Windows

Hati-hati: Beberapa installer Windows 11 menginfeksi PC Anda dengan malware

July 26, 2021 by Winnie the Pooh

Microsoft mengejutkan penggemar beberapa minggu yang lalu dengan versi Windows yang kita pikir tidak akan pernah kita dapatkan.

Setelah beberapa tahun menggunakan Windows 10, kita akhirnya naik satu digit ke Windows 11. Sistem operasi baru ini bukan hanya peningkatan kosmetik yang menghadirkan pekerjaan cat baru. Microsoft telah mengembangkan beberapa fitur baru untuk rilis terbaru yang menjadikannya peningkatan yang penting.

Ternyata installer Windows 11 berbahaya sudah tersedia di alam liar. Jika Anda mengunduh dan menjalankan salah satu dari mereka, Anda akan menginstal malware yang berbahaya di laptop atau desktop Anda. Peringatan itu datang langsung dari Kaspersky. Perusahaan mengidentifikasi setidaknya satu kit instalasi Windows 11 yang memberikan muatan kejutan.

Kaspersky merinci file yang dapat dieksekusi bernama 86307_windows 11 build 21996.1 x64 + activator.exe. Unduhan terlihat seperti file asli dari Microsoft. Besarnya 1,75GB, dan ukurannya membuatnya terlihat seperti aslinya. Tetapi setelah unduhan selesai, Anda akan menemukan bahwa penginstal Windows 11 tidak mengandung jejak Windows 11.

File executable yang dimaksud juga merupakan installer yang dilengkapi dengan perjanjian lisensinya sendiri. Ini diberi label sebagai “pengelola unduhan untuk 86307_windows 11 build 21996.1 x64 + aktivator.” Perjanjian tersebut juga mencatat bahwa aplikasi akan menginstal perangkat lunak bersponsor di mesin Anda. Menerima perjanjian mengarah pada pemasangan produk berbahaya, bukan aplikasi asli.

Hanya ada satu tempat di mana Anda harus mencari penginstal Windows 11 beta: Microsoft. Dan Anda akan melakukan semuanya dari perangkat Windows 10 Anda. Cukup buka Pengaturan, Perbarui & Keamanan, lalu Program Windows Insider. Di situlah Anda harus mengaktifkan Saluran Dev untuk pembaruan.

Selengkapnya: Yahoo News

Malware XLoader mencuri login dari sistem macOS dan Windows

July 22, 2021 by Winnie the Pooh

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

July 22, 2021 by Winnie the Pooh

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

Buka Command Prompt atau Windows PowerShell sebagai administrator.
Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

Kerentanan Windows 10 baru memungkinkan siapa saja untuk mendapatkan hak istimewa admin

July 21, 2021 by Winnie the Pooh

Windows 10 dan Windows 11 rentan terhadap peningkatan kerentanan hak istimewa lokal setelah menemukan bahwa pengguna dengan hak istimewa rendah dapat mengakses file database Registry yang sensitif.

Registry Windows bertindak sebagai repositori konfigurasi untuk sistem operasi Windows dan berisi kata sandi hash, penyesuaian pengguna, opsi konfigurasi untuk aplikasi, kunci dekripsi sistem, dan banyak lagi.

File database yang terkait dengan Windows Registry disimpan di bawah folder C:\Windows\system32\config dan dipecah menjadi file yang berbeda seperti SYSTEM, SECURITY, SAM, DEFAULT, dan SOFTWARE.

Karena file ini berisi informasi sensitif tentang semua akun pengguna di perangkat dan token keamanan yang digunakan oleh fitur Windows, file tersebut harus dibatasi agar tidak dilihat oleh pengguna biasa tanpa hak istimewa yang lebih tinggi.

Hal ini terutama berlaku untuk file Security Account Manager (SAM) karena berisi kata sandi hash untuk semua pengguna di sistem, yang dapat digunakan oleh pelaku ancaman untuk mengasumsikan identitas mereka.

Peneliti keamanan Jonas Lykkegaard mengatakan kepada BleepingComputer bahwa dia menemukan file Registry Windows 10 dan Windows 11 yang terkait dengan Security Account Manager (SAM), dan semua database Registry lainnya, dapat diakses oleh grup ‘Pengguna’ yang memiliki hak istimewa rendah pada perangkat.

Dengan izin file yang rendah ini, aktor ancaman dengan hak istimewa terbatas pada perangkat dapat mengekstrak kata sandi hash NTLM untuk semua akun di perangkat dan menggunakan hash tersebut dalam serangan pass-the-hash untuk mendapatkan hak istimewa yang lebih tinggi.

Serangan ini ditunjukkan dalam video di bawah yang dibuat oleh Delpy dan dibagikan dengan BleepingComputer yang menunjukkan Mimikatz menggunakan hash NTLM untuk mendapatkan hak debug.

Selengkapnya: Bleeping Computer

Microsoft Memperingatkan Kerentanan Windows Print Spooler Baru yang Belum Ditambal

July 18, 2021 by Winnie the Pooh

Microsoft pada hari Kamis membagikan panduan baru tentang kerentanan lain yang memengaruhi layanan Windows Print Spooler, yang menyatakan bahwa itu berfungsi untuk mengatasinya dalam pembaruan keamanan yang akan datang.

Dilacak sebagai CVE-2021-34481 (skor CVSS: 7.8), masalah ini berkaitan dengan cacat eskalasi hak istimewa lokal yang dapat disalahgunakan untuk melakukan tindakan tidak sah pada sistem. Perusahaan memuji peneliti keamanan Jacob Baines karena menemukan dan melaporkan bug tersebut.

“Peningkatan kerentanan hak istimewa terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar. Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM,” kata pembuat Windows dalam penasehatnya. “Seorang penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau membuat akun baru dengan hak pengguna penuh.”

Namun, perlu ditunjukkan bahwa eksploitasi kerentanan yang berhasil mengharuskan penyerang memiliki kemampuan untuk mengeksekusi kode pada sistem korban. Dengan kata lain, kerentanan ini hanya dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat.

selengkapnya : thehackernews.com

Microsoft mengatakan kelompok Israel menjual alat untuk meretas Windows

July 17, 2021 by Winnie the Pooh

Sebuah kelompok Israel menjual alat untuk meretas ke Microsoft Windows, Microsoft dan teknologi lainnya menurut kelompok hak asasi manusia Citizen Lab pada hari Kamis, menyoroti bisnis yang berkembang untuk menemukan dan menjual alat untuk meretas perangkat lunak yang banyak digunakan.

Vendor alat peretasan, bernama Candiru, membuat dan menjual eksploitasi perangkat lunak yang dapat menembus Windows, salah satu dari banyak produk intelijen yang dijual oleh industri rahasia yang menemukan kelemahan pada platform perangkat lunak umum untuk klien mereka, kata laporan Citizen Lab.

Analisis teknis oleh peneliti keamanan merinci bagaimana alat peretasan Candiru menyebar ke seluruh dunia ke banyak pelanggan yang tidak disebutkan namanya, di mana ia kemudian digunakan untuk menargetkan berbagai organisasi masyarakat sipil, termasuk kelompok pembangkang Saudi dan outlet berita Indonesia yang simpatis, lapor Citizen Lab dan acara Microsoft.

Upaya menghubungi Candiru untuk meminta komentar tidak berhasil.

Bukti eksploitasi yang ditemukan oleh Microsoft Corp menunjukkan bahwa itu digunakan terhadap pengguna di beberapa negara, termasuk Iran, Lebanon, Spanyol dan Inggris, menurut laporan Citizen Lab.

“Kehadiran Candiru yang semakin meningkat, dan penggunaan teknologi pengawasannya terhadap masyarakat sipil global, merupakan pengingat kuat bahwa industri spyware bayaran memiliki banyak pemain dan rentan terhadap penyalahgunaan yang meluas,” kata Citizen Lab dalam laporannya.

Microsoft memperbaiki kekurangan yang ditemukan pada hari Selasa melalui pembaruan perangkat lunak. Microsoft tidak secara langsung mengaitkan eksploitasi tersebut dengan Candiru, melainkan menyebutnya sebagai “aktor ofensif sektor swasta yang berbasis di Israel” dengan nama kode Sourgum.

selengkapnya : www.dawn.com

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

July 14, 2021 by Winnie the Pooh

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

July 14, 2021 by Winnie the Pooh

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings