Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

Microsoft mengatakan kelompok Israel menjual alat untuk meretas Windows

by

Sebuah kelompok Israel menjual alat untuk meretas ke Microsoft Windows, Microsoft dan teknologi lainnya menurut kelompok hak asasi manusia Citizen Lab pada hari Kamis, menyoroti bisnis yang berkembang untuk menemukan dan menjual alat untuk meretas perangkat lunak yang banyak digunakan.

Vendor alat peretasan, bernama Candiru, membuat dan menjual eksploitasi perangkat lunak yang dapat menembus Windows, salah satu dari banyak produk intelijen yang dijual oleh industri rahasia yang menemukan kelemahan pada platform perangkat lunak umum untuk klien mereka, kata laporan Citizen Lab.

Analisis teknis oleh peneliti keamanan merinci bagaimana alat peretasan Candiru menyebar ke seluruh dunia ke banyak pelanggan yang tidak disebutkan namanya, di mana ia kemudian digunakan untuk menargetkan berbagai organisasi masyarakat sipil, termasuk kelompok pembangkang Saudi dan outlet berita Indonesia yang simpatis, lapor Citizen Lab dan acara Microsoft.

Upaya menghubungi Candiru untuk meminta komentar tidak berhasil.

Bukti eksploitasi yang ditemukan oleh Microsoft Corp menunjukkan bahwa itu digunakan terhadap pengguna di beberapa negara, termasuk Iran, Lebanon, Spanyol dan Inggris, menurut laporan Citizen Lab.

“Kehadiran Candiru yang semakin meningkat, dan penggunaan teknologi pengawasannya terhadap masyarakat sipil global, merupakan pengingat kuat bahwa industri spyware bayaran memiliki banyak pemain dan rentan terhadap penyalahgunaan yang meluas,” kata Citizen Lab dalam laporannya.

Microsoft memperbaiki kekurangan yang ditemukan pada hari Selasa melalui pembaruan perangkat lunak. Microsoft tidak secara langsung mengaitkan eksploitasi tersebut dengan Candiru, melainkan menyebutnya sebagai “aktor ofensif sektor swasta yang berbasis di Israel” dengan nama kode Sourgum.

selengkapnya : www.dawn.com

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

by

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Trusted Platform Modules (TPM) Terbaik 2021

by

Microsoft mengkonfirmasi dengan peluncuran resmi Windows 11 bahwa modul platform tepercaya (TPM) 2.0 akan menjadi persyaratan “lunak”.

Jika karena alasan tertentu PC Anda tidak mendukung TPM dan Anda ingin maju dari permainan untuk mendukung Windows 11, Windows Central telah mengumpulkan beberapa add-on TPM untuk board yang kompatibel. Ini diperlukan hanya jika Anda tidak dapat mengaktifkan TPM melalui UEFI BIOS.

Untuk motherboards ASUS

ASUS Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh ASUS untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Sumber: ASUS

Untuk motherboard ASRock

ASRock Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh ASRock untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Sumber: ASRock

Untuk motherboard MSI

MSI Trusted Platform Module (TPM)

Modul TPM 2.0 ini dirancang oleh MSI untuk motherboard Intel-nya. Pastikan motherboard Anda memiliki header TPM.

Sumber: MSI

Selengkapnya: Windows Central

Game bajakan ini akan menginfeksi PC Anda dengan malware yang sangat sulit untuk dihapus

by

Jika Anda mengunduh dan menginstal game PC bajakan, perangkat lunak antivirus Anda dapat dimatikan, pembaruan keamanan Windows dapat dihentikan dan GPU kesayangan Anda dapat dibajak untuk menambang cryptocurrency.

Jadi memperingatkan laporan baru dari perusahaan antivirus Avast, yang mengatakan bahwa malware penambangan koin baru yang disebut “Crackonosh” telah menginfeksi lebih dari 200.000 PC Windows sejak 2018, penjahat di belakangnya menjaring sekitar $ 2 juta dalam cryptocurrency Monero.

“Crackonosh didistribusikan bersama dengan salinan ilegal dari perangkat lunak populer dan mencari dan menonaktifkan banyak program antivirus populer sebagai bagian dari taktik anti-deteksi dan anti-forensiknya,” tulis peneliti Avast Daniel Benes.

Unduhan terinfeksi yang mengandung Crackonosh termasuk installer “bajakan” dari edisi Fallout 4 Game of the Year, Far Cry 5, Grand Theft Auto V, NBA 2K19, Pro Evolution Soccer 2018 dan The Sims 4 dan The Sims 4 Seasons.

Setelah game bajakan diinstal, malware membuat beberapa perubahan Registry Windows dan menginstal beberapa executable yang memiliki nama yang terdengar seperti layanan Windows biasa: winrmsrv.exe, winscomrssrv.dll dan winlogui.exe. (Yang terakhir adalah bagian penambangan koin.) Malware akan menunggu beberapa saat, dan kemudian pada restart ketujuh atau ke-10 setelah instalasi, malware akan menjalankan PC ke Safe Mode.

Karena perangkat lunak antivirus tidak beroperasi dalam Safe Mode — bahkan Antivirus Microsoft Defender Windows sendiri, alias Windows Defender — memulai PC ke Safe Mode memberi Crackonosh kesempatan untuk menyerang.

Jika mesin Anda tiba-tiba memiliki banyak malware, perangkat lunak antivirus Anda tidak dapat ditemukan di mana pun dan Anda belum menerima pembaruan Windows selama berbulan-bulan, Anda mungkin telah terinfeksi Crackonosh.

Menyingkirkannya tidak mudah — Avast memiliki serangkaian instruksi lengkap dalam laporannya, tetapi cukup teknis dan sebaiknya diserahkan kepada seseorang yang mengetahui seluk-beluk Windows Registry.

Yang terbaik adalah menghindari infeksi dengan tidak menginstal perangkat lunak bajakan. Jika Anda merasa benar-benar harus, maka pindai setiap penginstal perangkat lunak dengan perangkat lunak antivirus sebelum Anda menjalankannya.

Selengkapnya: Tom’s Guide

Mengapa Windows 11 memaksa semua orang untuk menggunakan chip TPM

by

Microsoft kemarin mengumumkan bahwa Windows 11 akan membutuhkan chip TPM (Trusted Platform Module) pada perangkat yang ada dan baru. Ini adalah perubahan perangkat keras yang signifikan yang telah bertahun-tahun dibuat, tetapi cara komunikasi Microsoft yang berantakan ini telah membuat banyak orang bingung tentang apakah perangkat keras mereka kompatibel. Apa itu TPM, dan mengapa Anda memerlukannya untuk Windows 11?

“The Trusted Platform Modules (TPM) adalah chip yang terintegrasi ke dalam motherboard PC Anda atau ditambahkan secara terpisah ke dalam CPU,” jelas David Weston, direktur perusahaan dan keamanan OS di Microsoft. “Tujuannya adalah untuk melindungi kunci enkripsi, kredensial pengguna, dan data sensitif lainnya di balik penghalang perangkat keras sehingga malware dan penyerang tidak dapat mengakses atau merusak data tersebut.”

Jadi ini semua tentang keamanan. TPM bekerja dengan menawarkan perlindungan tingkat perangkat keras, bukan hanya perangkat lunak. Ini dapat digunakan untuk mengenkripsi disk menggunakan fitur Windows seperti BitLocker, atau untuk mencegah serangan kamus terhadap kata sandi. Chip TPM 1.2 telah ada sejak 2011, tetapi biasanya hanya digunakan secara luas di laptop dan desktop bisnis yang dikelola TI. Microsoft ingin memberikan tingkat perlindungan yang sama kepada semua orang yang menggunakan Windows, meskipun tidak selalu sempurna.

selengkapnya : www.theverge.com

Microsoft mengakui menandatangani malware rootkit dalam kegagalan rantai pasokan

by

Microsoft sekarang telah mengkonfirmasi penandatanganan driver berbahaya yang didistribusikan dalam lingkungan game.

Driver ini, yang disebut “Netfilter,” sebenarnya adalah rootkit yang diamati berkomunikasi dengan IP command-and-control (C2) Cina.

Analis malware G Data Karsten Hahn pertama kali memperhatikan acara ini minggu lalu dan diikuti oleh infosec yang lebih luas. komunitas dalam melacak dan menganalisis driver jahat yang menggunakan segel Microsoft.

Insiden ini sekali lagi memperlihatkan ancaman terhadap keamanan rantai pasokan perangkat lunak, kecuali kali ini berasal dari kelemahan dalam proses penandatanganan kode Microsoft.

Driver “Netfilter” adalah rootkit yang ditandatangani oleh Microsoft
Pekan lalu, sistem peringatan keamanan siber G Data menandai apa yang tampak sebagai positif palsu, tetapi ternyata tidak—driver bertanda tangan Microsoft yang disebut “Netfilter.”

Pengemudi yang dimaksud terlihat berkomunikasi dengan IP C&C yang berbasis di China yang tidak memberikan fungsionalitas yang sah dan dengan demikian menimbulkan kecurigaan.

selengkapnya : www.bleepingcomputer.com