Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

NVIDIA memperbaiki sepuluh kerentanan di driver tampilan GPU Windows

by

NVIDIA telah merilis pembaruan keamanan untuk berbagai model kartu grafis, menangani 4 kerentanan tingkat tinggi dan 6 kerentanan tingkat menengah di driver GPU-nya.

Pembaruan keamanan memperbaiki kerentanan yang dapat menyebabkan penolakan layanan, pengungkapan informasi, peningkatan hak istimewa, eksekusi kode, dll.

Pembaruan telah tersedia untuk produk perangkat lunak Tesla, RTX/Quadro, NVS, Studio, dan GeForce, yang mencakup cabang driver R450, R470, dan R510.

CVE diperbaiki untuk setiap cabang driver (NVIDIA)

Menariknya, selain lini produk saat ini dan terbaru yang didukung secara aktif, rilis terbaru NVIDIA juga mencakup kartu seri GTX 600 dan GTX 700 Kepler, yang dukungannya berakhir pada Oktober 2021.

Pembuat GPU sebelumnya berjanji untuk terus memberikan pembaruan keamanan penting untuk produk ini hingga September 2024, dan pembaruan driver ini memenuhi janji itu.

Empat kelemahan tingkat tinggi yang diperbaiki bulan ini adalah:

  • CVE-2022-28181 (Skor CVSS v3: 8.5) – Penulisan di luar batas di lapisan mode kernel yang disebabkan oleh shader yang dibuat khusus yang dikirim melalui jaringan, berpotensi mengarah pada eksekusi kode, penolakan layanan, peningkatan hak istimewa, informasi pengungkapan, dan manipulasi data.
  • CVE-2022-28182 (CVSS v3 skor: 8.5) – Cacat dalam driver mode pengguna DirectX11 yang memungkinkan penyerang yang tidak sah untuk mengirim berbagi yang dibuat khusus melalui jaringan dan menyebabkan penolakan layanan, peningkatan hak istimewa, pengungkapan informasi, dan gangguan data.
  • CVE-2022-28183 (CVSS v3 skor: 7.7) – Kerentanan di lapisan mode kernel, di mana pengguna biasa yang tidak memiliki hak dapat menyebabkan pembacaan di luar batas, yang dapat menyebabkan penolakan layanan dan pengungkapan informasi.
  • CVE-2022-28184 (skor CVSS v3: 7.1) – Kerentanan dalam pengendali lapisan mode kernel (nvlddmkm.sys) untuk DxgkDdiEscape, di mana pengguna biasa yang tidak memiliki hak dapat mengakses register yang memiliki hak istimewa administrator, yang dapat menyebabkan penolakan layanan, pengungkapan informasi , dan gangguan data.

    • Kerentanan ini memerlukan hak istimewa yang rendah dan tidak ada interaksi pengguna, sehingga mereka dapat dimasukkan ke dalam malware, memungkinkan penyerang untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

    Dua yang pertama dapat dieksploitasi melalui jaringan, sementara dua lainnya dieksploitasi dengan akses lokal, yang masih dapat membantu malware yang menginfeksi sistem dengan hak istimewa rendah.

    Cisco Talos, yang menemukan CVE-2022-28181 dan CVE-2022-28182, juga telah menerbitkan posting hari ini yang merinci bagaimana mereka memicu kelemahan korupsi memori dengan memasok shader komputasi yang salah.

    Karena pelaku ancaman dapat menggunakan shader berbahaya di browser oleh WebAssembly dan WebGL, Talos memperingatkan bahwa pelaku ancaman mungkin dapat memicu ini dari jarak jauh.

    “File executable/shader yang dibuat khusus dapat menyebabkan kerusakan memori. Kerentanan ini berpotensi dipicu dari mesin tamu yang menjalankan lingkungan virtualisasi (yaitu VMware, qemu, VirtualBox, dll.) untuk melakukan pelarian tamu-ke-host. Secara teoritis ini Kerentanan juga bisa dipicu dari browser web menggunakan webGL dan webassembly,” jelas Talos tentang CVE-2022-28181.

    Semua pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis sesegera mungkin. Pengguna dapat mengunduh driver terbaru untuk model GPU mereka dari bagian pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

    Pembaruan juga dapat diterapkan melalui rangkaian GeForce Experience NVIDIA.

    Namun, jika Anda tidak secara khusus memerlukan perangkat lunak untuk menyimpan profil game atau menggunakan fitur streaming, kami sarankan untuk tidak menggunakannya karena menimbulkan risiko keamanan yang tidak perlu dan penggunaan sumber daya.

    Sumber: Bleeping Computer

    Nvidia

Microsoft: Botnet Sysrv menargetkan server Windows, Linux dengan eksploitasi baru

by

Microsoft mengatakan botnet Sysrv sekarang mengeksploitasi kerentanan di Spring Framework dan WordPress untuk menjerat dan menyebarkan malware cryptomining pada server Windows dan Linux yang rentan.

Redmond menemukan varian baru (dilacak sebagai Sysrv-K) yang telah ditingkatkan dengan lebih banyak kemampuan, termasuk memindai penyebaran WordPress dan Spring yang belum ditambal.

“Kerentanan ini, yang semuanya telah diatasi oleh pembaruan keamanan, termasuk kerentanan lama di plugin WordPress, serta kerentanan yang lebih baru seperti CVE-2022-22947.”

CVE-2022-22947 adalah kerentanan injeksi kode di library Spring Cloud Gateway yang dapat disalahgunakan untuk eksekusi kode jarak jauh pada host yang belum ditambal.

Sebagai bagian dari kemampuan yang baru ditambahkan ini, Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mencuri kredensial basis data, yang kemudian digunakan untuk mengambil alih server web.

Pertama kali ditemukan oleh peneliti keamanan Alibaba Cloud (Aliyun) pada Februari setelah aktif sejak Desember 2020, malware ini juga mendarat di radar peneliti keamanan di Lacework Labs dan Juniper Threat Labs menyusul lonjakan aktivitas di bulan Maret.

Seperti yang mereka amati, Sysrv memindai Internet untuk server perusahaan Windows dan Linux yang rentan dan menginfeksi mereka dengan penambang Monero (XMRig) dan muatan malware yang menyebar sendiri.

Untuk meretas masuk ke server web ini, botnet mengeksploitasi kelemahan dalam aplikasi web dan database, seperti PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, dan Apache Struts.

Setelah membunuh penambang cryptocurrency yang bersaing dan menyebarkan muatannya sendiri, Sysrv juga menyebar secara otomatis melalui jaringan melalui serangan brute force menggunakan kunci pribadi SSH yang dikumpulkan dari berbagai lokasi di server yang terinfeksi (mis., riwayat bash, konfigurasi ssh, dan file known_hosts).

Komponen propagator botnet akan secara agresif memindai Internet untuk sistem Windows dan Linux yang lebih rentan untuk ditambahkan ke pasukan bot penambangan Monero.

Sysrv sepenuhnya mengkompromikan mereka menggunakan eksploitasi yang menargetkan injeksi kode jarak jauh atau kerentanan eksekusi yang memungkinkannya mengeksekusi kode berbahaya dari jarak jauh.

Sumber: Bleeping Computer

Peringatan: Pembaruan Windows merusak otentikasi untuk beberapa admin server

by

Microsoft memperingatkan pembaruan keamanan dapat menyebabkan kegagalan otentikasi untuk pengontrol domain Windows.

“Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP), dan Protected Extensible Authentication Protocol (PEAP),” kata goliath IT itu dalam sebuah nasihat yang diterbitkan Rabu.

Saran mengacu pada pembaruan Windows KB5013943 (dirilis Selasa, 10 Mei 2022), yang mengikuti KB5012643 (dirilis 25 April 2022) dan membahas penyebab layar berkedip saat memulai dalam Safe Mode.

Pembaruan KB5012643 April itu ditarik dari peredaran pada Rabu, 11 Mei, tanpa penjelasan.

Pembaruan Windows terbaru, KB5013943, meninggalkan masalah yang belum terselesaikan di mana beberapa aplikasi .NET Framework 3.5 gagal dibuka dan beberapa aplikasi yang menggunakan Direct3D 9 dengan GPU tertentu mogok (solusi disarankan untuk kedua kasus.)

Kesulitan otentikasi seharusnya tidak mempengaruhi perangkat Windows klien atau server pengontrol non-domain, menurut Microsoft.

Netizen yang memposting ke /r/sysadmin di Reddit mencatat terjadinya kegagalan otentikasi setelah penerapan dua tambalan Microsoft. Diidentifikasi oleh ID kerentanan CVE-2022-26931 dan CVE-2022-26923, patch tersebut dimaksudkan untuk menyelesaikan dua kerentanan eskalasi hak istimewa “keparahan tinggi” yang dijelaskan dalam KB5014754.

Selengkapnya: The Register

Beberapa versi Windows tidak lagi didukung setelah hari ini

by

Hari ini Windows 10 Home dan Pro, versi 20H2, Windows 10 versi 20H2 akan mendapatkan pembaruan terakhirnya,

Hal yang menyenangkan adalah bahwa itu akan menjadi pembaruan yang mudah. Dalam 18 bulan sejak siklus hidup untuk Windows 10 versi 20H2 dimulai, belum ada pembaruan fitur lengkap. Upgrade ke versi 21H2 hanya membutuhkan waktu beberapa menit, karena hanya menginstal paket pemberdayaan.

Cara siklus hidup Windows 10 secara historis bekerja adalah jika Anda adalah konsumen di Windows 10 Home atau Pro, Anda mendapatkan dukungan selama 18 bulan. Bisnis akan mendapatkan 18 bulan dukungan dari pembaruan musim semi dan 30 bulan dari pembaruan musim gugur.

Windows 10 Enterprise and Education, versi 1909
Windows 10 versi 1909 adalah salah satu yang mendapat dukungan 30 bulan untuk bisnis, dan itu berakhir hari ini. Ini sebenarnya tonggak penting, karena itu berarti bahwa semua versi yang didukung untuk Windows 10 Enterprise dan Education akan menjadi versi 20H2 dan lebih tinggi. Itu berarti bahwa hanya akan ada satu pembaruan kumulatif yang keluar, karena versi 20H2 dan lebih tinggi semuanya adalah bit yang sama persis, hanya dipisahkan oleh paket pengaktifan.

Baru-baru ini, Microsoft beralih ke irama pembaruan tahunan untuk Windows 10, cocok dengan apa yang sudah diperkenalkan dengan Windows 11. Namun, siklus hidup dukungannya berbeda. Pembaruan musim gugur Windows 10, yang akan terus berlanjut, akan terus mendapatkan dukungan selama 18 bulan untuk konsumen dan 30 bulan untuk bisnis. Sementara itu, pembaruan tahunan untuk Windows 11 sebenarnya mendapatkan 24 bulan untuk konsumen dan 36 bulan untuk bisnis.

Versi 20H2 Windows 10 Home dan Windows 10 Pro, dan versi 1909 Windows 10 Education dan Windows 10 Enterprise, akan mendapatkan pembaruan terakhir mereka hari ini. Windows 10 akan didukung dalam satu atau lain bentuk hingga setidaknya Oktober 2025.

Sumber : XDA

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

by

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

sumber: Kaspersky

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

sumber: Kaspersky

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

by

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Malware Emotet sekarang diinstal melalui PowerShell di file pintasan Windows

by

Botnet Emotet sekarang menggunakan file pintasan Windows (.LNK) yang berisi perintah PowerShell untuk menginfeksi komputer korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default.

Penggunaan file .LNK bukanlah hal baru, karena geng Emotet sebelumnya menggunakannya dalam kombinasi dengan kode Visual Basic Script (VBS) untuk membuat perintah yang mengunduh payload. Namun, ini adalah pertama kalinya mereka menggunakan pintasan Windows untuk menjalankan perintah PowerShell secara langsung.

Jumat lalu, operator Emotet menghentikan kampanye phishing karena mereka merusak penginstal mereka setelah menggunakan nama file statis untuk merujuk pintasan .LNK yang berbahaya.

Meluncurkan pintasan akan memicu perintah yang mengekstrak string kode VBS dan menambahkannya ke file VBS untuk dieksekusi.

Namun, karena file pintasan terdistribusi memiliki nama yang berbeda dari nama statis yang mereka cari, file VBS akan gagal dibuat dengan benar. Geng memperbaiki masalah kemarin.

Hari ini, peneliti keamanan memperhatikan bahwa Emotet beralih ke teknik baru yang menggunakan perintah PowerShell yang dilampirkan ke file LNK untuk mengunduh dan menjalankan skrip di komputer yang terinfeksi.

String berbahaya yang ditambahkan ke file .LNK dikaburkan dan diisi dengan nol (spasi kosong) sehingga tidak ditampilkan di bidang target (file yang ditunjuk pintasan) dari kotak dialog properti file.

sumber: BleepingComputer

File .LNK berbahaya Emotet menyertakan URL untuk beberapa situs web yang disusupi yang digunakan untuk menyimpan muatan skrip PowerShell. Jika skrip ada di salah satu lokasi yang ditentukan, skrip diunduh ke folder sementara sistem sebagai skrip PowerShell dengan nama acak.

Di bawah ini adalah versi deobfuscate dari string berbahaya Emotet yang dilampirkan ke payload .LNK:

sumber: BleepingComputer

Skrip ini menghasilkan dan meluncurkan skrip PowerShell lain yang mengunduh malware Emotet dari daftar situs yang disusupi dan menyimpannya ke folder %Temp%. DLL yang diunduh kemudian dieksekusi menggunakan perintah regsvr32.exe.

Eksekusi skrip PowerShell dilakukan menggunakan utilitas baris perintah Regsvr32.exe dan diakhiri dengan mengunduh dan meluncurkan malware Emotet.

Kelompok peneliti Cryptolaemus, yang memantau secara dekat aktivitas Emotet, mencatat bahwa teknik baru ini merupakan upaya yang jelas dari aktor ancaman untuk melewati pertahanan dan deteksi otomatis.

Peneliti keamanan di perusahaan keamanan siber ESET juga memperhatikan bahwa penggunaan teknik Emotet baru telah meningkat dalam 24 jam terakhir.

sumber: ESET

Data telemetri ESET menunjukkan bahwa negara-negara yang paling terpengaruh oleh Emotet melalui teknik baru ini adalah Meksiko, Italia, Jepang, Turki, dan Kanada.

Selain beralih ke PowerShell dalam file .LNK, operator botnet Emotet telah membuat beberapa perubahan lain sejak mereka melanjutkan aktivitas ke tingkat yang lebih stabil pada bulan November, seperti pindah ke modul 64-bit.

Sumber: Bleeping Computer