Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

Pembaruan Windows 11 Pertama Rilis Disertai Dengan Perbaikan Besar

by

Setiap Selasa kedua setiap bulan, semua produk Microsoft yang didukung mendapatkan pembaruan, dan itu termasuk Windows 11.

Ini adalah pembaruan pertama yang diterima Windows 11 dalam produksi, dan pengguna Beta dan Pratinjau Rilis mendapatkannya secara bersamaan. Anehnya, daftar perbaikannya relatif singkat, jadi mungkin ada beberapa perubahan tersembunyi yang tidak ada dalam changelog.

Pembaruannya adalah KB5006674, dan membawa nomor build ke 22000.258. Anda dapat mengunduhnya secara manual di sini.

  • Mengatasi masalah kompatibilitas yang diketahui antara beberapa perangkat lunak jaringan Intel “Killer” dan “SmartByte” dan Windows 11 (rilis asli). Perangkat dengan perangkat lunak yang terpengaruh mungkin menjatuhkan paket User Datagram Protocol (UDP) dalam kondisi tertentu. Ini menciptakan kinerja dan masalah lain untuk protokol berdasarkan UDP. Misalnya, beberapa situs web mungkin memuat lebih lambat daripada yang lain di perangkat yang terpengaruh, yang dapat menyebabkan video mengalir lebih lambat dalam resolusi tertentu. Solusi VPN berdasarkan UDP mungkin juga lebih lambat.

Microsoft mengatakan bahwa tidak ada masalah yang diketahui dalam pembaruan, tetapi itu tidak berarti bahwa tidak ada masalah yang diketahui di Windows 11. Perusahaan menyimpan daftar terpisah dari masalah yang diketahui di sini, dan dari ketiganya, hanya satu yang diperbaiki dalam pembaruan ini.

Ke depannya, pembaruan Windows 11 tidak akan bekerja secara berbeda dari yang mereka lakukan dengan Windows 10. Anda masih akan melihat pembaruan kumulatif wajib lainnya setiap Patch Tuesday, dan itu akan diinstal secara otomatis jika Anda tidak proaktif menginstalnya sendiri. Juga akan ada pembaruan minggu C dan D opsional, yang tidak akan diinstal secara otomatis.

Selengkapnya: XDA Developers

Microsoft Oktober 2021 Patch Tuesday Memperbaiki 4 Zero-Days

by

Hari ini adalah Patch Tuesday Oktober 2021 Microsoft, dan dengan itu datang perbaikan untuk empat kerentanan zero-day dan total 74 kerentanan keamanan.

Microsoft telah memperbaiki 74 kerentanan (81 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, 70 sebagai Penting, dan satu sebagai Rendah.

81 kerentanan ini (termasuk Microsoft Edge) diklasifikasikan sebagai:

  • 21 Kerentanan Peningkatan Hak Istimewa
  • 6 Kerentanan Bypass Fitur Keamanan
  • 20 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 5 Kerentanan Denial of Service
  • 9 Kerentanan Spoofing

Patch Tuesday Oktober mencakup perbaikan untuk empat kerentanan zero-day, dengan kerentanan Win32k Elevation of Privilege Vulnerability yang diketahui telah dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan yang dieksploitasi secara aktif ditemukan oleh Boris Larin (oct0xor) Kaspersky dan memungkinkan malware atau aktor ancaman untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

Kaspersky mengungkapkan bahwa kerentanan itu digunakan oleh aktor ancaman dalam “kampanye spionase luas terhadap perusahaan IT, kontraktor militer/pertahanan, dan entitas diplomatik.”

Sebagai bagian dari serangan, pelaku ancaman memasang trojan akses jarak jauh (RAT) yang ditingkatkan dengan izin yang lebih tinggi menggunakan kerentanan Windows zero-day.

Kaspersky menyebut kelompok aktivitas berbahaya ini sebagai MysterSnail dan dikaitkan dengan aktivitas IronHusky dan APT berbahasa Mandarin.

Microsoft juga memperbaiki tiga kerentanan lain yang diungkapkan kepada publik yang tidak diketahui apakah sedang dieksploitasi dalam serangan.

  • CVE-2021-40469 – Windows DNS Server Remote Code Execution Vulnerability
  • CVE-2021-41335 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-41338 – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

Selengkapnya: Bleeping Computer

Windows 11: Microsoft sedang menyelidiki delapan masalah ini

by

Windows 11 secara resmi dirilis, dan pengguna mengalami berbagai masalah dan masalah yang mencegah mereka meningkatkan atau menggunakan sistem operasi baru dengan benar. Di bawah ini kami telah mengumpulkan delapan masalah umum yang memengaruhi Windows 11 dan kapan masalah tersebut diharapkan diperbaiki.

Windows 11 menggunakan taskbar Windows 10
Setelah melakukan pembaharuan ke Windows 11, beberapa pengguna melaporkan bahwa mereka masih memiliki bilah tugas Windows 10 daripada yang didesain ulang untuk sistem operasi baru.

Menu Start Windows 11 tidak terbuka
Orang-orang melaporkan bahwa Start Menu tidak lagi berfungsi setelah memutakhirkan ke Windows 11. Ketika mereka mencoba menggunakannya, itu tidak akan terbuka atau akan freeze.

Performa hingga 15% dicapai pada CPU AMD
AMD telah mengumumkan bahwa pengguna dapat merasakan kinerja CPU hingga 5% saat menggunakan aplikasi tertentu, dengan beberapa game melihat hingga 15%.

Kesalahan “PC ini tidak dapat menjalankan Windows 11”
Beberapa pengguna melihat pesan yang menyatakan, “PC ini saat ini tidak memenuhi semua persyaratan sistem untuk Windows 11” di halaman Pembaruan Windows meskipun perangkat keras mereka kompatibel.

File Explorer Windows 11 menggunakan terlalu banyak memori
Sejak rilis build pratinjau Windows 11, File Explorer telah mengalami kebocoran memori yang menyebabkan aplikasi menggunakan terlalu banyak memori sistem.

Masalah kompatibilitas Windows 11 dengan Oracle VirtualBox
Jika Oracle VirtualBox diinstal pada perangkat Windows 11 yang mengaktifkan Hyper-V, masalah kompatibilitas dapat menyebabkan mesin virtual (VM) tidak dapat dijalankan.

Kehilangan data dengan aplikasi Intel ‘Killer’ dan Dell ‘SmartByte’
Microsoft has discovered compatibility issues with the Intel “Killer” and Dell “SmartByte” network optimization applications.

Masalah browser Cốc Cốc
Microsoft telah menemukan masalah kompatibilitas dengan browser Cốc Cốc yang mencegah browser dibuka dan dapat menyebabkan masalah dan kesalahan lainnya.

Selengkapnya: Bleeping Computer

Microsoft Exec: Persyaratan CPU Windows 11 Memungkinkan Fitur Keamanan Utama Untuk Dijalankan ‘Secara Default’

by

Microsoft telah menetapkan persyaratan CPU minimum untuk Windows 11 pada generasi kedelapan Intel karena chip memungkinkan beberapa fitur keamanan penting untuk diaktifkan secara default di sistem operasi, menawarkan peningkatan keamanan utama atas Windows 10, seorang eksekutif keamanan Microsoft mengatakan kepada CRN.

Dengan ketersediaan umum Windows 11 yang akan diluncurkan pada hari Selasa, David Weston, direktur OS dan keamanan perusahaan Microsoft, berbicara tentang bagaimana persyaratan CPU bertujuan untuk meningkatkan keamanan dalam sistem operasi baru tanpa menyebabkan pertukaran dalam pengurangan kinerja.

Chip Intel generasi kedelapan dan lebih tinggi mendukung penggunaan fitur keamanan utama tertentu—seperti keamanan berbasis virtualisasi (VBS)—sementara juga memberikan kinerja optimal saat menjalankan fitur tersebut secara otomatis, kata Weston dalam sebuah wawancara dengan CRN.

Di Windows 10, fitur keamanan yang kuat seperti VBS bersifat opsional dan tidak berjalan secara otomatis—dan akibatnya jarang digunakan, katanya.

“Strategi untuk rilis awal Windows 11 sangat sederhana: meningkatkan baseline. Aktifkan hal-hal yang opsional di Windows 10 secara default,” kata Weston.

Salah satu contohnya adalah fitur yang disebut kontrol eksekusi berbasis mode, yang—bersamaan dengan CPU Intel generasi kedelapan dan lebih tinggi—membantu memastikan kinerja optimal saat menjalankan perlindungan keamanan berbasis virtualisasi tertentu, katanya.

Selain kontrol eksekusi berbasis mode, chip generasi kedelapan Intel juga memastikan bahwa enkripsi Trusted Platform Module (TPM) dan kemampuan secure boot hadir, kata Weston.

Selengkapnya: CRN

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

by

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

Geng Ransomware Cring Mengeksploitasi Bug ColdFusion Berusia 11 Tahun

by

Pelaku ancaman tak dikenal melanggar server yang menjalankan perangkat lunak ColdFusion 9 versi 11 tahun yang belum ditambal dalam hitungan menit untuk mengambil alih kendali dari jarak jauh dan menyebarkan ransomware Cring di jaringan target 79 jam setelah peretasan.

Server, yang dimiliki oleh perusahaan layanan yang tidak disebutkan namanya, digunakan untuk mengumpulkan data absen dan akuntansi untuk penggajian serta untuk menampung sejumlah mesin virtual, menurut laporan yang diterbitkan oleh Sophos dan dibagikan dengan The Hacker News. Serangan tersebut berasal dari alamat internet yang ditetapkan untuk ISP Green Floid Ukraina.

Perusahaan perangkat lunak keamanan Inggris mengatakan “pembobolan cepat” dimungkinkan dengan mengeksploitasi instalasi Adobe ColdFusion 9 berusia 11 tahun yang berjalan pada Windows Server 2008, yang keduanya telah mencapai akhir masa pakainya (end-of-life).

Setelah mendapatkan pijakan awal, penyerang menggunakan berbagai metode canggih untuk menyembunyikan file mereka, menyuntikkan kode ke dalam memori, dan menutupi jejak mereka dengan menimpa file dengan data yang kacau, belum lagi melucuti produk keamanan dengan memanfaatkan fakta bahwa fungsi proteksi gangguan dimatikan.

Khususnya, musuh mengambil keuntungan dari CVE-2010-2861, satu set kerentanan traversal direktori di konsol administrator di Adobe ColdFusion 9.0.1 dan sebelumnya yang dapat disalahgunakan oleh penyerang jarak jauh untuk membaca file apapun, seperti yang berisi hash kata sandi administrator (“password.properties”).

Pada tahap berikutnya, aktor jahat diyakini telah mengeksploitasi kerentanan lain di ColdFusion, CVE-2009-3960, untuk mengunggah file Cascading Stylesheet (CSS) berbahaya ke server, akibatnya menggunakan itu untuk memuat Cobalt Strike Beacon yang dapat dieksekusi.

Selengkapnya: The Hacker News

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows baru merusak network printing

by

Administrator Windows melaporkan masalah pencetakan (printing) jaringan skala luas setelah menginstal pembaruan keamanan Patch Tuesday September 2021 minggu ini.

Pada hari Selasa, Microsoft merilis enam puluh pembaruan keamanan dan perbaikan untuk banyak bug sebagai bagian dari pembaruan Patch Tuesday bulanan mereka, termasuk perbaikan untuk kerentanan PrintNightmare terakhir yang dilacak sebagai CVE-2021-36958.

Kerentanan ini sangat penting untuk diperbaiki karena digunakan oleh banyak geng ransomware dan pelaku ancaman untuk segera mendapatkan hak istimewa SISTEM pada perangkat yang rentan, seperti yang ditunjukkan di bawah ini.

Namun, banyak administrator sistem Windows sekarang melaporkan bahwa komputer mereka tidak dapat lagi mencetak ke printer jaringan setelah menginstal perbaikan PrintNightmare di server cetak mereka.

Dalam percakapan dengan beberapa admin Windows yang menangani masalah ini, mereka semua memberi tahu BleepingComputer bahwa pembaruan merusak pencetakan jaringan mereka, dan mereka hanya dapat memperbaikinya dengan menghapus pembaruan.

Masalah ini juga tampaknya memengaruhi semua printer jaringan, termasuk HP, Canon, Konica Minolta, dan printer label, serta untuk driver printer Tipe 3 dan Tipe 4. Mereka yang memiliki printer USB yang terhubung langsung ke komputer mereka tidak mengalami masalah apa pun.

Sayangnya, untuk memperbaiki kerentanan PrintNightmare, Microsoft harus membuat perubahan signifikan selama dua bulan terakhir pada fitur Windows Point and Print dan bagaimana driver dapat diinstal dari server print.

Perubahan ini termasuk mewajibkan hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Setelah Microsoft membuat perubahan ini, pengguna Windows mulai menerima kesalahan saat mencoba mencetak, atau Windows akan meminta kata sandi administratif untuk memperbarui driver printer.

Selengkapnya: Bleeping Computer