Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for PsExec

PsExec

Spin-off PsExec baru memungkinkan peretas bypass keamanan jaringan

by

Peneliti keamanan telah mengembangkan implementasi utilitas Sysinternals PsExec yang memungkinkan pemindahan secara lateral dalam jaringan menggunakan satu port yang kurang terpantau, Windows TCP port 135.

PsExec dirancang untuk membantu administrator menjalankan proses dari jarak jauh pada mesin di jaringan tanpa perlu menginstal klien.

Pelaku ancaman juga telah mengadopsi alat tersebut dan sering menggunakannya dalam tahap pasca-eksploitasi serangan untuk menyebar di jaringan, menjalankan perintah pada beberapa sistem, atau menyebarkan malware.

Sementara PsExec asli tersedia di suite utilitas Sysinternals, ada juga implementasi dalam koleksi Impacket kelas Python untuk bekerja dengan protokol jaringan, yang memiliki dukungan untuk SMB dan protokol lain seperti IP, UDP, TCP yang memungkinkan koneksi untuk HTTP, LDAP (Protokol Akses Direktori Ringan), dan Microsoft SQL Server (MSSQL).

Versi asli dan varian Impacket bekerja dengan cara yang sama. Mereka menggunakan koneksi SMB dan didasarkan pada port 445, yang perlu dibuka untuk berkomunikasi melalui protokol berbagi file jaringan SMB.

Mereka juga mengelola layanan Windows (membuat, menjalankan, memulai, menghentikan) melalui Panggilan Prosedur Jarak Jauh (RPC), sebuah protokol yang memungkinkan komunikasi tingkat tinggi dengan sistem operasi.

Namun, untuk fungsionalitas yang diperluas, port 135 diperlukan. Namun, memblokir port ini tidak mencegah aktor ancaman menyelesaikan serangan, oleh karena itu port 445 sangat penting agar PsExec berfungsi.

Karena itu, sebagian besar defender fokus pada pemblokiran port 445, yang penting bagi PsExec untuk menjalankan perintah atau menjalankan file. Ini berfungsi dalam banyak kasus tetapi tidak cukup.

Berdasarkan library Impacket, para peneliti di Pentera, perusahaan yang menyediakan solusi validasi keamanan otomatis, telah membangun implementasi alat PsExec yang hanya berjalan pada port 135.

Pencapaian ini membawa perubahan pada permainan pertahanan karena memblokir hanya port 445 untuk membatasi aktivitas PsExec yang berbahaya tidak lagi menjadi opsi yang dapat diandalkan untuk sebagian besar serangan.

Lazar menambahkan dalam laporan yang dibagikan bahwa perintah dijalankan melalui Lingkungan Komputasi Terdistribusi / Panggilan Prosedur Jarak Jauh (DCE/RPC) dan proses “berjalan terlepas dari outputnya.”

Variasi PsExec dari Pentera menggunakan koneksi RPC yang memungkinkan para peneliti untuk membuat layanan yang menjalankan perintah arbitrer tanpa berkomunikasi melalui port SMB 445 untuk transportasi atau keluaran.

Tidak seperti PsExec asli di suite Sysinternals, varian Pentera memiliki peluang lebih tinggi untuk tergelincir tanpa terdeteksi dalam jaringan karena banyak organisasi mengawasi port 445 dan SMB.

Poin lain yang dibuat Lazar adalah bahwa implementasi PsExec lainnya harus menggunakan SMB karena berbasis file. Varian Pentera tidak memiliki file, kata peneliti, yang akan membuatnya lebih sulit untuk dideteksi.

Penelitian Lazar tentang PsExec menyoroti bahwa sementara kerentanan keamanan seperti PetitPotam [1, 2] dan DFSCoerce telah menarik perhatian pada risiko yang ditimbulkan RPC, mitigasi tidak menekankan pemantauan DCE/RPC tetapi pada pencegahan relai NTLM.

Berdasarkan pengamatan Pentera, memblokir atau memantau lalu lintas RPC bukanlah praktik umum di lingkungan perusahaan. Alasan dalam banyak kasus adalah bahwa para pembela HAM tidak menyadari bahwa RPC dapat menimbulkan risiko keamanan ke jaringan jika dibiarkan tidak dicentang.

Will Dormann, analis kerentanan di CERT/CC, setuju bahwa memblokir port TCP 445 saja tidak cukup untuk memblokir aktivitas jahat yang mengandalkan alat tersebut.

PsExec didasarkan pada koneksi SMB dan RPC, yang memerlukan port 445, 139, dan 135. Namun, Lazar menambahkan bahwa ada implementasi RPC di atas HTTP, yang berarti bahwa PsExec berpotensi dapat bekerja melalui port 80 juga.

Peretas telah menggunakan PsExec dalam serangan mereka untuk waktu yang lama. Geng Ransomware, khususnya, mengadopsinya untuk menyebarkan malware enkripsi file.

Dalam serangan yang berlangsung hanya satu jam, ransomware NetWalker menggunakan PsExec untuk menjalankan muatannya di semua sistem dalam sebuah domain.

Dalam contoh yang lebih baru, geng ransomware Quantum mengandalkan PsExec dan WMI untuk mengenkripsi sistem dalam serangan yang hanya membutuhkan waktu dua jam untuk diselesaikan setelah mendapatkan akses melalui malware IcedID.

Contoh lain adalah dari pelanggaran Cisco yang baru-baru ini diungkapkan, di mana geng ransomware Yanluowang menggunakan PsExec untuk menambahkan nilai registri dari jarak jauh, memungkinkan pelaku ancaman untuk memanfaatkan fitur aksesibilitas yang tersedia di layar masuk Windows.

Sumber: Bleeping Computer

Microsoft memperbaiki kerentanan peningkatan hak istimewa Windows PSExec

by

Microsoft telah memperbaiki kerentanan dalam utilitas PsExec yang memungkinkan pengguna lokal mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

PsExec adalah utilitas Sysinternals yang dirancang untuk memungkinkan administrator melakukan berbagai aktivitas di komputer jarak jauh, seperti meluncurkan file yang dapat dieksekusi dan menampilkan output di komputer lokal atau membuat reverse shells.

Karena keserbagunaan alat tersebut, pelaku ancaman biasanya menggunakan PsExec dalam toolkit pasca eksploitasi mereka untuk menyebar secara lateral ke mesin lain di jaringan, menjalankan perintah pada sejumlah besar perangkat secara bersamaan, atau menyebarkan malware seperti ransomware.

Pada bulan Desember 2020, peneliti Tenable David Wells menemukan kerentanan dalam named pipe communications PsExec yang memungkinkan pengguna lokal untuk meningkatkan ke hak istimewa SISTEM.

Setelah melaporkan kerentanan, Wells memberi waktu sembilan puluh hari kepada Microsoft untuk memperbaiki kerentanan tersebut, dan ketika Microsoft tidak memperbaikinya, ia akan mengungkapkan kekurangannya dan merilis PoC yang berfungsi penuh.

Setelah kerentanan diungkapkan kepada publik, Microsoft merilis PsExec versi 2.30 untuk mengatasi kerentanan tersebut. Namun, Wells menyatakan bahwa sedikit penyesuaian pada PoC-nya dapat melewati perbaikan tersebut.

Kemarin, Microsoft merilis PsExec v2.33, yang menyertakan perbaikan baru untuk kerentanan peningkatan hak istimewa lokal named pipe.

Selengkapnya: Bleeping Computer

Kerentanan zero-day Windows PsExec mendapat micropatch gratis

by

Micropatch gratis yang memperbaiki kerentanan local privilege escalation (LPE) di alat manajemen Microsoft Windows PsExec sekarang tersedia melalui platform 0patch.

PsExec adalah pengganti telnet yang sepenuhnya interaktif yang memungkinkan admin sistem menjalankan program pada sistem jarak jauh. Alat PsExec juga diintegrasikan dan digunakan oleh alat perusahaan untuk meluncurkan file executable dari jarak jauh di komputer lain.

Zero-day PsExec ini disebabkan oleh kerentanan named pipe hijacking (juga dikenal sebagai named pipe squatting) yang memungkinkan penyerang mengelabui PsExec agar membuka kembali named pipe yang dibuat dengan jahat dan memberinya izin Sistem Lokal.

Setelah berhasil mengeksploitasi bug, pelaku ancaman akan dapat menjalankan proses sewenang-wenang sebagai Sistem Lokal yang secara efektif memungkinkan mereka untuk mengambil alih mesin.

Peneliti malware Tenable, David Wells, menemukan kerentanan tersebut dan mengungkapkannya kepada publik pada 9 Desember 2020, 90 hari setelah memberitahu Microsoft dan mereka gagal untuk menambal bug tersebut.

Saat meneliti kerentanan dan membuat bukti konsep, Wells dapat mengonfirmasi bahwa zero-say memengaruhi beberapa versi Windows dari Windows XP hingga Windows 10.

Di bawah ini adalah demo video yang menunjukkan bagaimana micropatch yang dirilis oleh 0patch mencegah eksploitasi zero-day ini pada sistem Windows yang menjalankan PsExec.

Sumber: Bleeping Computer