Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

CEO Cloudflare mengatakan pertukaran crypto adalah target populer bagi penyerang dunia maya

by

Pertukaran Cryptocurrency telah menjadi target populer bagi penjahat siber, CEO Cloudflare Matthew Prince mengatakan kepada Jim Cramer dari CNBC pada hari Senin.

“Pepatah lama adalah, Mengapa perampok bank merampok bank? Itu karena di situlah uangnya,” kata Prince dalam sebuah wawancara di “Mad Money.” “Salah satu tempat terbesar yang sedang dikejar penyerang dunia maya saat ini adalah berbagai pertukaran mata uang kripto dan bagian mata uang kripto lainnya di alam semesta.”

Cryptocurrency menarik perhatian sehubungan dengan kejahatan dunia maya awal tahun ini setelah serangan ransomware tingkat tinggi, terutama insiden Colonial Pipeline pada bulan Mei yang untuk sementara mengganggu pasokan bahan bakar di beberapa bagian Pantai Timur.

Peristiwa tersebut memicu perdebatan seputar peran mata uang digital berbasis blockchain dalam munculnya serangan ransomware. Beberapa berpendapat bahwa cryptocurrency memungkinkan insiden ransomware, sementara yang lain mengatakan fakta bahwa transaksi dicatat pada buku besar publik dapat membantu dalam memecahkan kejahatan dunia maya.

Komentar Prince pada hari Senin datang sebagai tanggapan atas pertanyaan dari Cramer, yang menanyakan apakah eksekutif akan merasa aman berinvestasi melalui pertukaran crypto yang merupakan pelanggan Cloudflare. Cramer, yang telah berinvestasi dalam cryptocurrency, mengatakan kepada Prince bahwa dia secara pribadi khawatir “akan ada peretasan dan uang saya akan hilang.”

Selengkapnya: CNBC

Microsoft memperbaiki kerentanan Windows PrintNightmare yang tersisa

by

Microsoft telah merilis pembaruan keamanan untuk memperbaiki kerentanan zero-day PrintNightmare terakhir yang tersisa yang memungkinkan penyerang mendapatkan hak administratif pada perangkat Windows dengan cepat.

Pada bulan Juni, kerentanan print spooler Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527) secara tidak sengaja diungkapkan. Kerentanan ini mengeksploitasi fitur Windows Point and Print untuk melakukan eksekusi kode jarak jauh dan mendapatkan hak istimewa SISTEM lokal.

Sementara Microsoft merilis dua pembaruan keamanan untuk memperbaiki berbagai kerentanan PrintNightmare, kerentanan lain yang diungkapkan secara publik oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke server cetak jarak jauh.

Lebih buruk lagi, geng ransomware, seperti Vice Society, Magniber, dan Conti, mulai memanfaatkan bug untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat yang disusupi.

Dalam pembaruan keamanan Patch Tuesday September 2021 hari ini, Microsoft telah merilis pembaruan keamanan baru untuk CVE-2021-36958 yang memperbaiki kerentanan PrintNightmare yang tersisa.

Delpy, yang menguji eksploitasinya terhadap pembaruan keamanan baru, mengonfirmasi kepada BleepingComputer bahwa bug tersebut sekarang telah diperbaiki.

Selain memperbaiki kerentanan, Delpy mengatakan kepada BleepingComputer bahwa Microsoft telah menonaktifkan fitur CopyFiles secara default dan menambahkan kebijakan grup tidak berdokumen yang memungkinkan admin untuk mengaktifkannya kembali.

Karena perubahan ini akan memengaruhi perilaku default Windows, tidak jelas masalah apa yang akan ditimbulkannya saat melakukan printing di Windows.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

by

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Patch Tuesday Microsoft September 2021 memperbaiki 2 zero-day, 60 kerentanan

by

Hari ini adalah Patch Tuesday Microsoft September 2021, dan dengan itu datang perbaikan untuk dua kerentanan zero-day dan total 60 kelemahan.

Microsoft telah memperbaiki 60 kerentanan (86 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, satu sebagai Sedang, dan 56 sebagai Penting.

Dari total 86 kerentanan (termasuk Microsoft Edge):

  • 27 Kerentanan Peningkatan Hak Istimewa
  • 2 Kerentanan Bypass Fitur Keamanan
  • 16 Kerentanan Eksekusi Kode Jarak Jauh
  • 11 Kerentanan Pengungkapan Informasi
  • 1 Kerentanan Denial of Service
  • 8 Kerentanan Spoofing

Patch Tuesday September juga mencakup perbaikan untuk dua kerentanan zero-day, dengan bug MSHTML yang dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa pembaruan keamanan resmi yang dirilis.

Kerentanan zero-day yang diungkapkan secara publik, tetapi tidak dieksploitasi secara aktif adalah:

Satu-satunya kerentanan yang dieksploitasi secara aktif adalah kerentanan eksekusi kode jarak jauh MSHTML Windows, seperti yang telah dibahas sebelumnya:

  • CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Untuk informasi tentang pembaruan Windows non-security, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5005565 & KB5005566 hari ini.

Selengkapnya: Bleeping Computer

Google menambal zero-day Chrome ke-10 yang dieksploitasi di alam liar tahun ini

by

Google telah merilis Chrome 93.0.4577.82 untuk Windows, Mac, dan Linux untuk memperbaiki sebelas kerentanan keamanan, dua di antaranya adalah zero-days yang dieksploitasi di alam liar.

“Google menyadari bahwa eksploitasi untuk CVE-2021-30632 dan CVE-2021-30633 ada di alam liar,” perusahaan mengungkapkan dalam catatan rilis untuk versi Chrome baru.

Pembaruan saat ini diluncurkan di seluruh dunia di saluran desktop Stabil, dan Google menyatakan itu akan tersedia untuk semua orang selama beberapa hari ke depan.

Google Chrome juga akan secara otomatis memeriksa pembaruan baru saat Anda memulai ulang browser di lain waktu.

Dua kerentanan zero-day yang diperbaiki hari ini diungkapkan ke Google pada 8 September 2021, dan keduanya merupakan bug memori.

CVE-2021-30632 adalah penulisan di luar batas di mesin JavaScript V8, dan bug CVE-2021-30633 adalah bug use-after-free di API DB yang Diindeks.

Meskipun bug ini sering menyebabkan browser crash, pelaku ancaman terkadang dapat mengeksploitasinya untuk melakukan eksekusi kode jarak jauh, sandbox escapes, dan perilaku berbahaya lainnya.

Sementara Google telah mengungkapkan bahwa kedua bug telah dieksploitasi di alam liar, mereka belum membagikan informasi lebih lanjut mengenai serangan tersebut.

Dengan dua kerentanan ini, Google kini telah menambal total sepuluh kerentanan zero-day di Chrome pada tahun 2021.

Karena kerentanan ini diketahui telah dieksploitasi secara liar, sangat disarankan agar semua Google Chrome segera memperbarui ke versi terbaru.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

by

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

  1. Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
    Untuk dokumen Word, navigasikan ke registry key berikut:

    • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

    Untuk file rich text (RTF), navigasikan ke registry key ini:

    • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  2. Export salinan registry key sebagai cadangan.
  3. Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
  4. Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer