Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for 0patch

0patch

Windows Mark of the Web zero-day mendapat tambalan tidak resmi

by

0patch telah merilis tambalan tidak resmi gratis untuk mengatasi kelemahan zero-day yang dieksploitasi secara aktif dalam mekanisme keamanan Windows Mark of the Web (MotW).

Cacat ini memungkinkan penyerang untuk mencegah Windows menerapkan label (MotW) pada file yang diekstrak dari arsip ZIP yang diunduh dari Internet.

Windows secara otomatis menambahkan flag MotW ke semua dokumen dan executable yang diunduh dari sumber yang tidak dipercaya, termasuk file yang diekstrak dari arsip ZIP yang diunduh, menggunakan aliran data alternatif ‘Zone.Id’ khusus.

Label MotW ini memberi tahu Windows, Microsoft Office, browser web, dan aplikasi lain bahwa file harus diperlakukan dengan kecurigaan dan akan menyebabkan peringatan ditampilkan kepada pengguna bahwa membuka file dapat menyebabkan perilaku berbahaya, seperti malware yang diinstal pada perangkat.

Will Dormann, analis kerentanan senior di ANALYGENCE, yang pertama kali melihat arsip ZIP tidak menambahkan flag MoTW dengan benar, melaporkan masalah tersebut ke Microsoft pada bulan Juli.

Seperti yang dijelaskan oleh CEO ACROS Security dan salah satu pendiri layanan micropatch 0patch Mitja Kolsek, MotW adalah mekanisme keamanan Windows yang penting karena Kontrol Aplikasi Cerdas hanya akan bekerja pada file dengan bendera MotW dan Microsoft Office hanya akan memblokir makro pada dokumen yang ditandai dengan label MotW.

“Penyerang dapat mengirimkan file Word atau Excel dalam ZIP yang diunduh yang makronya tidak akan diblokir karena tidak adanya MOTW (bergantung pada pengaturan keamanan makro Office), atau akan lolos dari pemeriksaan oleh Kontrol Aplikasi Cerdas.”

Sejak zero-day dilaporkan ke Microsoft pada bulan Juli, telah terdeteksi sebagai dieksploitasi dalam serangan untuk mengirimkan file berbahaya pada sistem korban.

Sampai Microsoft merilis pembaruan resmi untuk mengatasi kekurangan tersebut, 0patch telah mengembangkan tambalan gratis untuk versi Windows yang terpengaruh berikut ini:

  • Windows 10 v1803 dan yang lebih baru
  • Windows 7 dengan atau tanpa ESU
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008 R2 dengan atau tanpa ESU

Untuk menginstal micropatch pada perangkat Windows Anda, daftarkan akun 0patch dan instal agennya.

Mereka akan diterapkan secara otomatis setelah meluncurkan agen tanpa memerlukan sistem restart jika tidak ada kebijakan tambalan khusus untuk memblokirnya.

Selengkapnya: Bleeping Computer

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer