Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Vulnerability

Vulnerability

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Cisco mengatasi bug kritis di klien Jabber untuk Windows, macOS dan beberapa OS lain

by

Cisco telah mengatasi kerentanan eksekusi program arbitrer kritis yang berdampak pada beberapa versi perangkat lunak klien Cisco Jabber untuk Windows, macOS, Android, dan iOS.

Cisco Jabber adalah aplikasi konferensi web dan pesan instan yang memungkinkan pengguna mengirim pesan melalui Extensible Messaging and Presence Protocol (XMPP).

Kerentanan tersebut dilaporkan oleh Olav Sortland Thoresen dari Watchcom. Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa cacat tersebut saat ini tidak dieksploitasi di alam liar.

Cacat keamanan yang dilacak sebagai CVE-2021-1411 dinilai oleh Cisco dengan skor keparahan 9,9 / 10, dan itu disebabkan oleh validasi input yang tidak tepat dari konten pesan masuk.

Untungnya, untuk mengeksploitasi bug kritis ini, penyerang perlu diautentikasi ke server XMPP yang digunakan oleh perangkat lunak yang rentan untuk mengirim pesan XMPP perusak yang berbahaya ke perangkat target mereka.

Selain itu, kerentanan tidak memengaruhi perangkat lunak klien Cisco Jabber yang dikonfigurasi untuk mode Pesan Tim atau Hanya Telepon.

Namun, eksploitasi CVE-2021-1411 yang berhasil — yang tidak memerlukan interaksi pengguna — dapat mengaktifkan penyerang jarak jauh yang diautentikasi untuk mengeksekusi program sewenang-wenang di perangkat Windows, macOS, Android, atau iOS yang menjalankan perangkat lunak klien Jabber yang belum ditambal.

Selengkapnya: Bleeping Computer

Kerentanan kritis F5 BIG-IP sekarang ditargetkan dalam serangan yang sedang berlangsung

by

Pada hari Kamis, perusahaan keamanan siber NCC Group mengatakan bahwa mereka berhasil mendeteksi eksploitasi liar dari kerentanan kritis yang baru-baru ini ditambal di perangkat jaringan F5 BIG-IP dan BIG-IQ.

Upaya eksploitasi telah dimulai awal minggu ini dan telah meningkat selama 24 jam terakhir, dengan aktivitas pemindaian massal terdeteksi oleh NCC Group dan Bad Packets.

“Mulai minggu ini dan terutama dalam 24 jam terakhir (18 Maret 2021) kami telah mengamati berbagai upaya eksploitasi terhadap infrastruktur honeypot kami,” kata Rich Warren dan Sander Laarhoven dari NCC Group.

Kerentanan keamanan yang coba dieksploitasi oleh penyerang ini adalah eksekusi perintah jarak jauh (RCE) yang tidak diautentikasi yang dilacak sebagai CVE-2021-22986, dan ini memengaruhi sebagian besar versi perangkat lunak F5 BIG-IP dan BIG-IQ.

Beberapa peneliti keamanan telah membagikan kode eksploitasi bukti konsep setelah merekayasa balik patch BIG-IP.

Eksploitasi bug yang berhasil (dengan tingkat keparahan 9.8 / 10) dapat menyebabkan gangguan sistem secara penuh, termasuk perpindahan lateral ke jaringan internal dan intersepsi lalu lintas aplikasi pengontrol.

Sumber: Bleeping Computer

Hacker “Expert” menggunakan 11 hari nol untuk menginfeksi pengguna Windows, iOS, dan Android

by

Dengan menggunakan teknik eksploitasi dan kebingungan baru, penguasaan berbagai jenis kerentanan, dan infrastruktur pengiriman yang kompleks, grup ini mengeksploitasi empat nol hari pada Februari 2020. Kemampuan peretas untuk menyatukan beberapa eksploitasi yang membahayakan perangkat Windows dan Android yang sepenuhnya ditambal. anggota Project Zero dan Grup Analisis Ancaman dari Google untuk menyebut grup itu “sangat canggih”.

Pada hari Kamis, peneliti Project Zero Maddie Stone mengatakan bahwa, dalam delapan bulan setelah serangan Februari, kelompok yang sama mengeksploitasi tujuh kerentanan yang sebelumnya tidak diketahui, yang kali ini juga berada di iOS. Seperti yang terjadi pada bulan Februari, para peretas mengirimkan eksploitasi melalui serangan lubang-air, yang menyusupi situs web yang sering dikunjungi oleh target minat dan menambahkan kode yang memasang perangkat lunak perusak di perangkat pengunjung.

Tujuh zero day adalah:

CVE-2020-15999 – Heap buffer overflow Chrome Freetype
CVE-2020-17087 – Windows heap buffer overflow di cng.sys
CVE-2020-16009 – Kebingungan jenis Chrome dalam penghentian peta TurboFan
CVE-2020-16010 – Chrome untuk Android heap buffer overflow
CVE-2020-27930 – Safari baca / tulis tumpukan sewenang-wenang melalui font Tipe 1
CVE-2020-27950 – Pengungkapan memori kernel iOS XNU di trailer pesan mach
CVE-2020-27932 – Kebingungan jenis kernel iOS dengan pintu putar

selengkapnya : Arstechnica

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

by

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

    • Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.
      Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.
      Ini adalah pendekatan yang disarankan untuk penyebaran Exchange dengan akses Internet dan bagi mereka yang ingin mencoba remediasi otomatis.
      Sejauh ini, kami belum mengamati dampak apa pun pada fungsionalitas Exchange Server saat metode mitigasi ini diterapkan.

    • Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

    Source : Microsoft

    Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

    by

    Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

    Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

    Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
    Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
    Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

    “Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
    “Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
    Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
    “Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

    Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

    Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

    CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
    CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
    CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

    Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

    Source : Bleeping Computer

    PoC baru untuk bug Microsoft Exchange membuat serangan dapat menjangkau siapa pun

    by

    Awal pekan ini, seorang peneliti keamanan bernama Nguyen Jang menerbitkan entri blog yang merinci eksploitasi bukti konsep (POC) untuk kerentanan Microsoft Exchange ProxyLogon. Jang juga membagikan eksploitasi yang sengaja rusak di GitHub yang memerlukan beberapa perbaikan agar berfungsi dengan benar.

    Namun, PoC memberikan informasi yang cukup sehingga peneliti keamanan dan pelaku ancaman dapat menggunakannya untuk mengembangkan eksploitasi eksekusi kode jarak jauh fungsional untuk server Microsoft Exchange.

    Segera setelah PoC diterbitkan, Jang menerima email dari GitHub milik Microsoft yang menyatakan bahwa PoC telah dihapus karena melanggar Kebijakan Penggunaan yang Dapat Diterima.

    Akhir pekan ini, seorang peneliti keamanan yang berbeda menerbitkan ProxyLogon PoC baru yang memerlukan sedikit modifikasi untuk mengeksploitasi server Microsoft Exchange yang rentan dan meletakkan shell web di atasnya.

    Will Dorman, Analis Kerentanan di CERT / CC, menguji kerentanan pada server Microsoft Exchange dan memberi tahu BleepingComputer bahwa itu bekerja dengan sedikit modifikasi.

    “Sekarang sudah dalam jangkauan ‘script kiddie'”, Dorman memperingatkan dalam diskusi mengenai PoC.

    Dengan eksploitasi untuk kerentanan Microsoft Exchange yang tersedia untuk umum, semakin penting bagi administrator untuk menambal server mereka sesegera mungkin.

    Selengkapnya: Bleeping Computer