Windows

Windows 10 21H2 menambahkan perlindungan ransomware ke Dasar Keamanan

December 22, 2021 by Winnie the Pooh

Microsoft telah merilis versi final pengaturan dasar konfigurasi keamanan untuk Windows 10, versi 21H2, tersedia hari ini dari Microsoft Security Compliance Toolkit.

“Pembaruan fitur Windows 10 ini membawa sangat sedikit pengaturan kebijakan baru,” kata konsultan keamanan Microsoft Rick Munck.

“Satu pengaturan telah ditambahkan untuk rilis ini untuk pembatasan penginstalan driver printer (yang juga ditambahkan ke rilis Windows 11). Selain itu, semua pengaturan Microsoft Edge Legacy telah dihapus,”

Namun, sorotan dari dasar keamanan Windows 10 yang baru adalah penambahan tamper protection sebagai pengaturan yang diaktifkan secara default (ini juga dibuat sebagai pengaturan default di dasar keamanan Windows 11 dua bulan lalu).

Saat mengaktifkan Microsoft Security Baseline untuk Windows 10 21H2, Microsoft mendesak admin untuk mengaktifkan fitur perlindungan tamper Defender for Endpoint untuk melindungi dari serangan ransomware yang dioperasikan oleh manusia.

Fitur ini melakukannya dengan memblokir upaya operator ransomware atau malware untuk menonaktifkan fitur keamanan OS dan solusi keamanan untuk mendapatkan akses yang lebih mudah ke data sensitif dan menyebarkan malware atau alat berbahaya lainnya.

Perlindungan tamper secara otomatis mengunci Microsoft Defender Antivirus menggunakan nilai aman default, menggagalkan upaya untuk mengubahnya menggunakan registri, cmdlet PowerShell, atau kebijakan grup.

Dengan dasar keamanan Windows 10 21H2 yang baru, Microsoft menghapus semua pengaturan Microsoft Edge Legacy setelah browser web berbasis EdgeHTML-nya mencapai masa akhir dukungan pada bulan Maret.

Dasar keamanan Windows 10 21H2 sekarang tersedia untuk diunduh melalui Microsoft Security Compliance Toolkit, dan mencakup pencadangan dan laporan Group Policy Object (GPO), skrip yang diperlukan untuk menerapkan pengaturan ke GPO lokal, serta aturan Policy Analyzer.

Selengkapnya: Bleeping Computer

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

December 15, 2021 by Winnie the Pooh

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

21 Elevation of Privilege Vulnerabilities
26 Remote Code Execution Vulnerabilities
10 Information Disclosure Vulnerabilities
3 Denial of Service Vulnerabilities
7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft Desktop Installer 1.16 for Windows 10, version 1809 and later
Microsoft Desktop Installer 1.11 for Windows 10, version 1709 or Windows 10, version 1803

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

December 10, 2021 by Winnie the Pooh

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

December 8, 2021 by Winnie the Pooh

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Ransomware Cerber baru menargetkan server Confluence dan GitLab

December 8, 2021 by Eevee

Cerber ransomware kembali, karena keluarga ransomware baru mengadopsi nama lama dan menargetkan server Atlassian Confluence dan GitLab menggunakan kerentanan eksekusi kode jarak jauh.

Ketika ransomware mulai meningkat pada tahun 2016, operasi ransomware Cerber baru muncul dan dengan cepat menjadi salah satu geng paling produktif pada saat itu. Namun, aktivitasnya perlahan mereda hingga menghilang pada akhir tahun 2019.

Mulai bulan lalu, sebuah ransomware bernama Cerber sekali lagi muncul, karena mulai menginfeksi korban di seluruh dunia dengan encryptor Windows dan Linux.

Versi baru Cerber membuat catatan tebusan bernama __$$RECOVERY_README$$__.html dan menambahkan ekstensi .locked ke file terenkripsi.

Cerber Tor payment site
Source: BleepingComputer

CTO Emsisoft dan ahli ransomware Fabian Wosar memeriksa varian baru dan mengatakan itu tidak cocok dengan kode keluarga yang lebih lama. Versi baru menggunakan pustaka Crypto+++, sedangkan varian yang lebih lama menggunakan pustaka Windows CryptoAPI.

Perbedaan kode ini dan fakta bahwa Cerber asli tidak memiliki varian Linux membuktikan bahwa aktor ancaman baru telah mengadopsi nama, catatan tebusan, dan situs pembayaran Tor, dan bukan operasi asli.

Para peneliti dan vendor keamanan telah melihat server peretasan operasi ransomware Cerber yang baru menggunakan kerentanan eksekusi kode jarak jauh di Atlassian Confluence dan GitLab.

Peneliti keamanan BoanBird juga membagikan sampel ransomware Cerber baru yang menunjukkan strain baru ini secara khusus menargetkan folder Atlassian Confluence yang tercantum di bawah ini.

C:\Program Files\Atlassian\Application Data
C:\Program Files\Atlassian\Application Data\Confluence
C:\Program Files\Atlassian\Application Data\Confluence\backups

BoanBird juga membagikan tautan ke forum GitLab di mana admin mengungkapkan bahwa Cerber mengeksploitasi kerentanan yang baru-baru ini diungkapkan dalam komponen ExifTool GitLab.

Kerentanan ini dilacak sebagai CVE-2021-26084 (Confluence) dan CVE-2021-22205 (GitLab) dan dapat dieksploitasi dari jarak jauh tanpa otentikasi. Selain itu, kedua kerentanan telah secara terbuka mengungkapkan eksploitasi proof-of-concept (PoC), memungkinkan penyerang untuk menembus server dengan mudah.

Para peneliti di Tencent menunjukkan bahwa serangan yang menyebarkan ransomware Cerber baru sebagian besar menargetkan Amerika Serikat, Jerman, dan China.

Meskipun versi Cerber sebelumnya mengecualikan target di CIS (Commonwealth of Independent States), data telemetri Tencent dari serangan baru-baru ini menunjukkan sebaliknya.

Saat ini, pendekatan terbaik untuk melindungi dari Cerber adalah dengan menerapkan pembaruan keamanan yang tersedia untuk Atlassian Confluence dan GitLab.

Selengkapnya : Bleeping Computer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

December 2, 2021 by Eevee

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

APT37 menargetkan jurnalis dengan malware multi-platform Chinotto

November 30, 2021 by Eevee

Kelompok peretas negara Korea Utara APT37 menargetkan jurnalis, pembelot, dan aktivis hak asasi manusia Korea Selatan, email spear-phishing, dan serangan smishing yang mengirimkan malware yang dijuluki Chinotto yang mampu menginfeksi perangkat Windows dan Android.

APT37 (alias Reaper) telah aktif setidaknya sejak 2012 dan merupakan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan pemerintah Korea Utara dengan kepercayaan tinggi oleh FireEye.

Kelompok ini dikenal menargetkan individu yang berkepentingan dengan rezim Korea Utara, termasuk jurnalis, diplomat, dan pegawai pemerintah.

Chinotto, malware yang disebar memungkinkan kelompok peretas untuk mengontrol perangkat yang disusupi, memata-matai penggunanya melalui tangkapan layar, menyebarkan muatan tambahan, mengumpulkan data yang menarik, dan mengunggahnya ke server yang dikendalikan penyerang

Seperti yang ditemukan Kaspersky, pintu belakang tersebut dikirimkan ke perangkat korban beberapa bulan setelah penyusupan awal. Dalam satu kasus, para peretas menunggu selama enam bulan sebelum menginstal Chinotto, yang memungkinkan mereka untuk mengekstrak data sensitif dari perangkat yang terinfeksi.

APT37 Garis waktu serangan Chinotto (Kaspersky)

Chinotto adalah malware yang sangat dapat disesuaikan, seperti yang ditunjukkan oleh banyak varian yang ditemukan saat menganalisis kampanye, terkadang beberapa muatan disebarkan pada perangkat yang terinfeksi yang sama.

Varian Windows dan Android malware menggunakan pola komunikasi perintah-dan-kontrol yang sama dan mengirimkan informasi yang dicuri ke server web yang sebagian besar berlokasi di Korea Selatan.

Karena varian Android meminta izin tambahan pada perangkat yang disusupi, setelah diberikan, Chinotto dapat menggunakannya untuk mengumpulkan data sensitif dalam jumlah besar, termasuk kontak korban, pesan teks, log panggilan, info perangkat, dan bahkan rekaman audio.

Jika mereka menemukan dan mencuri kredensial korban, itu memungkinkan operator APT37 menjangkau target lain menggunakan kredensial yang dicuri melalui email dan media sosial.
APT37 Aliran serangan Chinotto

APT37 Aliran serangan Chinotto (Kaspersky)

“Singkatnya, pelaku menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android. Pelaku memanfaatkan versi Windows yang dapat dijalankan dan versi PowerShell untuk mengontrol sistem Windows,” Kaspersky menyimpulkan.

“Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang sama, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.”

Sumber : Bleeping Computer

“Zero-day” pada Windows 10 yang baru memberikan hak admin, mendapat tambalan tidak resmi

November 28, 2021 by Søren

Patch tidak resmi gratis telah dirilis untuk melindungi pengguna Windows dari kerentanan zero-day local privilege escalation (LPE) di Layanan Manajemen Perangkat Seluler yang berdampak pada Windows 10, versi 1809 dan yang lebih baru.

Cacat keamanan berada di bawah pengaturan “Akses kantor atau sekolah”, dan melewati patch yang dirilis oleh Microsoft pada bulan Februari untuk mengatasi bug pengungkapan informasi yang dilacak sebagai CVE-2021-24084.

Namun, peneliti keamanan Abdelhamid Naceri (yang juga melaporkan kerentanan awal) menemukan bulan ini bahwa cacat yang tidak sepenuhnya ditambal juga dapat dieksploitasi untuk mendapatkan hak admin setelah mengungkapkan bug yang baru ditemukan pada bulan Juni secara publik.

“Yaitu, seperti yang diajarkan HiveNightmare/SeriousSAM kepada kami, pengungkapan file sewenang-wenang dapat ditingkatkan ke eskalasi hak istimewa lokal jika Anda tahu file mana yang harus diambil dan apa yang harus dilakukan dengannya,” co-founder 0patch Mitja Kolsek menjelaskan hari ini.

“Kami mengkonfirmasi ini dengan menggunakan prosedur yang dijelaskan dalam posting blog ini oleh Raj Chandel sehubungan dengan bug Abdelhamid – dan dapat menjalankan kode sebagai administrator lokal.”

Sementara Microsoft kemungkinan besar juga memperhatikan pengungkapan Naceri pada bulan Juni, perusahaan tersebut belum menambal bug LPE ini, mengekspos sistem Windows 10 dengan pembaruan keamanan November 2021 terbaru untuk serangan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings