Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Bug

Bug

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

by

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

Cisco Menambal Bug Otentikasi Kritis Dengan Bukti Eksploitasi Publik

by

Cisco telah menambal bug kritis yang hampir maksimal dalam perangkat lunak NFVIS-nya yang memiliki eksploitasi proof-of-concept (PoC) yang tersedia untuk umum.

Pada hari Rabu, Cisco merilis tambalan untuk cacat – kerentanan bypass otentikasi di Enterprise NFV Infrastructure Software (NFVIS) yang dilacak sebagai CVE-2021-34746.

Cisco Enterprise NFVIS adalah perangkat lunak infrastruktur berbasis Linux yang membantu penyedia layanan dan pelanggan lain untuk menerapkan fungsi jaringan virtual, seperti router virtual dan firewall, serta akselerasi WAN, pada perangkat Cisco yang didukung. Ini juga menyediakan penyediaan otomatis dan manajemen terpusat.

Kerentanan dengan skor dasar CVSS 9,8 ini, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati autentikasi dan masuk ke perangkat yang rentan sebagai admin.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menyuntikkan parameter ke dalam permintaan otentikasi,” jelas Cisco dalam penasihat keamanannya. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melewati otentikasi dan masuk sebagai administrator ke perangkat yang terpengaruh.”

Kerentanan ini disebabkan oleh validasi yang tidak lengkap dari input yang diberikan pengguna yang diteruskan ke skrip autentikasi selama proses masuk. Cacat ditemukan di Cisco Enterprise NFVIS Rilis 4.5.1 jika metode otentikasi eksternal TACACS – fitur otentikasi, otorisasi dan akuntansi (AAA) dari perangkat lunak – dikonfigurasi.

Tidak ada solusi untuk memitigasi kerentanan ini. Patch untuk mengatasi bug tersedia di Enterprise NFVIS rilis 4.6.1 dan yang lebih baru.

Cisco mengatakan bahwa mereka mengetahui kode eksploitasi PoC yang tersedia untuk umum tetapi belum melihat eksploitasi berbahaya yang berhasil pada saat ini.

Eksploitasi itu ditemukan oleh peneliti keamanan Orange Group Cyrille Chatras, yang Cisco berterima kasih atas nasihatnya.

Selengkapnya: The Threat Post

Microsoft: Bug ProxyShell “mungkin dieksploitasi”, tambal server Anda sekarang!

by

Microsoft akhirnya menerbitkan panduan hari ini untuk kerentanan ProxyShell yang dieksploitasi secara aktif yang berdampak pada beberapa versi Microsoft Exchange lokal.

ProxyShell adalah kumpulan dari tiga kelemahan keamanan (ditambal pada bulan April dan Mei) yang ditemukan oleh peneliti keamanan Devcore Orange Tsai, yang mengeksploitasinya untuk menyusup ke server Microsoft Exchange selama kontes peretasan Pwn2Own 2021:

  • CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

Meskipun Microsoft sepenuhnya menambal bug ProxyShell pada Mei 2021, mereka tidak menetapkan ID CVE untuk kerentanan hingga Juli, mencegah beberapa organisasi dengan server yang belum ditambal mengetahui bahwa mereka memiliki sistem yang rentan di jaringan mereka.

Microsoft mengatakan bahwa pelanggan harus menginstal SETIDAKNYA SATU dari pembaruan kumulatif terbaru yang didukung dan SEMUA pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Per Microsoft, server Exchange rentan jika salah satu dari kondisi berikut ini benar:

  • Server menjalankan CU yang lebih lama dan tidak didukung;
  • Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
  • Server menjalankan CU yang lebih lama dan tidak didukung, dengan penerapan mitigasi EOMT Maret 2021.

Selengkapnya: Bleeping Computer

Bug Windows 11 merusak aplikasi Keamanan Windows, tetapi ada perbaikan

by

Bug yang tampaknya cukup luas menyebabkan Keamanan Windows menampilkan pesan kesalahan “You’ll need a new app to this windowsdefender link” di pratinjau build Windows 11.

Pratinjau awal Windows 11 saat ini tersedia untuk penguji di Program Windows Insider, dan pengguna menghadapi berbagai masalah dan bug dengan OS desktop yang dirancang.

Menurut laporan pengguna, Microsoft baru-baru ini merilis pembaruan yang salah dan tampaknya menyebabkan beberapa masalah serius dengan aplikasi Keamanan Windows yang digunakan untuk mengelola Windows Defender dan fitur keamanan lainnya. Untungnya, ada perbaikan sederhana di sini. Karena “Keamanan Windows” adalah aplikasi sistem, itu dapat diperbaiki menggunakan PowerShell.

Untuk memperbaiki kesalahan “windowsdefender link” di Windows 11, gunakan langkah-langkah ini:

  • Buka Windows PowerShell dari pencarian atau Start Menu dengan hak administrator.
  • Salin dan tempel Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
  • Tutup jendela PowerShell.

Setelah selesai, Anda akan dapat meluncurkan aplikasi Keamanan Windows lagi.

Selengkapnya: Windows Latest

Bug XSS di Plugin WordPress SEOPress Memungkinkan Pengambilalihan Situs

by

Kerentanan cross-site scripting (XSS) yang tersimpan di plugin SEOPress WordPress dapat memungkinkan penyerang untuk menyuntikkan skrip ke situs web, kata para peneliti.

SEOPress adalah alat pengoptimalan mesin pencari (SEO) yang memungkinkan pemilik situs mengelola metadata SEO, kartu media sosial, pengaturan Iklan Google, dan banyak lagi. Ini diinstal di lebih dari 100.000 situs.

Bug ini (CVE-2021-34641) memungkinkan setiap pengguna yang diautentikasi, seperti pelanggan, untuk memanggil rute REST dengan nonce yang valid, dan untuk memperbarui judul dan deskripsi SEO untuk setiap posting.

“Permissions_callback untuk titik akhir hanya diverifikasi jika pengguna tidak memiliki REST-API yang valid dalam permintaan,” menurut postingan tersebut. “Nonce REST-API yang valid dapat dibuat oleh setiap pengguna yang diautentikasi menggunakan rest-nonce WordPress core AJAX action.”

Bergantung pada apa yang judul dan deskripsi yang diperbarui oleh penyerang, itu akan memungkinkan sejumlah tindakan jahat, hingga dan termasuk pengambilalihan situs secara penuh, kata para peneliti.

Untuk melindungi situs web mereka, pengguna harus meningkatkan ke versi 5.0.4 dari SEOPress.

Kerentanan dalam plugin WordPress tetap cukup umum. Misalnya, pada bulan Juli enam kelemahan kritis diungkapkan yang memengaruhi plugin WordPress Front File Manager versi 17.1 dan 18.2, aktif di lebih dari 2.000 situs web.

Pada bulan Februari, bug keamanan XSS yang belum ditambal dan disimpan ditemukan berpotensi mempengaruhi 50.000 pengguna plugin Contact Form 7 Style.

Selengkapnya: The Threat Post

Apple memperbaiki zero-day yang memengaruhi iPhone dan Mac, yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dieksploitasi di alam liar dan berdampak pada iPhone, iPad, dan Mac.

Kerentanan, dilacak sebagai CVE-2021-30807, adalah masalah kerusakan memori dalam ekstensi kernel IOMobileFramebuffer yang dilaporkan oleh peneliti anonim. Eksploitasi yang berhasil dapat memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel

Apple telah memperbaiki bug dengan meningkatkan penanganan memori di iOS 14.7.1, iPadOS 14.7.1, dan macOS Big Sur 11.5.1.

Daftar perangkat yang terpengaruh termasuk Mac, iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Sementara Apple mengungkapkan bahwa setidaknya satu laporan menyebutkan eksploitasi aktif CVE-2021-30807 di alam liar, perusahaan tidak merilis informasi tambahan mengenai serangan ini.

Menahan info ini kemungkinan merupakan tindakan yang dirancang untuk memungkinkan pembaruan keamanan yang dirilis hari ini untuk menjangkau iPhone, iPad, dan Mac sebanyak mungkin sebelum pelaku ancaman lain mengetahui detailnya dan mulai secara aktif menyalahgunakan zero-day yang sekarang telah ditambal.

Selengkapnya: Bleeping Computer

Signal memperbaiki bug yang mengirim gambar acak ke kontak yang salah

by

Signal telah memperbaiki bug serius di aplikasi Androidnya yang, dalam beberapa kasus, mengirim gambar acak yang tidak diinginkan ke kontak tanpa penjelasan yang jelas.

Meskipun masalah ini dilaporkan pada Desember 2020, mengingat kesulitan mereproduksi bug, baru bulan ini perbaikan diluncurkan ke pengguna Android dari aplikasi perpesanan terenkripsi end-to-end.

Bulan ini Signal menambal bug yang memengaruhi pengguna aplikasi Android mereka dalam beberapa keadaan.

Saat mengirim gambar menggunakan aplikasi Signal Android ke salah satu kontak Anda, kontak terkadang tidak hanya menerima gambar yang dipilih, tetapi juga beberapa gambar acak yang tidak diinginkan, yang tidak pernah dikirim oleh pengirim.

Contoh tangkapan layar di bawah ini menunjukkan bagaimana pengirim (kiri) hanya mengirim GIF sebagai bagian dari percakapan teks, tetapi penerima (kanan) mendapat dua gambar tambahan tanpa penjelasan yang masuk akal:

Sumber: BleepingComputer

Pengguna lain, Adrian Ostrowski menyatakan bahwa bug seperti ini secara efektif membuat berbagi gambar secara rahasia melalui Signal tidak memungkinkan.

Yang ditanggapi oleh pengembang Android Signal, Greyson Parrelli bahwa perbaikan telah diluncurkan di versi 5.17 dari aplikasi Android Signal, yang dirilis bulan ini.

Selengkapnya: Bleeping Computer

Bug keamanan sistem Linux yang buruk terungkap

by

Systemd, manajer sistem dan layanan Linux yang sebagian besar telah menggantikan init sebagai program startup dan kontrol utama Linux, selalu mendapat kritik.

Sekarang, dengan penemuan bug keamanan systemd baru oleh Qualys, systemd akan mendapatkan lebih banyak kritikan. Eksploitasi yang berhasil dari kerentanan terbaru ini memungkinkan pengguna yang tidak memiliki hak untuk menyebabkan Denial of Service melalui kernel panic.

Seperti yang ditulis oleh Bharat Jogi, manajer senior Qualys untuk Kerentanan dan Signatures, “Mengingat luasnya permukaan serangan untuk kerentanan ini, Qualys merekomendasikan pengguna untuk segera menerapkan patch untuk kerentanan ini”.

Systemd digunakan di hampir semua distribusi Linux modern. Lubang keamanan khusus ini tiba di kode systemd pada April 2015. Ini bekerja dengan memungkinkan penyerang untuk menyalahgunakan fungsi alloca() dengan cara yang akan mengakibatkan kerusakan memori. Ini memungkinkan seorang peretas untuk merusak systemd dan seluruh sistem operasi.

Secara praktis, ini dapat dilakukan oleh penyerang lokal yang memasang sistem file pada jalur yang sangat panjang. Ini menyebabkan terlalu banyak ruang memori untuk digunakan di tumpukan systemd, yang mengakibatkan sistem crash.

Itu berita buruknya. Kabar baiknya adalah bahwa Red Hat Product Security dan pengembang systemd telah segera menambal lubangnya.

Meskipun tidak ada di semua distro Linux saat ini, Anda akan menemukannya di sebagian besar distro seperti Debian 10 (Buster) dan kerabatnya seperti Ubuntu dan Mint. Oleh karena itu, jika Anda ingin komputer Anda tetap berfungsi, Anda harus menambal versi systemd Anda sesegera mungkin.

Selengkapnya: ZDNet