Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Exploit

Exploit

Microsoft Patch Tuesday Juli 2021 memperbaiki 9 zero-day, 117 kerentanan

by

Hari ini adalah rilis Patch Tuesday Microsoft bulan Juli 2021, dan dengan itu datang perbaikan untuk sembilan kerentanan zero-day dan total 117 kerentanan keamanan.

Microsoft telah memperbaiki 117 kerentanan dengan pembaruan hari ini, dengan 13 diklasifikasikan sebagai Kritis, 1 Sedang, dan 103 sebagai Penting.

Dari 117 kerentanan, 44 adalah eksekusi kode jarak jauh, 32 untuk peningkatan hak istimewa, 14 pengungkapan informasi, 12 Denial of Service, 8 bypass fitur keamanan, dan tujuh kerentanan spoofing.

Patch Tuesday bulan Juli mencakup sembilan kerentanan zero-day, dengan empat dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan zero-day sebagai “telah diungkapkan secara publik” atau “dieksploitasi secara aktif” tanpa pembaruan keamanan resmi atau rilis.

Lima kerentanan zero-day yang diungkapkan secara publik, tetapi belum dieksploitasi adalah:

  • CVE-2021-34492 – Windows Certificate Spoofing Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Elevation of Privilege Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-33779 – Windows ADFS Security Feature Bypass Vulnerability
  • CVE-2021-33781 – Active Directory Security Feature Bypass Vulnerability

Ada satu kerentanan yang diungkapkan secara publik dan dieksploitasi secara aktif yang dikenal sebagai PrintNightmare.

  • CVE-2021-34527 – Windows Print Spooler Remote Code Execution Vulnerability

Terakhir, ada tiga kerentanan Windows yang dieksploitasi secara aktif yang tidak diungkapkan kepada publik.

  • CVE-2021-33771 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-34448 – Scripting Engine Memory Corruption Vulnerability
  • CVE-2021-31979 – Windows Kernel Elevation of Privilege Vulnerability

Segera terapkan Patch Tuesday bula July 2021 pada perangkat Anda!

Selengkapnya: Bleeping Computer

Kelompok peretasan menggunakan 11 zero-day untuk menyerang pengguna Windows, iOS, Android

by

Project Zero, tim zero-day bug-hunting Google, menemukan sekelompok peretas yang menggunakan 11 zero-day dalam serangan yang menargetkan pengguna Windows, iOS, dan Android dalam satu tahun.

Tim Project Zero mengungkapkan bahwa kelompok peretasan di balik serangan ini menjalankan dua kampanye terpisah, pada bulan Februari dan Oktober 2020.

Laporan bulan ini menampilkan penggunaan tujuh zero-day setelah sebelumnya diterbitkan pada Januari menunjukkan bagaimana empat zero-day digunakan bersama dengan eksploitasi n-day untuk meretas target potensial.

Sama seperti sebelumnya, penyerang menggunakan beberapa lusin situs web yang menghosting dua server exploit, masing-masing menargetkan pengguna iOS dan Windows atau Android.

“Dalam pengujian kami, kedua server exploit ada di semua domain yang ditemukan,” kata anggota tim Project Zero, Maddie Stone.

“Setelah sidik jari awal (tampaknya didasarkan pada asal alamat IP dan user-agent), iframe disuntikkan ke situs web yang mengarah ke salah satu dari dua server exploit.”

Sumber: Google Project Zero

Secara keseluruhan, saat menganalisis kampanye Oktober 2020, para peneliti Project Zero menemukan:

  • satu rantai eksploitasi yang menargetkan Windows 10 yang sepenuhnya ditambal menggunakan Google Chrome
  • dua rantai parsial menargetkan 2 perangkat Android berbeda yang sepenuhnya ditambal yang menjalankan Android 10 menggunakan Google Chrome dan Samsung Browser
  • beberapa eksploitasi RCE untuk iOS 11-13 dan eksploitasi eskalasi hak istimewa untuk iOS 13 (dengan bug yang dieksploitasi hadir hingga iOS 14.1)

Selengkapnya: Bleeping Computer

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer

Peretas Cina menggunakan eksploitasi NSA bertahun-tahun sebelum Shadow Brokers bocor

by

Peretas negara Cina mengkloning dan mulai menggunakan eksploitasi zero-day NSA hampir tiga tahun sebelum grup peretas Shadow Brokers membocorkannya secara publik pada April 2017.

EpMe adalah exploit asli yang dibuat oleh Equation Group sekitar tahun 2013 untuk bug zero-day Windows yang dilacak sebagai CVE-2017-2005.

Kerentanan digunakan untuk meningkatkan hak pengguna Windows setelah mendapatkan akses ke perangkat yang ditargetkan karena ini adalah bug eskalasi hak istimewa lokal (LPE) yang memengaruhi perangkat yang menjalankan Windows XP hingga Windows 8.

Microsoft menambal bug keamanan ini pada Maret 2017 dan mengaitkan eksploitasi aktif ke grup peretasan APT31 yang didukung Cina.

Namun, APT 31 (juga dilacak sebagai Zirkonium) membangun exploit mereka, dijuluki Jian, dengan mereplikasi fungsi exploit EpMe yang dicuri dari unit Equation Group (NSA’s Tailored Access Operations (TAO) unit) seperti yang diungkapkan peneliti Check Point dalam laporan yang mereka terbitkan.

Ini dilakukan setelah peretas negara Cina menangkap sampel 32-bit dan 64-bit dari eksploitasi EpMe Equation Group.

Setelah direplikasi, exploit zero-day digunakan oleh APT31 bersama alat peretasan lainnya di gudang senjata mereka, termasuk pengemas multi-tahap grup.

Microsoft menambal kerentanan Jian dirancang untuk disalahgunakan hanya setelah IRT Lockheed Martin menemukan sampel exploit di alam liar dan membagikannya dengan Microsoft.

Sumber: Check Point

Selengkapnya: Bleeping Computer

Hanya 2,6% dari 18.000 kerentanan terlacak tahun 2019 yang secara aktif dieksploitasi di alam liar

by

Sementara industri infosec terbiasa membaca FUD tentang kerentanan perangkat lunak, penelitian yang menarik menunjukkan sekitar 500 kerentanan dieksploitasi pada tahun 2019 – meskipun 18.000 CVE baru sedang dibuat.

Kenna Security, sebuah firma infosec AS, menganggap bahwa meskipun ribuan kerentanan diberi nomor pelacakan Kerentanan dan Eksploitasi Umum (CVE) pada tahun tersebut, hanya 473 di antaranya yang secara aktif dieksploitasi dengan cara yang mungkin berdampak pada perusahaan.

Itu hanya mewakili 2,6% dari kerentanan yang dilaporkan selama tahun ini, memberikan petunjuk baru tentang skala ancaman terhadap bisnis yang terhubung ke internet.

Laporan tersebut melanjutkan: “Kode eksploitasi sudah tersedia untuk >50% kerentanan (pada akhirnya dieksploitasi di alam liar) pada saat mereka dipublikasikan ke Daftar CVE. Untungnya bagi para pembela, rilis patch bertepatan dengan publikasi untuk lebih dari 80 persen dari CVE tersebut”.

Selengkapnya: The Register

Extension Great Suspender telah dihapus dari Toko Web Chrome karena mengandung malware

by

Kemarin, Google telah menghapus extension populer The Great Suspender karena mengandung malware dan secara proaktif menonaktifkan extension tersebut bagi mereka yang memilikinya.

The Great Suspender adalah – atau mungkin dulu – extension yang memaksa tab berlebih Anda untuk “tidur”, membantu mencegah Chrome menggunakan terlalu banyak RAM dan sumber daya lainnya.

Tahun lalu, seperti yang dijelaskan secara mendalam oleh TheMageKing, pengembangan The Great Suspender berpindah tangan dan kemudian dijual kepada pihak ketiga yang tidak dikenal.

Selanjutnya, dengan versi 7.1.8, The Great Suspender menambahkan sebuah exploit yang dapat digunakan untuk menjalankan hampir semua jenis kode di komputer Anda tanpa sepengetahuan Anda.

Eksploit ini menyebabkan extension dihapus dari toko extension Microsoft Edge, tetapi The Great Suspender diizinkan untuk tetap berada di Toko Web Chrome karena pembaruan yang lebih baru dilaporkan menghapus eksploit tersebut.

Lalu kemarin, Google tampaknya telah memberlakukan penghapusan The Great Suspender karena mengandung malware, menghapus extension dari Toko Web Chrome dan telah menonaktifkan extension tersebut secara paksa oleh Chrome.

Tidak diketahui apakah masalah malware ini akan membuat The Great Suspender dihapus secara permanen dari Toko Web Chrome, atau apakah akan dipulihkan tepat waktu. Sementara itu, komunitas telah membuat versi terakhir The Great Suspender yang bebas malware untuk membuat The Marvelous Suspender, yang sekarang tersedia di Toko Web Chrome.

Sumber: 9to5google

NSA Mengungkapkan 25 Kerentanan Teratas yang Dieksploitasi oleh Peretas Negara-Bangsa China

by

Badan Keamanan Nasional AS (NSA) hari ini menerbitkan daftar 25 kerentanan teratas yang diketahui publik yang paling sering dipindai dan ditargetkan oleh penyerang yang disponsori negara Cina.

Daftar ini mencakup kelemahan yang baru-baru ini diungkapkan seperti Zerologon di Microsoft Windows dan kerentanan lainnya di Windows, Windows Server, Citrix Gateway, Pulse Connect Secure, perangkat proxy/load balancer F5 BIG-IP, Adobe ColdFusion, Oracle WebLogic Server, dan produk serta layanan lainnya.

NSA menyarankan organisasi untuk memprioritaskan perbaikan 25 kerentanan ini dan mencatat bahwa ini adalah daftar tidak lengkap dari apa yang tersedia untuk, dan digunakan oleh, penyerang China; Namun, kekurangan ini diketahui dioperasionalkan oleh China.

Daftar tambalan dapat dilihat melalui tautan ini.

Source: Dark Reading

Perkembangan Eksploitasi: 80% Eksploitasi Terbit Lebih Cepat daripada CVE

by

Dengan jumlah kerentanan baru yang terus meningkat, manajemen kerentanan menjadi salah satu proses paling penting dalam memastikan operasi bisnis yang berkelanjutan.

Meskipun jelas bahwa penambalan yang tepat waktu itu penting, penting juga untuk mengetahui secara kuantitatif bagaimana penundaan dapat meningkatkan risiko.

Untuk memahami keadaan perkembangan pengungkapan kerentanan dan eksploitasi, peneliti Unit 42 menganalisis 45.450 eksploitasi yang tersedia untuk umum di Exploit Database.

Penelitian ini menghubungkan data exploit dengan kerentanan dan informasi patch untuk mempelajari perkembangan exploit dalam berbagai aspek.

Penelitian tersebut mengungkapkan bahwa:

  • Dari 45.450 eksploitasi publik di Database Eksploitasi, terdapat 11.079 (~ 26%) eksploitasi di Database Eksploitasi yang telah memetakan nomor CVE.
  • Di antara 11.079 eksploitasi itu:
    • 14% adalah zero-day (dipublikasikan sebelum vendor merilis patch), 23% dipublikasikan dalam seminggu setelah rilis patch dan 50% dipublikasikan dalam waktu sebulan setelah rilis patch. Rata-rata, sebuah exploit diterbitkan 37 hari setelah tambalan dirilis. Tambal sesegera mungkin – risiko kerentanan yang dieksploitasi meningkat dengan cepat setelah vendor merilis tambalan.
    • 80% dari eksploitasi publik dipublikasikan sebelum CVE dipublikasikan. Rata-rata, exploit diterbitkan 23 hari sebelum CVE dipublikasikan. Perangkat lunak dan perangkat keras mungkin juga memiliki kerentanan dengan eksploitasi publik yang tidak memiliki CVE. Periksa pembaruan keamanan dari vendor sesering mungkin dan terapkan pembaruan sesegera mungkin.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Unit 42 Paloalto