MSDT

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

August 10, 2022 by Eevee

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:

sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer

Pencarian Windows baru zero-day ditambahkan ke mimpi buruk protokol Microsoft

June 2, 2022 by Eevee

Kerentanan zero-day Windows Search yang baru dapat digunakan untuk secara otomatis membuka jendela pencarian yang berisi executable malware yang di-host dari jarak jauh hanya dengan meluncurkan dokumen Word.

Masalah keamanan dapat dimanfaatkan karena Windows mendukung penangan protokol URI yang disebut ‘search-ms’ yang memungkinkan aplikasi dan tautan HTML untuk meluncurkan pencarian yang disesuaikan pada perangkat.

Sementara sebagian besar pencarian Windows akan melihat pada indeks perangkat lokal, juga dimungkinkan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Misalnya, kumpulan alat Sysinternals yang populer memungkinkan Anda memasang live.sysinternals.com dari jarak jauh sebagai jaringan berbagi untuk meluncurkan utilitas mereka. Untuk mencari berbagi jarak jauh ini dan hanya mencantumkan file yang cocok dengan nama tertentu, Anda dapat menggunakan URI ‘search-ms’ berikut:

search-ms:query=proc&crumb=lokasi:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Seperti yang dapat Anda lihat dari perintah di atas, variabel ‘crumb’ search-ms menentukan lokasi yang akan dicari, dan variabel ‘displayname’ menentukan judul pencarian.

Jendela pencarian yang disesuaikan akan muncul ketika perintah ini dijalankan dari dialog Run atau bilah alamat browser web pada Windows 7, Windows 10, dan Windows 11, seperti yang ditunjukkan di bawah ini.

Pencarian Windows pada berbagi file jarak jauh
Sumber: BleepingComputer

Perhatikan bagaimana judul jendela diatur ke nama tampilan ‘Searching Sysinternals’ yang kami tentukan di URI ms pencarian.

Pelaku ancaman dapat menggunakan pendekatan yang sama untuk serangan berbahaya, di mana email phishing dikirim dengan berpura-pura sebagai pembaruan keamanan atau patch yang perlu diinstal.

Mereka kemudian dapat mengatur berbagi Windows jarak jauh yang dapat digunakan untuk meng-host malware yang disamarkan sebagai pembaruan keamanan dan kemudian menyertakan URI ms pencarian dalam lampiran phishing atau email mereka.

Namun, tidak mudah untuk membuat pengguna mengklik URL seperti ini, terutama ketika muncul peringatan, seperti yang ditunjukkan di bawah ini.

Peringatan browser saat meluncurkan penangan protokol URI
Sumber: BleepingComputer

Tetapi salah satu pendiri dan peneliti keamanan Hacker House Matthew Hickey menemukan cara dengan menggabungkan kelemahan objek Microsoft Office OLEO yang baru ditemukan dengan pengendali protokol pencarian-ms untuk membuka jendela pencarian jarak jauh hanya dengan membuka dokumen Word.

Minggu ini, para peneliti menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day Windows baru di Microsoft Windows Support Diagnostic Tool (MSDT). Untuk mengeksploitasinya, pelaku ancaman membuat dokumen Word berbahaya yang meluncurkan pengendali protokol URI ‘ms-msdt’ untuk menjalankan perintah PowerShell hanya dengan membuka dokumen.

Diidentifikasi sebagai CVE-2022-30190, cacat memungkinkan untuk memodifikasi dokumen Microsoft Office untuk melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi oleh pengguna, yang hanya akan menyebabkan penyalahgunaan lebih lanjut terhadap penangan protokol.

Ini terlihat kemarin ketika Hickey mengonversi eksploitasi Microsoft Word MSDT yang ada untuk menggunakan pengendali protokol pencarian-ms yang kami jelaskan sebelumnya.

Dengan PoC baru ini, ketika pengguna membuka dokumen Word, maka secara otomatis akan meluncurkan perintah ‘search-ms’ untuk membuka jendela Pencarian Windows yang mencantumkan executable pada share SMB jarak jauh. Pembagian ini dapat diberi nama apa pun yang diinginkan oleh pelaku ancaman, seperti ‘Pembaruan Penting’, yang mendorong pengguna untuk menginstal malware yang terdaftar.

Seperti eksploitasi MSDT, Hickey juga menunjukkan bahwa Anda dapat membuat versi RTF yang secara otomatis membuka jendela Pencarian Windows saat dokumen ditampilkan di panel pratinjau Explorer.

Dengan menggunakan jenis dokumen Word berbahaya ini, pelaku ancaman dapat membuat kampanye phishing yang rumit yang secara otomatis meluncurkan jendela Pencarian Windows di perangkat penerima untuk mengelabui mereka agar meluncurkan malware.

Meskipun eksploitasi ini tidak separah kerentanan eksekusi kode jarak jauh MS-MSDT, ini dapat menyebabkan penyalahgunaan oleh aktor ancaman yang rajin yang ingin membuat kampanye phishing yang canggih.

Untuk mengurangi kerentanan ini, Hickey mengatakan Anda dapat menggunakan mitigasi yang sama untuk eksploitasi ms-msdt – hapus pengendali protokol pencarian-ms dari Windows Registry.

Jalankan Command Prompt sebagai Administrator.
Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
Jalankan perintah “reg delete HKEY_CLASSES_ROOT\search-ms /f”

Contoh penyalahgunaan MSDT dan search-ms bukanlah hal baru, awalnya diungkapkan oleh Benjamin Altpeter pada tahun 2020 dalam tesisnya tentang keamanan aplikasi Elektron.

Namun, baru-baru ini mereka mulai dijadikan senjata dalam dokumen Word untuk serangan phishing tanpa interaksi pengguna, yang mengubahnya menjadi kerentanan zero-day.

Berdasarkan panduan Microsoft untuk CVE-2022-30190, perusahaan tampaknya mengatasi kelemahan dalam penangan protokol dan fitur Windows yang mendasarinya, daripada fakta bahwa pelaku ancaman dapat menyalahgunakan Microsoft Office untuk meluncurkan URI ini tanpa interaksi pengguna.

Seperti yang dikatakan oleh analis kerentanan CERT/CC Will Dormann, eksploitasi ini sebenarnya memanfaatkan dua kelemahan yang berbeda. Tanpa memperbaiki masalah URI Microsoft Office, penangan protokol lebih lanjut akan disalahgunakan.

Hickey juga mengatakan bahwa ia percaya bahwa ini tidak selalu merupakan cacat pada protokol penangan, melainkan kombinasi yang mengarah ke ‘Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability.’

Pada bulan Juni, para peneliti secara tidak sengaja mengungkapkan detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan Windows Spooler RCE bernama PrintNightmare.

Sementara komponen RCE diperbaiki dengan cepat, berbagai kerentanan elevasi hak istimewa lokal ditemukan yang terus diungkapkan di bawah klasifikasi ‘PrintNightmare’.

Tidak sampai Microsoft membuat beberapa perubahan drastis pada Windows Printing yang akhirnya mereka kendalikan kelas kerentanan ini, meskipun menyebabkan banyak masalah pencetakan untuk beberapa waktu.

Dengan mengatasi masalah hanya di sisi fitur penangan protokol/Windows, Microsoft menghadapi klasifikasi ‘ProtocolNightmare’ yang sama sekali baru di mana para peneliti akan terus menemukan penangan URI baru untuk disalahgunakan dalam serangan.

Sampai Microsoft tidak memungkinkan untuk meluncurkan penangan URI di Microsoft Office tanpa interaksi pengguna, bersiaplah untuk serangkaian artikel berita serupa saat eksploitasi baru dirilis.

Sumber: Bleeping Computer

Microsoft Merilis Panduan Solusi untuk Kerentanan “Follina” MSDT

June 1, 2022 by Eevee

Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan CVE-2022-30190 mengenai Microsoft Support Diagnostic Tool (MSDT) pada kerentanan Windows, pertama kali dilaporkan selama akhir pekan Memorial Day oleh para peneliti dengan vendor keamanan Jepang Nao Sec.

Peneliti keamanan Kevin Beaumont menamai kerentanan itu “Folina,” karena kode zero day merujuk 0438, yang merupakan kode area untuk Follina, Italia. Beaumont mencatat bahwa Defender for Endpoint tidak mendeteksi eksploit, yang mengambil file HTML dari server web jarak jauh dan memungkinkan eksekusi kode PowerShell.

Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dengan hak istimewa aplikasi panggilan, dan kemudian dapat menginstal program, mengubah atau menghapus data, atau bahkan membuat akun baru yang diizinkan oleh hak pengguna, Microsoft memposting di blog keamanannya.

Untuk menonaktifkan Protokol URL MDST, Microsoft mengatakan pengguna harus:

Jalankan Command Prompt sebagai Administrator.
Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
Jalankan perintah “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Microsoft mengatakan pelanggan dengan Defender Antivirus harus mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis, sementara pelanggan Defender untuk Endpoint dapat mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule” yang memblokir aplikasi Office dari membuat proses anak.

Badan Keamanan Cybersecurity dan Infrastruktur AS mengeluarkan peringatan pada hari Selasa di Follina, mendesak pengguna dan administrator untuk menerapkan solusi yang diperlukan.

Sumber: Microsoft Security Response Center

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MSDT

Cookies Settings