Windows

Microsoft memperbaiki kerentanan Windows PrintNightmare yang tersisa

September 15, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk memperbaiki kerentanan zero-day PrintNightmare terakhir yang tersisa yang memungkinkan penyerang mendapatkan hak administratif pada perangkat Windows dengan cepat.

Pada bulan Juni, kerentanan print spooler Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527) secara tidak sengaja diungkapkan. Kerentanan ini mengeksploitasi fitur Windows Point and Print untuk melakukan eksekusi kode jarak jauh dan mendapatkan hak istimewa SISTEM lokal.

Sementara Microsoft merilis dua pembaruan keamanan untuk memperbaiki berbagai kerentanan PrintNightmare, kerentanan lain yang diungkapkan secara publik oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke server cetak jarak jauh.

Lebih buruk lagi, geng ransomware, seperti Vice Society, Magniber, dan Conti, mulai memanfaatkan bug untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat yang disusupi.

Dalam pembaruan keamanan Patch Tuesday September 2021 hari ini, Microsoft telah merilis pembaruan keamanan baru untuk CVE-2021-36958 yang memperbaiki kerentanan PrintNightmare yang tersisa.

Delpy, yang menguji eksploitasinya terhadap pembaruan keamanan baru, mengonfirmasi kepada BleepingComputer bahwa bug tersebut sekarang telah diperbaiki.

Selain memperbaiki kerentanan, Delpy mengatakan kepada BleepingComputer bahwa Microsoft telah menonaktifkan fitur CopyFiles secara default dan menambahkan kebijakan grup tidak berdokumen yang memungkinkan admin untuk mengaktifkannya kembali.

Karena perubahan ini akan memengaruhi perilaku default Windows, tidak jelas masalah apa yang akan ditimbulkannya saat melakukan printing di Windows.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

September 15, 2021 by Winnie the Pooh

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Patch Tuesday Microsoft September 2021 memperbaiki 2 zero-day, 60 kerentanan

September 15, 2021 by Winnie the Pooh

Hari ini adalah Patch Tuesday Microsoft September 2021, dan dengan itu datang perbaikan untuk dua kerentanan zero-day dan total 60 kelemahan.

Microsoft telah memperbaiki 60 kerentanan (86 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, satu sebagai Sedang, dan 56 sebagai Penting.

Dari total 86 kerentanan (termasuk Microsoft Edge):

27 Kerentanan Peningkatan Hak Istimewa
2 Kerentanan Bypass Fitur Keamanan
16 Kerentanan Eksekusi Kode Jarak Jauh
11 Kerentanan Pengungkapan Informasi
1 Kerentanan Denial of Service
8 Kerentanan Spoofing

Patch Tuesday September juga mencakup perbaikan untuk dua kerentanan zero-day, dengan bug MSHTML yang dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa pembaruan keamanan resmi yang dirilis.

Kerentanan zero-day yang diungkapkan secara publik, tetapi tidak dieksploitasi secara aktif adalah:

CVE-2021-36968 – Windows DNS Elevation of Privilege Vulnerability

Satu-satunya kerentanan yang dieksploitasi secara aktif adalah kerentanan eksekusi kode jarak jauh MSHTML Windows, seperti yang telah dibahas sebelumnya:

CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Untuk informasi tentang pembaruan Windows non-security, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5005565 & KB5005566 hari ini.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

September 13, 2021 by Winnie the Pooh

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
Untuk dokumen Word, navigasikan ke registry key berikut:
- HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Untuk file rich text (RTF), navigasikan ke registry key ini:
- HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Export salinan registry key sebagai cadangan.
Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

September 8, 2021 by Winnie the Pooh

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Cara memblokir Windows Plug-and-Play yang menginstal aplikasi tidak aman secara otomatis

September 3, 2021 by Winnie the Pooh

Sebuah trik telah ditemukan yang mencegah perangkat Anda diambil alih oleh aplikasi Windows yang rentan saat sebuah perangkat dicolokkan ke komputer Anda.

Bulan lalu, para peneliti merinci bagaimana hanya dengan mencolokkan perangkat di Windows juga dapat menginstal aplikasi vendor yang memungkinkan pengguna biasa dengan cepat mendapatkan hak istimewa SISTEM, tingkat hak istimewa pengguna tertinggi di Windows.

Misalnya, ketika pengguna mencolokkan mouse USB Razer, Windows akan secara otomatis menginstal driver dan perangkat lunak Razer Synapse.

Dengan menggunakan bug ini, pengguna dengan sedikit hak istimewa pada perangkat Windows dapat dengan mudah mengambil kendali penuh hanya dengan mencolokkan mouse USB $20.

Kerentanan ini ditemukan di aplikasi yang dikenal sebagai “co-installer” dan, sejak yang pertama terlihat, peneliti lain menemukan lebih banyak perangkat yang memungkinkan peningkatan hak istimewa lokal, termasuk perangkat SteelSeries.

Ketika pengembang perangkat keras mengirimkan driver ke Microsoft untuk didistribusikan melalui Windows, mereka dapat mengonfigurasi co-installer khusus perangkat yang akan dijalankan setelah Windows Plug-and-Play menginstal driver.

Co-installers ini dapat digunakan untuk mengonfigurasi kunci Registri khusus perangkat, mengunduh dan menginstal aplikasi lain, atau melakukan fungsi lain yang diperlukan agar perangkat berfungsi dengan benar.

Melalui fitur co-installer, Razer, Synapse, dan produsen perangkat keras lainnya dapat menginstal utilitas konfigurasi mereka ketika perangkat USB mereka dicolokkan ke komputer.

Seperti yang pertama kali ditemukan oleh Will Dormann, analis kerentanan untuk CERT/CC, adalah mungkin untuk mengonfigurasi nilai Windows Registry yang memblokir co-installers agar tidak diinstal selama fitur Plug-and-Play.

Untuk melakukan ini, buka Registry Editor dan arahkan ke kunci Registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Di bawah kunci itu, tambahkan nilai DWORD-32 bernama DisableCoInstallers dan setel ke 1, seperti yang ditunjukkan di bawah ini.

Setelah diaktifkan, Windows akan memblokir co-installer agar tidak diinstal saat Anda mencolokkan perangkat USB terkait ke komputer Anda.

Penting untuk dicatat bahwa membuat perubahan ini akan memblokir perangkat lunak konfigurasi perangkat agar tidak diinstal secara otomatis. Sebagai gantinya, Anda harus mengunduh dan menginstalnya dari situs vendor secara manual.

Selengkapnya: Bleeping Computer

Windows 11 tiba pada 5 Oktober, aplikasi Android akan datang kemudian

September 1, 2021 by Winnie the Pooh

Windows 11 tidak lagi hanya “datang musim gugur ini.” Microsoft akan mulai merilis sistem operasi baru ini ke publik pada tanggal 5 Oktober, dimulai dengan PC yang lebih baru (dan PC yang dijual di toko-toko) dan kemudian diluncurkan ke sistem lain yang didukung selama sembilan bulan ke depan.

Perusahaan juga mengatakan bahwa dukungan aplikasi Android yang didukung Amazon yang datang ke Windows 11 tidak akan siap untuk konsumsi publik saat diluncurkan; Microsoft akan menawarkan “pratinjau [aplikasi Android di Microsoft Store] untuk Windows Insiders selama beberapa bulan mendatang.”

Seperti pembaruan Windows 10 terbaru, Windows 11 akan memiliki peluncuran bertahap melalui Pembaruan Windows—sebagian besar PC tidak akan mulai melihat dan secara otomatis menginstal pembaruan pada 5 Oktober.

Microsoft mengatakan bahwa PC baru akan menjadi yang pertama untuk ditingkatkan, diikuti oleh PC lama yang kompatibel, “berdasarkan model kecerdasan yang mempertimbangkan kelayakan perangkat keras, metrik keandalan, usia perangkat, dan faktor lainnya.”

Seperti halnya pembaruan Windows 10, Anda akan dapat mengunduh file ISO untuk memulai pembaruan sendiri (Microsoft juga menawarkan alat seperti Asisten Pembaruan Windows untuk memicu pemasangan upgrade secara manual; kami berasumsi perusahaan juga akan menyediakan sistem ini untuk Windows 11 ). Semua PC yang kompatibel harus ditawarkan pembaruan pada pertengahan 2022.

Selengkapnya: Ars Technica

Windows 11 secara resmi tidak akan mendukung AMD Zen atau sebagian besar prosesor generasi ke-7 Intel

August 30, 2021 by Winnie the Pooh

Ketika Microsoft pertama kali mengumumkan Windows 11, mereka meningkatkan persyaratan sistem untuk OS untuk pertama kalinya sejak Windows 7 dirilis.

Meskipun ada peningkatan jumlah RAM dan penyimpanan yang dibutuhkan, dan ada persyaratan TPM 2.0, perubahan terbesar terjadi pada persyaratan CPU. Dengan Windows 11, Anda memerlukan Intel generasi kedelapan atau yang lebih baru, prosesor AMD Zen 2 atau yang lebih baru, atau Qualcomm Snapdragon 850 atau yang lebih baru.

Ada banyak reaksi karena itu, karena secara alami, ini membuat banyak orang tidak dapat meng-upgrade ke Windows 11. Beberapa hari kemudian, Microsoft mengatakan akan mengevaluasi kembali chip Intel generasi ketujuh dan AMD Zen 1 untuk Windows 11. Tapi pada 27 Agustus, perusahaan mengumumkan bahwa mereka mengevaluasi kembali, dan sebagian besar, tetap berpegang pada statement nya.

Pertama-tama, tidak ada yang berubah untuk prosesor AMD Zen. Jika Anda mengharapkan keberuntungan di akhir itu, itu tidak terjadi.

Microsoft juga membahas beberapa alasan mengapa mereka membuat pilihan ini. Untuk satu hal, dikatakan bahwa perangkat yang tidak memenuhi persyaratan mengalami kerusakan mode kernel 52% lebih banyak. Untuk perangkat yang memenuhi persyaratan, ada 99,8% pengalaman bebas crash.

Selain itu, Microsoft merilis ulang aplikasi PC Health Check pada 27 Agustus untuk PC mode 64-bit, 32-bit, ARM, dan S. Ini akan memiliki pesan yang lebih baik mengapa PC Anda tidak didukung, dan ini juga akan memiliki tautan ke artikel yang merincinya. Saat ini, aplikasi PC Health Check baru hanya untuk Windows Insiders, tetapi akan tersedia untuk semua orang dalam beberapa minggu mendatang.

Selengkapnya: XDA Developers

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Nonaktifkan pratinjau dokumen di Windows Explorer

Cookies Settings