lingkungan server virtual VMware vSphere secara terpusat. Kerentanan ada di vCenter Server versi 6.5, 6.7, dan 7.0.

VMware merilis tambalan yang mengatasi kerentanan pada 25 Mei. Pada saat itu, perusahaan mendesak organisasi dengan versi perangkat lunak yang terpengaruh untuk menerapkan tambalan dengan cepat karena tingkat risiko yang tinggi dari kelemahan yang disajikan pada keamanan perusahaan.

Namun tiga minggu setelah pengumuman itu – dan peringatan berikutnya tentang aktivitas eksploitasi dari Badan Keamanan Cybersecurity dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri – banyak instance Server vCenter yang rentan tetap tidak ditambal dan terbuka untuk diserang, menurut Trustwave.

Perusahaan baru-baru ini melakukan pencarian di Shodan untuk melihat berapa banyak instance utilitas yang dapat ditemukan yang masih dapat diakses melalui Internet. Pencarian menghasilkan total 5.271 instance Server VMware vCenter yang terbuka secara publik ke Internet. Dari jumlah itu, 4.019 dipastikan rentan terhadap dua ancaman yang diidentifikasi VMware bulan lalu. 942 host lainnya menjalankan server vCenter versi lama dan akhir masa pakainya, Trustwave mengatakan dalam sebuah laporan minggu ini.

Selengkapnya: Dark Reading

Fortinet Ditargetkan untuk Aktivitas SSL VPN Discovery yang Belum Ditambal

June 16, 2021 by Mally

Guy Bruneau, seorang peneliti keamanan, telah mengamati aktivitas pemindaian untuk menemukan layanan FortiGate SSL VPN yang belum ditambal selama 60 hari terakhir.

Sebenarnya, Fortinet telah memperbaiki beberapa kerentanan kritis di SSL VPN dan firewall web tahun ini dari Remote Code Execution (RCE) hingga SQL Injection, Denial of Service (DoS) yang berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF), namun beberapa pengguna masih belum menerapkan pembaruan tersebut.

Tidak menerapkan pembaruan akan berdampak pada pelanggaran keamanan yang serius, karena seperti yang diungkapkan oleh Bruneau, penyerang sudah mulai memindai internet untuk menemukan layanan FortiGate SSL VPN yang belum ditambal.

US-CERT juga sudah merilis peringatan yang menyatakan bahwa aktor APT mencari kerentanan Fortinet untuk mendapatkan akses ke jaringan korban. Dengan adanya penemuan dari Bruneau ini, pengguna dianjurkan untuk menerapkan pembaruan sesegera mungkin.

ISC SANS

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings