Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

Bug Windows 11 merusak aplikasi Keamanan Windows, tetapi ada perbaikan

by

Bug yang tampaknya cukup luas menyebabkan Keamanan Windows menampilkan pesan kesalahan “You’ll need a new app to this windowsdefender link” di pratinjau build Windows 11.

Pratinjau awal Windows 11 saat ini tersedia untuk penguji di Program Windows Insider, dan pengguna menghadapi berbagai masalah dan bug dengan OS desktop yang dirancang.

Menurut laporan pengguna, Microsoft baru-baru ini merilis pembaruan yang salah dan tampaknya menyebabkan beberapa masalah serius dengan aplikasi Keamanan Windows yang digunakan untuk mengelola Windows Defender dan fitur keamanan lainnya. Untungnya, ada perbaikan sederhana di sini. Karena “Keamanan Windows” adalah aplikasi sistem, itu dapat diperbaiki menggunakan PowerShell.

Untuk memperbaiki kesalahan “windowsdefender link” di Windows 11, gunakan langkah-langkah ini:

  • Buka Windows PowerShell dari pencarian atau Start Menu dengan hak administrator.
  • Salin dan tempel Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
  • Tutup jendela PowerShell.

Setelah selesai, Anda akan dapat meluncurkan aplikasi Keamanan Windows lagi.

Selengkapnya: Windows Latest

Patch Windows tidak resmi baru memperbaiki lebih banyak vektor serangan PetitPotam

by

Patch tidak resmi kedua untuk serangan relai Windows PetitPotam NTLM telah dirilis untuk memperbaiki masalah lebih lanjut yang tidak ditangani oleh pembaruan keamanan resmi Microsoft.

Serangan relai NTLM adalah ketika aktor ancaman dapat memaksa server atau pengontrol domain untuk mengautentikasi terhadap server relai NTLM di bawah kendali aktor ancaman.

Relai NTLM ini kemudian akan meneruskan permintaan ke Layanan Active Directory Certificate korban yang ditargetkan melalui HTTP untuk menerima Kerberos ticket-granting ticket (TGT), yang memungkinkan penyerang untuk mengasumsikan identitas pengontrol domain dan mengambil alih domain Windows.

Karena sifat kritis dari serangan ini, Microsoft merilis pembaruan keamanan sebagai bagian dari Patch Tuesday Agustus 2021 yang berusaha untuk memperbaiki kerentanan PetitPotam, dilacak sebagai CVE-2021-36942.

Sayangnya, pembaruan Microsoft tidak lengkap, dan masih mungkin untuk menyalahgunakan PetitPotam.

Untuk menyediakan tambalan yang lebih lengkap, layanan micropatch 0patch telah merilis tambalan tidak resmi yang diperbarui yang dapat digunakan untuk memblokir semua serangan relai PetitPotam NTLM yang diketahui pada versi Windows berikut:

  • Windows Server 2019 (updated with July 2021 Updates)
  • Windows Server 2016 (updated with July 2021 Updates)
  • Windows Server 2012 R2 (updated with July 2021 Updates)
  • Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)

Dengan micropatch ini, fungsi diblokir di pipa bernama LSARPC dan EFSRPC dan tidak dapat lagi dieksploitasi sebagai bagian dari serangan relai NTLM.

Bagi mereka yang ingin menunggu kemungkinan patch resmi dari Microsoft, Anda juga dapat bertahan melawan serangan PetitPotam menggunakan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API.

Selengkapnya: Bleeping Computer

Microsoft mengonfirmasi bug zero-day print spooler Windows lainnya

by

Microsoft telah mengeluarkan peringatan untuk kerentanan zero-day print spooler Windows lainnya yang dilacak sebagai CVE-2021-36958 yang memungkinkan penyerang lokal untuk mendapatkan hak istimewa SISTEM di komputer.

Kerentanan ini adalah bagian dari kelas bug yang dikenal sebagai ‘PrintNightmare,’ yang menyalahgunakan pengaturan konfigurasi untuk print spooler Windows, print driver, dan fitur Windows Point and Print.

Microsoft merilis pembaruan keamanan pada bulan Juli dan Agustus untuk memperbaiki berbagai kerentanan PrintNightmare.

Namun, kerentanan yang diungkapkan oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke print server jarak jauh, seperti yang ditunjukkan di bawah ini.

Kerentanan ini menggunakan direktif registry CopyFile untuk menyalin file DLL yang membuka command prompt ke klien bersama dengan print driver saat Anda menyambung ke printer.

Meskipun pembaruan keamanan terbaru Microsoft mengubah prosedur penginstalan driver printer baru sehingga memerlukan hak admin, Anda tidak akan diminta untuk memasukkan hak admin untuk terhubung ke printer saat driver tersebut sudah diinstal.

Selanjutnya, jika driver ada pada klien, dan karenanya tidak perlu diinstal, menghubungkan ke printer jarak jauh akan tetap menjalankan arahan CopyFile untuk pengguna non-admin. Kelemahan ini memungkinkan DLL Delpy untuk disalin ke klien dan dieksekusi untuk membuka command prompt tingkat SISTEM.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows memblokir serangan relay PetitPotam NTLM

by

Microsoft telah merilis pembaruan keamanan yang memblokir serangan relay PetitPotam NTLM yang memungkinkan aktor ancaman untuk mengambil alih domain Windows.

Pada bulan Juli, peneliti keamanan GILLES Lionel, alias Topotam, mengungkapkan metode baru yang disebut PetitPotam yang memaksa pengontrol domain untuk mengautentikasi terhadap server aktor ancaman menggunakan fungsi API MS-EFSRPC.

Menggunakan vektor PetitPotam, aktor ancaman dapat menggunakan antarmuka Windows LSARPC untuk berkomunikasi dan menjalankan fungsi MS-EFSRPC API tanpa otentikasi. Fungsinya, OpenEncryptedFileRawA dan OpenEncryptedFileRawW, memungkinkan aktor ancaman untuk memaksa domain controller untuk mengautentikasi ke server relay NTLM di bawah kendali penyerang.

Pada bulan Juli, Microsoft merilis penasihat keamanan yang menjelaskan cara mengurangi serangan relay NTLM yang menargetkan Active Directory Certificate Services (AD CS).

Namun, Microsoft tidak memberikan informasi tentang pemblokiran vektor PetitPotam sampai peneliti menemukan cara mengamankannya menggunakan filter NETSH.

Sebagai bagian dari pembaruan Patch Tuesday Agustus 2021, Microsoft telah merilis pembaruan keamanan yang memblokir vektor PetitPotam (CVE-2021-36942), sehingga tidak dapat memaksa domain controller untuk mengautentikasi terhadap server lain.

Microsoft memperingatkan bahwa menginstal pembaruan ini dapat memengaruhi perangkat lunak cadangan yang menggunakan fungsi EFS API OpenEncryptedFileRaw(A/W).

Jika perangkat lunak cadangan Anda tidak lagi berfungsi setelah menginstal pembaruan ini pada Windows 7 Service Pack 1 atau Windows Server 2008 R2 Service Pack 1 dan yang lebih baru, Microsoft menyarankan Anda menghubungi pengembang perangkat lunak cadangan untuk mendapatkan versi yang diperbarui.

Selengkapnya: BleepingComputer

Microsoft memperbaiki kerentanan Windows Print Spooler PrintNightmare

by

Microsoft telah memperbaiki kerentanan PrintNightmare di Windows Print Spooler dengan mengharuskan pengguna memiliki hak administratif saat menggunakan fitur Point and Print untuk menginstal driver printer.

Pada bulan Juni, seorang peneliti keamanan secara tidak sengaja mengungkapkan kerentanan spooler cetak Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527). Ketika dieksploitasi, kerentanan ini memungkinkan eksekusi kode jarak jauh dan kemampuan untuk mendapatkan hak istimewa SISTEM lokal.

Microsoft segera merilis pembaruan keamanan yang memperbaiki komponen eksekusi kode jarak jauh tetapi tidak meningkatkan porsi hak istimewa lokal.

Namun, para peneliti dengan cepat menemukan bahwa sangat mungkin untuk mengeksploitasi fitur Point and Print untuk menginstal driver printer berbahaya yang memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan hak istimewa SISTEM di Windows.

Point and Print adalah fitur Windows yang memungkinkan pengguna untuk terhubung ke server printer, bahkan yang terhubung ke Internet jarak jauh, dan secara otomatis mengunduh dan menginstal driver printer server.

Dengan menggunakan fitur ini, peneliti keamanan Benjamin Delpy membuat server printer jarak jauh yang menginstal driver printer yang memungkinkan pengguna dengan hak istimewa rendah untuk membuka prompt perintah dengan hak istimewa SISTEM, seperti yang ditunjukkan dalam video di bawah ini.

Sebagai bagian dari pembaruan keamanan Patch Tuesday Agustus 2021 hari ini, Microsoft mengatasi kerentanan “PrintNightmare” ini dengan mengharuskan pengguna memiliki hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Microsoft memperingatkan bahwa perubahan ini dapat berdampak pada organisasi yang sebelumnya mengizinkan pengguna non-admin untuk menambahkan atau memperbarui driver printer, karena mereka tidak lagi dapat melakukannya.

Selengkapnya: BleepingComputer

Microsoft Patch Tuesday bulan Agustus 2021 memperbaiki 3 zero-days, 44 kelemahan

by

Hari ini adalah Patch Tuesday Microsoft Agustus 2021, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day dan total 44 kelemahan.

Microsoft telah memperbaiki 44 kerentanan (51 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 37 sebagai Penting.

Dari 44 kerentanan, 13 adalah eksekusi kode jarak jauh, 8 pengungkapan informasi, 2 penolakan layanan, dan 4 kerentanan spoofing.

Microsoft juga merilis pembaruan keamanan untuk dua kerentanan zero-day yang dinanti-nantikan yang ditemukan selama sebulan terakhir.

Salah satu pembaruan keamanan memperbaiki kerentanan PrintNightmare yang memungkinkan pelaku ancaman untuk mendapatkan hak istimewa tingkat SISTEM hanya dengan menghubungkan ke server print jarak jauh di bawah kendali mereka.

Microsoft telah memperbaiki kerentanan ini dengan mengharuskan pengguna yang memiliki hak administrator untuk menginstal driver printer menggunakan fitur Point and Print Windows.

Microsoft juga memperbaiki vektor serangan relay PetitPotam NTLM yang menggunakan API MS-EFSRPC untuk memaksa perangkat bernegosiasi dengan server relay jarak jauh di bawah kendali penyerang.

Microsoft menghimbau untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: BleepingComputer

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer

Serangan jaringan “PetitPotam” Windows – cara melindunginya

by

Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.

Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.

Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.

Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:

  • Otentikasi NTLM diaktifkan di domain Anda.
  • Anda menggunakan Active Directory Certificate Services (AD CS).
  • Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.

Apa yang harus dilakukan?

Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.

Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.

Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.

Selengkapnya: Naked Security