Windows

Microsoft Februari 2021 Patch Tuesday memperbaiki 56 bug, termasuk Windows zero-day

February 10, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan bulanan, yang dikenal sebagai Patch Tuesday. Bulan ini, pembuat OS telah memperbaiki 56 kerentanan keamanan, termasuk bug Windows yang dieksploitasi di alam liar sebelum patch hari ini.

Dilacak sebagai CVE-2021-1732, Windows zero-day adalah peningkatan bug hak istimewa di Win32k, komponen inti dari sistem operasi Windows.

Bug itu dieksploitasi setelah penyerang memperoleh akses ke sistem Windows untuk mendapatkan akses level SISTEM.

Menurut laporan dari perusahaan keamanan China DBAPPSecurity, zero-day tersebut digunakan oleh aktor ancaman tingkat lanjut yang dikenal sebagai Bitter, dengan sejarah panjang serangan yang menargetkan organisasi dan pengguna Pakistan dan China.

DBAPPSecurity mengatakan exploit zero-day yang awalnya mereka deteksi telah dikompilasi pada Mei 2020 dan dirancang untuk menargetkan sistem operasi Windows10 1909 64-bit, tetapi tes selanjutnya mengungkapkan bahwa bug juga memengaruhi Windows10 20H2 64-bitsOS terbaru juga.

Secara total, enam bug produk Microsoft telah diposting detailnya secara online sebelum patch hari ini. Ini termasuk:

CVE-2021-1721 – .NET Core and Visual Studio Denial of Service Vulnerability
CVE-2021-1733 – Sysinternals PsExec Elevation of Privilege Vulnerability
CVE-2021-26701 – .NET Core Remote Code Execution Vulnerability
CVE-2021-1727 – Windows Installer Elevation of Privilege Vulnerability
CVE-2021-24098 – Windows Console Driver Denial of Service Vulnerability
CVE-2021-24106 – Windows DirectX Information Disclosure Vulnerability

Bulan ini, Microsoft juga telah merilis perbaikan untuk tiga kerentanan di TCP/IP stack Windows, yang memungkinkan sistem operasi untuk terhubung ke internet.

Dua dari bug ini (CVE-2021-24074, CVE-2021-24094) menerapkan perbaikan untuk kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk mengambil alih sistem Windows dari jarak jauh.

Selengkapnya: ZDNet

Microsoft menetapkan batas waktu untuk berakhirnya dukungan IE 11 oleh aplikasi 365

February 9, 2021 by Winnie the Pooh

Microsoft telah mengumumkan tanggal penghentian setelah aplikasi Office 365 dan Teams tidak lagi berfungsi dengan browser lawasnya, Internet Explorer 11, dan Microsoft Edge lama.

Pada 17 Agustus 2021, orang yang masih menggunakan Edge lama atau IE 11 akan mendapatkan “pengalaman yang terdegradasi”, atau mungkin tidak dapat lagi tersambung ke aplikasi Microsoft (Office) 365 di IE 11.

“Mulai 17 Agustus 2021, aplikasi dan layanan Microsoft 365 yang tersisa tidak lagi mendukung IE 11,” kata Microsoft dalam sebuah posting blog.

Dengan pengalaman terdegradasi, maksud Microsoft adalah pengguna tidak akan melihat fitur baru Microsoft 365 di IE 11. Itu berarti tidak ada fitur Teams baru yang akan muncul untuk pengguna IE11.

Meskipun aplikasi Microsoft 365, seperti Teams, tidak akan lagi mendapatkan fitur terbaru dan terhebat di IE 11, Microsoft mengingatkan admin bahwa IE 11 akan tetap berfungsi untuk aplikasi internal line-of-business.

Microsoft juga mengakhiri dukungan untuk aplikasi desktop Microsoft Edge Legacy pada 9 Maret 2021, yang berarti tidak ada lagi pembaruan keamanan setelah tanggal tersebut. Perusahaan ini merilis pembaruan wajib Windows 10 pada 13 April 2021— April Patch Tuesday — yang mencakup Microsoft Edge yang baru.

Sumber: ZDNet

Kerentanan zero-day Windows Installer mendapat micropatch gratis

January 30, 2021 by Winnie the Pooh

Kerentanan dalam komponen Penginstal Windows, yang coba diperbaiki Microsoft beberapa kali tetapi tidak berhasil, hari ini menerima micropatch untuk menolak opsi peretas untuk mendapatkan hak istimewa tertinggi pada sistem yang disusupi.

Masalah memengaruhi Windows 7 hingga 10. Upaya terbaru Microsoft untuk mengatasi masalah ini (CVE-2020-16902) dilakukan pada bulan Oktober. Sebuah bypass, lengkap dengan kode eksploitasi bukti-konsep (PoC) muncul pada akhir Desember 2020.

Hingga Microsoft membuat tambalan permanen, tambalan sementara tersedia melalui platform 0Patch. Ini adalah perbaikan satu instruksi yang tidak memerlukan boot ulang sistem.

Video di bawah ini menunjukkan bahwa micropatch mencegah pengguna non-admin lokal mengubah nilai registri yang mengarah ke Layanan Faks yang dapat dijalankan, yang akan menyebabkan menjalankan kode penyerang.

Perbaikan sementara dan gratis dari 0Patch berfungsi untuk sistem berikut:

Windows 10 v20H2, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
Windows 10 v2004, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
Windows 10 v1909, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
Windows 7, 32 / 64bit, dengan ESU, diperbarui dengan pembaruan Januari 2021
Windows 7, 32 / 64bit, tanpa ESU, diperbarui dengan pembaruan Januari 2020

selengkapnya : BleepingComputer

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

January 22, 2021 by Winnie the Pooh

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

Perintah Windows Finger disalahgunakan oleh phishing untuk mengunduh malware

January 19, 2021 by Winnie the Pooh

Penyerang menggunakan perintah Windows Finger yang biasanya tidak berbahaya untuk mengunduh dan memasang backdoor berbahaya pada perangkat korban.

Perintah ‘Finger’ adalah utilitas yang berasal dari sistem operasi Linux/Unix yang memungkinkan pengguna lokal untuk mengambil daftar pengguna pada mesin jarak jauh atau informasi tentang pengguna jarak jauh tertentu. Selain Linux, Windows menyertakan perintah finger.exe yang menjalankan fungsi yang sama.

Minggu ini, peneliti keamanan Kirk Sayre menemukan kampanye phishing yang menggunakan perintah Finger untuk mengunduh malware backdoor MineBridge.

FireEye pertama kali melaporkan malware MineBridge setelah menemukan banyak kampanye phishing yang menargetkan organisasi Korea Selatan. Email phishing ini berisi dokumen Word berbahaya yang menyamar sebagai resume pelamar kerja yang menginstal malware MineBridge.

Seperti kampanye MineBridge sebelumnya yang dilihat oleh FireEye, yang ditemukan oleh Sayre juga berpura-pura menjadi resume dari pelamar kerja, seperti yang ditunjukkan di bawah ini.

Ketika korban mengklik tombol ‘Enabled Editing’ atau ‘Enable Content’, macro yang dilindungi kata sandi akan dijalankan untuk mengunduh malware MineBridge dan menjalankannya.

Setelah MineBridge terpasang, pelaku ancaman jarak jauh akan mendapatkan akses penuh ke komputer dan memungkinkan mereka untuk mendengarkan melalui mikrofon perangkat yang terinfeksi, dan melakukan aktivitas berbahaya lainnya.

Karena Finger jarang digunakan saat ini, disarankan agar administrator memblokir perintah Finger di jaringan mereka, baik melalui AppLocker atau metode lain.

Sumber: Bleeping Computer

Bug Windows 10 dapat merusak hard drive Anda saat melihat ikon file ini

January 15, 2021 by Winnie the Pooh

Zero-day yang belum ditambal di Microsoft Windows 10 memungkinkan penyerang merusak hard drive berformat NTFS dengan perintah satu baris.

Dalam beberapa pengujian oleh BleepingComputer, perintah satu baris ini dapat dikirimkan secara tersembunyi di dalam file shortcut Windows, arsip ZIP, file batch, atau berbagai vektor lainnya untuk memicu kesalahan hard drive yang merusak indeks sistem file secara instan.

Peneliti infosec Jonas L menarik perhatian mengenai adanya kerentanan NTFS yang memengaruhi Windows 10 yang belum diperbaiki.

Ketika dieksploitasi, kerentanan ini dapat dipicu oleh satu baris perintah untuk langsung merusak hard drive berformat NTFS, dengan Windows meminta pengguna untuk me-restart komputer mereka untuk memperbaiki record disk yang rusak.

Peneliti memberi tahu BleepingComputer bahwa cacat tersebut dapat dieksploitasi mulai sekitar Windows 10 build 1803, Pembaruan Windows 10 April 2018, dan terus berfungsi di versi terbaru.

Yang lebih buruk adalah, kerentanan ini dapat dipicu oleh akun pengguna standar dan dengan hak istimewa rendah pada sistem Windows 10.

Drive dapat rusak hanya dengan mencoba mengakses atribut $i30 NTFS pada folder dengan cara tertentu.

Tidak jelas mengapa mengakses atribut ini merusak drive, dan Jonas memberi tahu BleepingComputer bahwa kunci Registry yang akan membantu mendiagnosis masalah tidak berfungsi.

Satu temuan mencolok yang dibagikan oleh Jonas kepada BleepingComputer adalah bahwa file pintasan Windows buatan (.url) yang lokasi ikonnya disetel ke C:\:$i30:$ bitmap akan memicu kerentanan bahkan jika pengguna tidak pernah membuka file!

Segera setelah file pintasan ini diunduh pada PC Windows 10, dan pengguna melihat foldernya, Windows Explorer akan mencoba menampilkan ikon file.

Untuk melakukan ini, Windows Explorer akan mencoba mengakses jalur ikon yang dibuat di dalam file di latar belakang, sehingga merusak hard drive NTFS dalam prosesnya.

Video demonstrasi dan artikel lebih lengkapnya dapat diakses melalui tautan berikut:

Sumber: Bleeping Computer

Mendeteksi Aktivitas Ancaman Pasca-Kompromi di Lingkungan Microsoft Cloud

January 10, 2021 by Winnie the Pooh

Lansiran ini adalah lansiran pendamping untuk AA20-352A: Ancaman Tetap Lanjutan dari Instansi Pemerintah, Infrastruktur Kritis, dan Organisasi Sektor Swasta. AA20-352A terutama berfokus pada kompromi aktor Advanced Persistent Ancaman (APT) terhadap produk SolarWinds Orion sebagai vektor akses awal ke dalam jaringan lembaga Pemerintah AS, entitas infrastruktur penting, dan organisasi jaringan swasta. Sebagaimana dicatat dalam AA20-352A, Cybersecurity and Infrastructure Security Agency (CISA) memiliki bukti vektor akses awal selain produk SolarWinds Orion yang dikompromikan.

Peringatan ini juga membahas aktivitas — terlepas dari vektor akses awal yang dimanfaatkan — yang diatribusikan CISA ke aktor APT. Secara khusus, CISA telah melihat aktor APT menggunakan aplikasi yang disusupi di lingkungan Microsoft 365 (M365) / Azure korban. CISA juga telah melihat aktor APT ini memanfaatkan kredensial tambahan dan akses Application Programming Interface (API) ke sumber daya cloud organisasi sektor swasta dan publik. Taktik, teknik, dan prosedur (TTP) ini memiliki tiga komponen utama:

Mengompromikan atau melewati solusi identitas gabungan;
-Menggunakan token otentikasi palsu untuk berpindah secara lateral ke lingkungan cloud Microsoft; dan
-Menggunakan akses istimewa ke lingkungan cloud korban untuk membuat mekanisme persistensi yang sulit dideteksi untuk akses berbasis Application Programming Interface (API).
-Peringatan ini menjelaskan TTP ini dan menawarkan ikhtisar, dan panduan tentang, alat sumber terbuka yang tersedia — termasuk alat yang dikembangkan CISA, Sparrow — bagi pembela jaringan untuk menganalisis Microsoft Azure Active Directory (AD), Office 365 (O365), dan lingkungan M365 untuk mendeteksi aktivitas yang berpotensi berbahaya.

Catatan: Peringatan ini menjelaskan artefak — yang ditampilkan oleh serangan ini — tempat CISA mengidentifikasi bukti yang dapat dideteksi dari tujuan awal pelaku ancaman. CISA terus menganalisis tujuan tindak lanjut aktor ancaman.

Selengkapnya di US-CERT

Google Chrome dan Microsoft Edge mendapatkan pembaruan antivirus Windows 10 utama

January 2, 2021 by Winnie the Pooh

Google Chrome, Microsoft Edge, dan browser berbasis Chromium lainnya sekarang akan berjalan dengan lancar di sistem Windows 10 yang menjalankan perangkat lunak antivirus sebagai hasil dari update Chromium baru.

Hingga saat ini, fungsi tertentu gagal berfungsi dengan baik di browser ini ketika sistem yang menjalankan Windows 10 memiliki perangkat lunak antivirus atau pemindai yang dikonfigurasi untuk mengunci file baru secara singkat.

Masalah ini bahkan lebih terlihat pada mesin tempat browser pengguna diinstal pada drive sistem mereka dan perangkat lunak antivirus mereka disiapkan untuk memindai file baru yang dibuat oleh program pihak ketiga seperti Google Chrome. Hal ini menyebabkan masalah saat pengguna mencoba menyimpan bookmark dan file lain menggunakan browser mereka.

Dalam posting baru di Chromium Gerrit, insinyur Bruce Dawson yang menjalankan tim Google Chrome untuk Windows memberikan wawasan lebih lanjut tentang komitmen baru yang dimaksudkan untuk memperbaiki masalah browser berbasis Chromium pada sistem Windows 10 dengan perangkat lunak antivirus terpasang.

sumber : TechRadar

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings