Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer

Masalah Printer Menggunakan USB Di Windows 10 Muncul Karena Pembaruan Terbaru Microsoft

by

Microsoft memperingatkan pelanggan bahwa pembaruan Windows yang dirilis sejak 28 Juni akan memicu masalah pencetakan/printing pada perangkat yang terhubung menggunakan USB.

Platform yang terpengaruh mencakup Windows 10, versi 20H2, 21H1, 21H2 dan server Windows Server, versi 20H2.

Gejala yang dilaporkan oleh pengguna adalah aplikasi yang merujuk ke printer yang menggunakan nama tertentu tidak dapat mencetak dan Windows menunjukkan salinan duplikat dari printer yang diinstal dengan nama yang mirip dengan akhiran “Copy1”.
Sementara Microsoft masih mengerjakan perbaikan untuk masalah tersebut, Microsoft memberikan solusi yang akan membantu penggguna memulihkan fungsi pencetakan pada perangkat mereka untuk sementara.

Tindakan yang dapat Anda coba untuk mengatasi masalah tersebut meliputi:

  • ​Membuka menu Settings, navigasikan ke “Bluetooth & devices”, dan pilih “Printers & scanners”.
  • ​Jika tampaknya ada penginstalan duplikat dari printer yang ada, seperti dengan akhiran “Copy1”, konfirmasikan apakah pencetakan berfungsi untuk printer ini. Printer ini harus beroperasi seperti yang diharapkan.
  • Jika Anda perlu menggunakan instalasi printer asli dan bukan duplikat, klik kanan printer duplikat, pilih “Printer properties”, dan pilih tab “Ports”. Perhatikan port yang digunakan.
  • Dari daftar yang ditampilkan, pilih opsi port yang digunakan oleh printer duplikat. Printer salinan duplikat dapat dihapus jika printer asli ini berfungsi normal.

Jika masalah masih muncul, Anda juga dapat mencoba menginstal ulang printer.

  1. Matikan printer Anda dan lepaskan semua kabel
  2. Buka menu Settings, navigasikan ke “luetooth & devices”, dan pilih “Printers & scanners”.
  3. Pilih printer yang terpengaruh dan pilih opsi “Remove Device”
  4. Mulai ulang perangkat Anda
  5. Nyalakan printer Anda dan sambungkan kembali ke perangkat Anda

Jika solusi di atas tidak membantu, Anda dapat mencoba memperbarui driver printer atau memeriksa situs web produsen printer untuk pembaruan firmware.

Selengkapnya: Bleeping Computer

Microsoft: Windows Diserang oleh Aktor Ancaman China

by

Raksasa teknologi Microsoft telah memperingatkan pengguna tentang kampanye malware dan ancaman dunia maya terbaru dan memberi tahu mereka bahwa kelompok aktor ancaman yang disponsori negara yang berbasis di China: Hafnium.

Menurut Windows Central, kali ini, peringatan itu ditujukan untuk Tarrask, “malware penghindaran pertahanan” yang menggunakan Windows Task Scheduler untuk menyembunyikan status perangkat yang disusupi dari dirinya sendiri.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata perusahaan itu dalam sebuah posting blog.

Serangan itu berasal dari Hafnium, kelompok yang disponsori negara, berbasis di China yang mungkin diingat oleh pengguna sebagai masalah besar karena keterlibatannya dalam krisis Microsoft Exchange pada tahun 2021.

Data yang dikumpulkan selama cobaan itu telah berspekulasi menjadi bahan bakar untuk inovasi AI oleh pemerintah China, kata laporan itu.

Perusahaan mengatakan sedang melacak Hafnium menggunakan malware Tarrask untuk memastikan bahwa PC yang disusupi tetap rentan, menggunakan bug Penjadwal Tugas Windows untuk membersihkan jejak dan memastikan bahwa artefak pada disk dari aktivitas Tarrask tidak bertahan untuk mengungkapkan apa yang terjadi.

Raksasa teknologi ini juga mendemonstrasikan bagaimana pelaku ancaman membuat tugas terjadwal, bagaimana mereka menutupi jejak mereka, bagaimana teknik penghindaran malware digunakan untuk mempertahankan dan memastikan kegigihan pada sistem dan bagaimana melindungi dari taktik ini.

Sumber: Business Standard

Windows Server 20H2 mencapai EOS bulan depan

by

Microsoft telah mengingatkan pelanggan sekali lagi bahwa Windows Server, versi 20H2, akan mencapai End of Service (EOS) dalam waktu kurang dari sebulan, pada 9 Agustus.

Pengingat ini mengikuti dua peringatan lain sejak Mei 2022 bahwa versi Windows Server ini akan mencapai tanggal akhir dukungan mainstream untuk pengguna Standard Core dan Datacenter Core.

Dirilis kurang dari dua tahun yang lalu, pada 20 Oktober 2020, versi Saluran Semi-Tahunan Windows Server ini tidak akan menerima pembaruan keamanan atau non-keamanan lainnya setelah mencapai tanggal EOS.

Redmond juga mengungkapkan dalam pemberitahuan Mei bahwa Windows Server Semi-Annual Channel (SAC) juga akan dihentikan pada 9 Agustus 2022.

Pelanggan yang masih menjalankan rilis SAC disarankan untuk beralih ke Saluran Layanan Jangka Panjang (LTSC) sesegera mungkin karena LTSC akan menjadi saluran rilis Windows Server utama.

  • Versi Windows Server baru setiap 2-3 tahun
  • Versi Windows Server LTSC akan dirilis setiap dua hingga tiga tahun, dengan pelanggan berhak atas 5 tahun dukungan utama dengan tambahan lima tahun dukungan diperpanjang.

Penting juga untuk dicatat bahwa, menurut Microsoft, instalasi bersih akan diperlukan untuk meningkatkan atau beralih ke saluran LTSC.

Dengan ditutupnya SAC bulan depan, sebagian besar fitur yang diperkenalkan di saluran servis ini telah diluncurkan ke Windows Server 2022, rilis LTSC terbaru dari Windows Server yang akan mencapai tanggal akhir dukungan yang diperpanjang pada Oktober 2031.

Microsoft menyarankan pelanggan untuk pindah ke Azure Stack HCI untuk irama rilis yang sama atau beralih ke Windows Server 2019/2022 di saluran servis LTSC.

Saat beralih ke versi Windows Server baru, Anda dapat mengikuti panduan ini atau menggunakan dokumen dukungan ini untuk memperbaiki atau memecahkan masalah kesalahan yang ditemui selama proses pembaruan.

Sumber: Bleeping Computer

Windows 11 Sekarang Memblokir Serangan Brute-force RDP Secara Default

by

Build Windows 11 terbaru hadir dengan kebijakan Kebijakan Penguncian Akun yang diaktifkan secara default yang secara otomatis akan mengunci akun pengguna (termasuk akun Administrator) setelah 10 upaya masuk yang gagal selama 10 menit.

Proses brute-force akun biasanya membutuhkan menebak kata sandi menggunakan alat otomatis. Taktik ini sekarang diblokir secara default pada versi Windows 11 terbaru (Pratinjau Orang Dalam 22528.1000 dan yang lebih baru) setelah gagal memasukkan kata sandi yang benar 10 kali berturut-turut.

“Win11 build sekarang memiliki kebijakan penguncian akun DEFAULT untuk mengurangi RDP dan vektor kata sandi brute force lainnya,” David Weston, VP Microsoft untuk Perusahaan dan Keamanan OS, tweeted Kamis.

“Teknik ini sangat umum digunakan dalam Ransomware yang Dioperasikan Manusia dan serangan lainnya – kontrol ini akan membuat brute-force jauh lebih sulit yang luar biasa!”

Kebijakan Penguncian Akun juga tersedia di sistem Windows 10. Namun, sayangnya, itu tidak diaktifkan secara default, memungkinkan penyerang untuk memaksa masuk ke sistem Windows dengan layanan Remote Desktop Protocol (RDP) yang terbuka.

Admin dapat mengonfigurasi kebijakan ini di Windows 10 di Konsol Manajemen Kebijakan Grup dari Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.

Ini adalah peningkatan keamanan yang penting karena banyak server RDP, terutama yang digunakan untuk membantu pekerja jarak jauh mengakses aset perusahaan, secara langsung terpapar ke Internet, membuat jaringan organisasi terkena serangan ketika dikonfigurasi dengan buruk.

Untuk menempatkan segala sesuatunya dalam perspektif, serangan yang menargetkan layanan RDP telah mengalami peningkatan tajam setidaknya sejak pertengahan akhir 2016, dimulai dengan meningkatnya popularitas pasar web gelap yang menjual akses RDP ke jaringan yang disusupi, menurut laporan FBI IC3 dari 2018.

Satu catatan penting adalah UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri pada satu titik, yang membocorkan nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan secara historis dikompromikan.

Sumber: BleepingComputer

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

by

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

by Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer