Windows

Malware QBot Menyalahgunakan Windows WordPad EXE untuk Menginfeksi Perangkat

May 29, 2023 by Flamango

Operasi malware QBot telah mulai menyalahgunakan cacat pembajakan DLL di program WordPad Windows 10 untuk menginfeksi komputer, menggunakan program yang sah untuk menghindari deteksi oleh perangkat lunak keamanan.

DLL adalah file pustaka yang berisi fungsi-fungsi yang dapat digunakan oleh lebih dari satu program pada saat yang bersamaan. Saat aplikasi diluncurkan, aplikasi akan mencoba memuat DLL apa pun yang diperlukan.

Pembajakan DLL adalah saat pelaku ancaman membuat DLL berbahaya dengan nama yang sama dengan yang sah, dan menempatkannya di jalur pencarian awal Windows, biasanya folder yang sama dengan file yang dapat dieksekusi. Ketika executable itu diluncurkan, itu akan memuat DLL malware daripada yang sah dan menjalankan perintah berbahaya apa pun di dalamnya.

QBot menyalahgunakan kelemahan pembajakan WordPad DLL. QBot atau Qakbot sendiri merupakan malware Windows yang awalnya dimulai sebagai trojan perbankan tetapi berkembang menjadi dropper malware.

Geng ransomware, termasuk Black Basta, Egregor, dan Prolock, telah bermitra dengan operasi malware untuk mendapatkan akses awal ke jaringan perusahaan untuk melakukan serangan pemerasan.

Properti file document.exe, ini hanyalah salinan nama dari file yang dapat dieksekusi Write.exe yang sah yang digunakan untuk meluncurkan editor dokumen Windows 10 WordPad.

Berganti nama Windows 10 WordPad dapat dieksekusi
(Sumber: BleepingComputer)

QBot akan diam-diam berjalan di latar belakang, mencuri email untuk digunakan dalam serangan phishing lebih lanjut dan akhirnya mengunduh muatan lain, seperti Cobalt Strike.

Dengan menginstal QBot melalui program tepercaya seperti Windows 10 WordPad (write.exe), pelaku ancaman berharap perangkat lunak keamanan tidak menandai malware sebagai berbahaya.

Saat ini, operasi QBot telah beralih ke metode infeksi lain dalam beberapa minggu terakhir, tetapi tidak jarang mereka beralih ke taktik sebelumnya dalam kampanye selanjutnya.

Selengkapnya: BleepingComputer

Admin Windows memperingatkan untuk menambal bug MSMQ QueueJumper yang kritis

April 13, 2023 by Coffee Bean

Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.

MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.

Cacat (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang tidak ditambal menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”

“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.

Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.

Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.

Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.

selengkapnya : bleepingcomputer.com

Microsoft memperbaiki bug Windows Defender berusia 5 tahun yang mematikan kinerja Firefox

April 12, 2023 by Coffee Bean

Selama lebih dari lima tahun, perlindungan keamanan yang diberikan oleh Microsoft Defender berdampak negatif terhadap pengguna Firefox selama sesi penjelajahan web mereka. Komponen Antimalware Service Executable dari Defender (MsMpEng.exe) bertingkah aneh, menunjukkan penggunaan CPU yang tinggi saat Firefox dijalankan pada waktu yang bersamaan.

Firefox mengandalkan dan mengeksekusi sejumlah besar panggilan ke fungsi VirtualProtect kernel OS sambil melacak kejadian Windows (ETW). VirtualProtect adalah fungsi untuk mengubah “perlindungan pada wilayah halaman yang berkomitmen di ruang alamat virtual dari proses pemanggilan,” Microsoft menjelaskan, dan Defender melakukan banyak “perhitungan yang tidak berguna” pada setiap peristiwa sementara Firefox menghasilkan banyak acara ETW.

Pengembang Mozilla mengatakan bahwa pembaruan Defender akan memberikan peningkatan besar-besaran ~75% dalam penggunaan CPU dari MsMpEng.exe saat menjelajah web dengan Firefox. Dengan perbaikan tersebut, fitur Perlindungan Real-time Defender – yang diaktifkan secara default di Windows – akan mengkonsumsi lebih sedikit CPU daripada sebelumnya saat memantau perilaku dinamis program apa pun melalui ETW.

Microsoft juga membawa pembaruan ke sistem Windows 7 dan Windows 8.1 yang sekarang sudah usang, karena Firefox akan tetap mendukung kedua sistem operasi tersebut “setidaknya” hingga 2024. Selanjutnya, para insinyur Mozilla mengatakan bahwa “penemuan terbaru” dibuat saat menganalisis bug Defender yang aneh akan membantu Firefox “melangkah lebih jauh dalam penggunaan CPU,” dengan semua perangkat lunak antivirus lainnya dan bukan hanya Defender kali ini.

selengkapnya : techspot.com

Microsoft meriliskan perbaikan untuk Windows 11 screenshot bug privasi

March 26, 2023 by Coffee Bean

Microsoft telah merilis sepasang pembaruan darurat untuk mengatasi kelemahan keamanan “aCropalypse” yang ditemukan dalam aplikasi pengeditan screenshot Windows 10 dan 11 aslinya. Seperti yang dilaporkan Bleeping Computer, perusahaan mulai menguji perbaikan vulnerabilty awal pekan ini tak lama setelah ditemukan oleh pensiunan insinyur perangkat lunak Chris Blume.

Pada Jumat malam, Microsoft mulai meluncurkan pembaruan publik untuk Snipping Tool Windows 11 serta aplikasi Snip & Sketch Windows 10. Anda dapat secara manual meminta Windows untuk menambal aplikasi yang Anda gunakan dengan membuka Microsoft Store dan mengeklik “Library”, diikuti dengan “Get Updates”. Microsoft merekomendasikan semua pengguna menginstal pembaruan.

Cacat aCropalypse pertama kali ditemukan pada perangkat Pixel, dan kemudian ditangani oleh Google dalam pembaruan keamanan Android Maret baru-baru ini. Dalam kasus Snipping Tool Windows 11, ternyata utilitas tersebut tidak menimpa data PNG yang dipangkas dengan benar. Masalah ini tidak memengaruhi semua file PNG, tetapi kekhawatirannya adalah bahwa aktor jahat dapat mengeksploitasi vulnerabilty untuk memulihkan sebagian gambar yang diedit, terutama yang telah dipangkas untuk menghilangkan informasi sensitif. Seperti pembaruan Android Maret Google, tambalan Microsoft tidak akan melindungi gambar yang sebelumnya dibuat dengan alat screenshot.

sumber : engadget.com

Bug privasi Windows 11 Snipping Tool memperlihatkan konten gambar yang dipangkas

March 22, 2023 by Eevee

Sebuah cacat privasi serius bernama ‘acropalypse’ telah ditemukan mempengaruhi Snipping tool Windows dan Alat Markup Google Pixel.

Cacat ini memungkinkan pemulihan sebagian konten yang telah diedit dari gambar, yang dapat menimbulkan masalah privasi yang signifikan jika gambar tersebut memuat informasi sensitif seperti nomor kartu kredit atau wajah yang dihapus.

Para peneliti telah meluncurkan utilitas pemulihan tangkapan layar online untuk memulihkan gambar yang telah diedit dengan Google Pixel. Selain itu, Software engineer Chris Blume telah mengonfirmasi bahwa kelemahan privasi ‘acropalypse’ juga memengaruhi Alat Snipping Windows 11.

Ketika memotong atau mengedit file dalam Alat Snipping Windows 11, data yang tidak terpakai tidak dipotong dan dapat dipulihkan sebagian. Hal ini telah dikonfirmasi oleh pakar kerentanan.

Meskipun gambar yang dipotong sekarang berisi data yang jauh lebih sedikit daripada aslinya, ukuran file untuk file gambar asli (office-screenshot-original.png) dan file gambar yang dipotong (office-screenshot.png) sama, seperti yang terlihat di bawah.

Original and cropped images have the same file size
Source: BleepingComputer

Spesifikasi format file PNG mempersyaratkan agar file gambar PNG selalu diakhiri dengan potongan data ‘IEND’. Data apa pun yang ditambahkan setelah itu akan diabaikan oleh editor gambar dan penampil.

Sebagai contoh, di bawah ini adalah tangkapan layar asli yang saya ambil dari situs Microsoft. Seperti yang terlihat, file tersebut diakhiri dengan ‘IEND’ dan tidak mengandung data apapun setelah itu.

Potongan IEND di akhir gambar PNG asli
Sumber: BleepingComputer

Namun, menggunakan Snipping tool Windows 11 untuk menimpa gambar asli dengan versi yang dipotong, program tidak memotong data yang tidak digunakan dengan benar, dan tetap ada setelah potongan data IEND.

Data tidak terpotong setelah potongan data IEND
Sumber: BleepingComputer

Dalam penampil gambar, membuka file hanya akan menampilkan gambar yang dipotong, karena apapun setelah IEND pertama akan diabaikan. Namun, data yang tidak dipotong dapat digunakan untuk memulihkan bagian dari gambar asli yang berpotensi mengungkapkan informasi sensitif.

Saat ini, aplikasi pemulihan tangkapan layar acropalypse online tidak berfungsi dengan file Windows. Namun, Buchanan membagikan skrip Python yang dapat digunakan untuk memulihkan file Windows.

Perlu dicatat bahwa tidak semua file PNG terpengaruh oleh kelemahan ini, misalnya PNG yang dioptimalkan. Buchanan menjelaskan bahwa PNG asli disimpan dengan satu blok zlib, sedangkan tangkapan layar sebenarnya disimpan dengan beberapa blok zlib yang diperlukan untuk dieksploitasi.

Jika Anda membuka file PNG yang tidak terpotong di editor gambar seperti Photoshop dan menyimpannya ke file lain, data yang tidak digunakan akan dihapus sehingga tidak dapat dipulihkan lagi.

Alat Snipping di Windows 11 juga melakukan perilaku yang sama dengan file JPG, membiarkan data tidak terpotong jika ditimpa. Buchanan menegaskan bahwa saat ini eksploitasi tidak berfungsi pada file JPG, tetapi masih memungkinkan untuk dilakukan.

Sumber: Bleeping Computer

Pengguna Windows Perlu Segera Memperbarui Outlook

March 21, 2023 by Flamango

Menurut Microsoft, peretas secara aktif mengeksploitasi kerentanan kritis eskalasi hak istimewa (EoP) di Outlook. Pengguna Outlook di Windows perlu memperbarui klien email hari ini untuk menambal kerentanan kritis. Organisasi besar harus berkonsultasi dengan instruksi Microsoft untuk mengurangi ancaman ini dengan cepat.

Kerentanan zero-day CVE-2023-23397 ini diberi peringkat 9,8 dari 10 pada skala CVSS, menandakan bahwa berbahaya dan mudah dieksploitasi. Menurut Microsoft, email yang dibuat khusus secara otomatis memicu eksploit saat diterima oleh Outlook, tanpa interaksi apa pun dari korban.

Peretas dapat memperoleh akses ke jaringan korban untuk serangan atau observasi lebih lanjut melalui hash Net-NTLMv2 korban. Aktor ancaman berbasis di Rusia telah memanfaatkan eksploitasi ini untuk menargetkan organisasi di sektor pemerintahan, transportasi, energi, dan militer di Eropa.

Cara memperbarui Outlook yaitu tekan tab “File”, pilih “Microsoft Account” dari menu pop-out, klik “Update Options”, dan pilih “Update Now”.

Microsoft mencantumkan beberapa metode mitigasi pada daftar CVE-nya untuk mengantisipasi sebagian besar organisasi yang mengalami kesulitan memperbarui semua contoh Outlook. Ditawarkan juga skrip PowerShell yang memungkinkan organisasi melihat apakah mereka telah menjadi sasaran kerentanan ini.

Selengkapnya: reviewgeek

Resmi: Malware BlackLotus dapat mem-bypass Secure Boot pada Windows

March 3, 2023 by Flamango

BlackLotus, bootkit UEFI yang dijual di forum peretasan seharga sekitar $5.000, sekarang dapat mem-bypass Secure Boot, menjadikannya malware pertama yang diketahui berjalan di sistem Windows bahkan dengan fitur keamanan firmware diaktifkan.
Secure Boot seharusnya mencegah perangkat menjalankan perangkat lunak yang tidak sah pada mesin Microsoft. Tetapi dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Peneliti keamanan utama Kaspersky, pertama kali melihat BlackLotus dijual di pasar kejahatan siber pada Oktober 2022 dan spesialis keamanan telah membongkar bagian demi bagian sejak saat itu.

Malware terbaru mampu berjalan bahkan pada sistem Windows 11 yang sepenuhnya up-to-date dengan UEFI Secure Boot diaktifkan.

Eksploitasi proof-of-concept untuk kerentanan ini telah tersedia untuk umum sejak Agustus 2022, diperkirakan akan segera melihat lebih banyak penjahat dunia maya menggunakan masalah ini untuk tujuan terlarang.

BlackLotus dapat menonaktifkan beberapa alat keamanan OS termasuk BitLocker, Integritas Kode yang dilindungi Hypervisor (HVCI) dan Windows Defender, dan melewati Kontrol Akun Pengguna (UAC), menurut toko keamanan.

Secure Boot dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Setelah mengeksploitasi CVE-2022-21894 dan mematikan alat keamanan sistem, BlackLotus menyebarkan driver kernel dan pengunduh HTTP. Driver kernel melindungi file bootkit dari penghapusan, sedangkan pengunduh HTTP berkomunikasi dengan server perintah-dan-kontrol dan mengeksekusi muatan.

Selengkapnya: The Register

Hacker Menggunakan Wiper SwiftSlicer Baru untuk Menghancurkan Domain Windows

January 30, 2023 by Flamango

Peneliti keamanan telah mengidentifikasi malware penghapus data baru SwiftSlicer yang bertujuan untuk menimpa file penting yang digunakan oleh sistem operasi Windows.

SwiftSlicer ditemukan dalam serangan cyber baru-baru ini terhadap target di Ukraina, dikaitkan dengan Sandworm, kelompok peretasan yang bekerja untuk Direktorat Intelijen Utama (GRU) Staf Umum Rusia sebagai bagian dari unit militer Pusat Utama untuk Teknologi Khusus (GTsST) 74455 .

Penghapus Data Berbasis Go
Peneliti keamanan perusahaan cybersecurity ESET menemukan malware destruktif yang digunakan selama serangan cyber di Ukraina.

Sandworm meluncurkan SwiftSlicer menggunakan Kebijakan Grup Direktori Aktif, memungkinkan admin domain untuk mengeksekusi skrip dan perintah di semua perangkat di jaringan Windows.

SwiftSlicer juga digunakan untuk menghapus salinan bayangan dan menimpa file penting di direktori sistem Windows, khususnya driver dan database Active Directory.
pict – Fungsi malware penghapus data SwiftSlicer (ESET)

Malware Destruktif Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan bahwa Sandworm juga mencoba menggunakan lima utilitas penghancur data di jaringan kantor berita Ukrinform yaitu CaddyWiper (Windows), ZeroWipe (Windows), SDelete (alat yang sah untuk Windows), AwfulShred (Linux), dan BidSwipe (FreeBSD).

Hasil investigasi diketahui bahwa SandWorm mendistribusikan malware ke komputer di jaringan menggunakan Group Policy Object (GPO).

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings