Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft memperbaiki bug Office yang kritis, menunda pembaruan keamanan macOS

by

Microsoft telah mengatasi kerentanan Office yang sangat parah yang dapat membuat penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Dilacak sebagai CVE-2022-21840, merupakan bug eksekusi kode jarak jauh (RCE) yang dapat dieksploitasi penyerang tanpa hak istimewa pada perangkat yang ditargetkan sebagai bagian dari serangan kompleksitas rendah yang memerlukan interaksi pengguna.

Agar berhasil mengeksploitasi kerentanan kritis ini, penyerang harus mengelabui target mereka agar membuka dokumen Office yang dibuat khusus yang dikirimkan menggunakan tautan yang dibagikan melalui pesan instan atau email.

Untungnya, Microsoft mengatakan bahwa panel pratinjau Outlook tidak dapat digunakan sebagai vektor serangan dalam upaya eksploitasi yang menargetkan kerentanan ini.

Namun, itu dapat dieksploitasi melalui panel pratinjau Windows Explorer sebagaimana dikonfirmasi oleh analis kerentanan CERT/CC Will Dormann.

Ini menyiratkan bahwa eksploitasi dimungkinkan tanpa harus mengelabui calon korban untuk membuka file Office yang dibuat dengan jahat, tetapi, sebaliknya, hanya harus memilihnya di jendela Explorer dengan panel pratinjau diaktifkan.

Meskipun Redmond telah merilis pembaruan keamanan untuk Microsoft 365 Apps for Enterprise dan versi Windows dari Microsoft Office, perusahaan masih mengerjakan patch yang mengatasi kerentanan pada macOS.

Pengguna Mac yang menjalankan Microsoft Office LTSC untuk Mac 2021 dan Microsoft Office 2019 untuk Mac diberitahu bahwa mereka harus menunggu lebih lama untuk mendapatkan patch CVE-2022-21840.

Microsoft juga telah gagal untuk segera merilis patch macOS untuk Excel zero-day yang dieksploitasi secara aktif pada bulan November, bug bypass fitur keamanan parah yang memungkinkan eksploitasi lokal dari penyerang yang tidak diautentikasi dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Menurut pembaruan info CVE, Redmond mengeluarkan pembaruan keamanan untuk Microsoft Office untuk Mac satu minggu kemudian, menyarankan pengguna untuk menyebarkan tambalan agar produk mereka dilindungi dari serangan liar.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5009566 dirilis dengan perbaikan keamanan

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5009566 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug yang diketahui.

KB5009566 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Januari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan kumulatif hari ini dengan membuka Start > Settings > Windows Update dan klik’Check for Updates’.

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5009566 secara manual dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5009566, Windows 11 akan mengubah build number menjadi 22000.434.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft tidak memiliki banyak informasi tentang bug apa yang diperbaiki. Ini mungkin karena masih dalam periode liburan, dan semoga kita akan melihat daftar perbaikan yang lebih rinci dalam beberapa bulan mendatang.

Selengkapnya: Bleeping Computer

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Microsoft: bug powerdir memberikan akses ke data pengguna macOS yang dilindungi

by

Microsoft mengatakan pelaku ancaman dapat menggunakan kerentanan macOS untuk melewati teknologi Transparansi, Persetujuan, dan Kontrol (TCC) untuk mengakses data pengguna yang dilindungi.

Tim Riset Pembela Microsoft 365 telah melaporkan kerentanan yang dijuluki powerdir (dilacak sebagai CVE-2021-30970) ke Apple pada 15 Juli 2021, melalui Microsoft Security Vulnerability Research (MSVR).

TCC adalah teknologi keamanan yang dirancang untuk memblokir aplikasi agar tidak mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk kamera dan mikrofon.

Sementara Apple telah membatasi akses TCC hanya untuk aplikasi dengan akses disk penuh dan mengatur fitur untuk secara otomatis memblokir eksekusi kode yang tidak sah, peneliti keamanan Microsoft menemukan bahwa penyerang dapat menanam database TCC kedua yang dibuat khusus yang memungkinkan mereka mengakses info pengguna yang dilindungi.

“Kami menemukan bahwa adalah mungkin untuk secara terprogram mengubah direktori home pengguna target dan menanam database TCC palsu, yang menyimpan riwayat persetujuan permintaan aplikasi,” kata Jonathan Bar Or, peneliti keamanan utama di Microsoft.

“Jika dieksploitasi pada sistem yang belum ditambal, kerentanan ini dapat memungkinkan aktor jahat untuk berpotensi mengatur serangan berdasarkan data pribadi pengguna yang dilindungi.

“Misalnya, penyerang dapat membajak aplikasi yang diinstal pada perangkat—atau menginstal aplikasi berbahaya mereka sendiri—dan mengakses mikrofon untuk merekam percakapan pribadi atau menangkap tangkapan layar dari informasi sensitif yang ditampilkan di layar pengguna.”

eksploitasi PoC powerdir (Microsoft)

Apple telah memperbaiki kerentanan dalam pembaruan keamanan yang dirilis bulan lalu, pada 13 Desember 2021. “Aplikasi berbahaya mungkin dapat melewati preferensi Privasi,” perusahaan menjelaskan dalam penasihat keamanan.

“Selama penelitian ini, kami harus memperbarui eksploitasi proof-of-concept (POC) kami karena versi awal tidak lagi berfungsi pada versi macOS terbaru, Monterey,” tambah Jonathan Bar Or.

“Ini menunjukkan bahwa bahkan ketika macOS atau sistem operasi dan aplikasi lain menjadi lebih keras dengan setiap rilis, vendor perangkat lunak seperti Apple, peneliti keamanan, dan komunitas keamanan yang lebih besar, perlu terus bekerja sama untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat memanfaatkannya. mereka.”

Microsoft sebelumnya telah melaporkan menemukan kelemahan keamanan yang dijuluki Shrootless yang akan memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan operasi sewenang-wenang, meningkatkan hak istimewa untuk melakukan root, dan menginstal rootkit pada perangkat yang rentan.

Peneliti perusahaan juga menemukan varian baru malware MacOS WizardUpdate (alias UpdateAgent atau Vigram), yang diperbarui dengan taktik penghindaran dan ketekunan baru.

Tahun lalu, pada bulan Juni, Redmond mengungkapkan bug firmware kritis di beberapa model router NETGEAR yang dapat digunakan peretas untuk menembus dan bergerak secara lateral dalam jaringan perusahaan.

Sumber : Bleeping Computer

Pembaruan Keamanan WordPress 5.8.3 Memperbaiki Injeksi SQL, Kelemahan XSS

by

Tim pengembangan WordPress merilis versi 5.8.3, rilis keamanan siklus pendek yang membahas empat kerentanan, tiga di antaranya dinilai sangat penting.

Set termasuk injeksi SQL pada WP_Query, injeksi SQL buta melalui WP_Meta_Query, serangan XSS melalui siput pos, dan injeksi objek admin.

Semua masalah memiliki prasyarat untuk eksploitasi mereka, dan sebagian besar situs WordPress yang menggunakan pengaturan pembaruan inti otomatis default tidak dalam bahaya.

Namun, situs yang menggunakan WordPress 5.8.2 atau yang lebih lama, dengan sistem file read-only yang telah menonaktifkan pembaruan inti otomatis di wp-config.php, dapat rentan terhadap serangan berdasarkan kekurangan yang diidentifikasi.

Empat kelemahan yang dibahas dengan pembaruan keamanan terbaru adalah sebagai berikut:

  • CVE-2022-21661: Tingkat keparahan tinggi (skor CVSS 8.0) injeksi SQL melalui WP_Query. Kelemahan ini dapat dieksploitasi melalui plugin dan tema yang menggunakan WP-Query. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21662: Tingkat keparahan tinggi (skor CVSS 8.0) kerentanan XSS yang memungkinkan penulis (pengguna hak istimewa yang lebih rendah) untuk menambahkan backdoor berbahaya atau mengambil alih situs dengan menyalahgunakan siput pos. Perbaikan mencakup versi WordPress hingga 3.7.37.
  • CVE-2022-21664: Tingkat keparahan tinggi (skor CVSS 7,4) injeksi SQL melalui kelas inti WP_Meta_Query. Perbaikan mencakup versi WordPress hingga 4.1.34.
  • CVE-2022-21663: Masalah injeksi objek tingkat keparahan sedang (skor CVSS 6,6) yang hanya dapat dieksploitasi jika aktor ancaman telah membahayakan akun admin. Perbaikan mencakup versi WordPress hingga 3.7.37.

Belum ada laporan tentang hal di atas yang berada di bawah eksploitasi aktif di alam liar, dan tidak satu pun dari kekurangan ini diperkirakan memiliki dampak potensial yang parah pada sebagian besar situs WordPress.

Meskipun demikian, disarankan agar semua pemilik situs WordPress meng-upgrade ke versi 5.8.3, meninjau konfigurasi firewall mereka, dan memastikan bahwa pembaruan inti WP diaktifkan.

Pengaturan ini dapat dilihat pada parameter ‘define’ dalam wp-config.php, yang harus “define (‘WP_AUTO_UPDATE_CORE’, true);”

Pembaruan inti otomatis diperkenalkan pada tahun 2013 di WordPress 3.7, dan menurut statistik resmi, hanya 0,7% dari semua situs WP yang saat ini menjalankan versi yang lebih tua dari itu.

Sumber: Bleepingcomputer

Dev Merusak NPM Library ‘color’ dan ‘faker’ melanggar ribuan aplikasi

by

Pengguna perpustakaan open-source populer ‘warna’ dan ‘faker’ dibiarkan tertegun setelah mereka melihat aplikasi mereka, menggunakan perpustakaan ini, mencetak data omong kosong dan melanggar.

Beberapa menduga jika perpustakaan NPM telah dikompromikan, tetapi ternyata ada lebih banyak cerita.

Pengembang perpustakaan ini sengaja memperkenalkan loop tak terbatas yang membangun ribuan proyek yang bergantung pada ‘warna’ dan ‘faker.’

Perpustakaan warna menerima lebih dari 20 juta unduhan mingguan di NPM saja dan memiliki hampir 19.000 proyek yang mengandalkannya. Sedangkan, faker menerima lebih dari 2,8 juta unduhan mingguan di NPM, dan memiliki lebih dari 2.500 tanggungan.

Revolusi Open Source?

Pengembang di balik perpustakaan NPM open-source populer ‘warna’ (alias color.js di GitHub) dan ‘faker’ (alias ‘faker.js’ di GitHub) sengaja memperkenalkan komit nakal di dalamnya yang berdampak pada ribuan aplikasi yang mengandalkan perpustakaan ini.

Kemarin, pengguna proyek open-source populer, seperti Amazon Cloud Development Kit (aws-cdk) tercengang melihat aplikasi mereka mencetak pesan omong kosong di konsol mereka.

Pesan-pesan ini termasuk teks ‘LIBERTY LIBERTY LIBERTY’ diikuti oleh urutan karakter non-ASCII:

Awalnya, pengguna menduga bahwa perpustakaan ‘warna’ dan ‘faker’ yang digunakan oleh proyek-proyek ini dikompromikan [1, 2, 3], mirip dengan bagaimana perpustakaan coa, rc, dan ua-parser-js dibajak tahun lalu oleh aktor jahat.

Tapi, pada kenyataannya, itu adalah dev di balik warna dan faker yang tampaknya telah sengaja melakukan kode yang bertanggung jawab atas kesalahan besar, seperti yang dilihat oleh BleepingComputer.

Pengembang, bernama Marak Squires menambahkan “modul bendera Amerika baru” ke perpustakaan warna.js kemarin dalam versi v1.4.44-liberty-2 yang kemudian ia dorong ke GitHub dan NPM.

Loop tak terbatas yang diperkenalkan dalam kode akan terus berjalan tanpa batas waktu; mencetak urutan karakter non-ASCII omong kosong tanpa henti pada konsol untuk aplikasi apa pun yang menggunakan ‘colors.’

Alasan di balik kenakalan ini di pihak pengembang tampaknya adalah pembalasan – terhadap mega-perusahaan dan konsumen komersial proyek open-source yang secara luas bergantung pada perangkat lunak bebas biaya dan bertenaga masyarakat tetapi tidak memberikan kembali kepada masyarakat.

Selengkapnya: Bleepingcomputer

Serangan DDoS pemerasan tumbuh lebih kuat dan lebih umum

by

Akhir tahun 2021 terjadi peningkatan jumlah insiden penolakan layanan terdistribusi yang datang dengan permintaan tebusan dari penyerang untuk menghentikan serangan tersebut.

Pada kuartal keempat tahun lalu, sekitar seperempat pelanggan Cloudflare yang menjadi target serangan DDoS mengatakan bahwa mereka menerima catatan tebusan dari pelaku.

Sebagian besar serangan ini terjadi pada Desember 2021, ketika hampir sepertiga pelanggan Cloudflare melaporkan menerima surat tebusan.

Menurut perusahaan, 2021 adalah saat sebagian besar serangan ini terjadi, dengan peningkatan 29% tahun-ke-tahun yang tercatat dan lompatan kuartal-ke-kuartal 175%.

Sekitar 200Gbps dan kemudian ditekuk menjadi lebih dari 500Gbps pada pertengahan September. Pada Februari 2021, perusahaan layanan keamanan internet Akamai melihat bagiannya dari tantangan berurusan dengan RDDoS 800Gbps yang menargetkan perusahaan perjudian di Eropa.

September lalu, seorang aktor ancaman menyebarkan RDDoS terhadap penyedia voice-over-Internet VoIP.ms, mengganggu layanan telepon karena server DNS perusahaan menjadi tidak dapat dijangkau.

Melihat alamat IP, sebagian besar insiden DDoS ini berasal dari China, AS, Brasil, dan India, yang disebarkan oleh bot seperti Meris, yang muncul tahun ini dengan serangan memecahkan rekor sebanyak 21,8 juta permintaan terhadap raksasa internet Rusia Yandex.

Tidak seperti DDoS lapisan aplikasi, yang menolak akses pengguna ke layanan, serangan DDoS lapisan jaringan menargetkan seluruh infrastruktur jaringan perusahaan yang mencoba untuk menghapus router dan server.

Salah satu serangan DDoS terbesar yang dimitigasi Cloudflare berlangsung selama 60 detik dan berasal dari botnet dengan 15.000 sistem yang melemparkan hampir 2Tbps paket sampah ke pelanggan, ini dikerahkan dari jaringan perangkat IoT yang berjalan dikompromikan oleh varian botnet Mirai.

Cloudflare mencatat bahwa banjir SYN tetap menjadi metode serangan yang populer. Protokol SNMP telah mengalami lonjakan dramatis hampir 6.000% dari satu kuartal ke kuartal lainnya, meskipun serangan DDoS berbasis UDP adalah vektor kedua yang paling banyak digunakan.

“Saat kami melihat vektor serangan yang muncul — yang membantu kami memahami vektor baru yang digunakan penyerang untuk meluncurkan serangan — kami mengamati lonjakan besar dalam serangan DDoS berbasis UDP, MSSQL, dan generik” – Cloudflare

Sumber : Bleeping Computer