RCE

Bug Cisco Memberikan Hak Akses Root Penyerang Jarak Jauh Melalui Mode Debug

January 21, 2022 by Eevee

Cisco telah memperbaiki kelemahan keamanan kritis yang ditemukan di Cisco Redundancy Configuration Manager (RCM) untuk Cisco StarOS Software selama pengujian keamanan internal.

Kerentanan, dilacak sebagai CVE-2022-20649, memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh (RCE) dengan hak istimewa tingkat root pada perangkat yang menjalankan perangkat lunak yang rentan.

“Kerentanan di Cisco RCM untuk Cisco StarOS Software dapat memungkinkan penyerang jarak jauh yang tidak diautistik untuk melakukan eksekusi kode jarak jauh pada aplikasi dengan hak istimewa tingkat akar dalam konteks wadah yang dikonfigurasi,” kata Cisco.

Seperti yang dijelaskan perusahaan lebih lanjut, kerentanan ada karena mode debug salah diaktifkan untuk layanan tertentu.

“Penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke perangkat dan menavigasi ke layanan dengan mode debug diaktifkan. Eksploitasi yang sukses dapat memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang sebagai pengguna akar,” tambah Cisco.

Namun, untuk akses yang tidak diautistik ke perangkat yang menjalankan perangkat lunak yang tidak ditamtik, para penyerang pertama-tama perlu melakukan pengintaian terperinci untuk menemukan layanan yang rentan.

Tidak ada eksploitasi di alam liar

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengatakan bahwa perusahaan tidak mengetahui eksploitasi kerentanan ini dalam serangan yang sedang berlangsung.

Hari ini, Cisco juga memperbaiki bug pengungkapan informasi tingkat keparahan menengah (CVE-2022-20648) di Cisco RCM untuk Cisco StarOS yang disebabkan oleh layanan debug yang salah mendengarkan dan menerima koneksi masuk.

Penyerang jarak jauh dapat mengeksploitasi bug kedua ini dengan mengeksekusi perintah debug setelah terhubung ke port debug. Eksploitasi yang berhasil dapat memungkinkan mereka untuk mengakses informasi debugging sensitif pada perangkat yang rentan.

Perusahaan telah merilis Cisco RCM untuk StarOS 21.25.4, yang dilengkapi dengan pembaruan keamanan untuk mengatasi kekurangan ini dan tersedia melalui Software Center pada Cisco.com.

Tahun lalu, Cisco menambal beberapa kerentanan lain yang memungkinkan aktor ancaman untuk mengeksekusi kode dan perintah dari jarak jauh dengan hak istimewa root.

Misalnya, ini membahas cacat RCE pra-otentikasi kritis yang berdampak pada SD-WAN vManage yang dapat memungkinkan aktor ancaman untuk mendapatkan hak istimewa root pada OS yang mendasarinya pada bulan Mei. Bug pra-auth lain dalam perangkat lunak yang sama, yang memungkinkan penyerang untuk mendapatkan RCE sebagai root, diperbaiki pada bulan April.

Sumber: Bleepingcompter

Microsoft memperbaiki bug Office yang kritis, menunda pembaruan keamanan macOS

January 12, 2022 by Eevee

Microsoft telah mengatasi kerentanan Office yang sangat parah yang dapat membuat penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Dilacak sebagai CVE-2022-21840, merupakan bug eksekusi kode jarak jauh (RCE) yang dapat dieksploitasi penyerang tanpa hak istimewa pada perangkat yang ditargetkan sebagai bagian dari serangan kompleksitas rendah yang memerlukan interaksi pengguna.

Agar berhasil mengeksploitasi kerentanan kritis ini, penyerang harus mengelabui target mereka agar membuka dokumen Office yang dibuat khusus yang dikirimkan menggunakan tautan yang dibagikan melalui pesan instan atau email.

Untungnya, Microsoft mengatakan bahwa panel pratinjau Outlook tidak dapat digunakan sebagai vektor serangan dalam upaya eksploitasi yang menargetkan kerentanan ini.

Namun, itu dapat dieksploitasi melalui panel pratinjau Windows Explorer sebagaimana dikonfirmasi oleh analis kerentanan CERT/CC Will Dormann.

Ini menyiratkan bahwa eksploitasi dimungkinkan tanpa harus mengelabui calon korban untuk membuka file Office yang dibuat dengan jahat, tetapi, sebaliknya, hanya harus memilihnya di jendela Explorer dengan panel pratinjau diaktifkan.

Meskipun Redmond telah merilis pembaruan keamanan untuk Microsoft 365 Apps for Enterprise dan versi Windows dari Microsoft Office, perusahaan masih mengerjakan patch yang mengatasi kerentanan pada macOS.

Pengguna Mac yang menjalankan Microsoft Office LTSC untuk Mac 2021 dan Microsoft Office 2019 untuk Mac diberitahu bahwa mereka harus menunggu lebih lama untuk mendapatkan patch CVE-2022-21840.

Microsoft juga telah gagal untuk segera merilis patch macOS untuk Excel zero-day yang dieksploitasi secara aktif pada bulan November, bug bypass fitur keamanan parah yang memungkinkan eksploitasi lokal dari penyerang yang tidak diautentikasi dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Menurut pembaruan info CVE, Redmond mengeluarkan pembaruan keamanan untuk Microsoft Office untuk Mac satu minggu kemudian, menyarankan pengguna untuk menyebarkan tambalan agar produk mereka dilindungi dari serangan liar.

Sumber : Bleeping Computer

Penyerang Mengeksploitasi Kelemahan Log4j dalam Serangan Hands-on-Keyboard untuk Menjatuhkan Kerang Terbalik

January 6, 2022 by Eevee

Microsoft minggu ini memperingatkan organisasi tentang potensi tinggi pelaku ancaman untuk memperluas penggunaan kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan dalam kerangka logging Apache Log4j untuk melakukan berbagai serangan.

Banyak kelompok penyerang termasuk aktor negara-bangsa dan kelompok ransomware telah menambahkan eksploitasi untuk kerentanan ke kit serangan mereka dan menggunakannya untuk membuat cangkang terbalik, menjatuhkan toolkit akses jarak jauh, dan melakukan serangan langsung pada keyboard pada sistem yang rentan.

Backdoors dan reverse shell yang telah diamati Microsoft digunakan melalui kelemahan Log4j termasuk Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike, dan PowerShell.

Pada 9 Desember, Apache Software Foundation mengungkapkan kerentanan kritis RCE (CVE-2021-44228) dalam komponen yang memberi penyerang cara yang relatif sepele untuk mendapatkan kendali penuh atas sistem yang rentan. Kurang dari seminggu setelah cacat pertama diungkapkan, Apache Foundation mengungkapkan cacat kedua di Log4j (CVE-2021-45046) dan kemudian beberapa hari kemudian, yang ketiga (CVE-2021-45105).

Prevalensi luas dari cacat dan kemudahannya untuk dieksploitasi elah menarik minat berbagai aktor ancaman. banyak vendor telah melaporkan mengamati operator ransomware; penambang cryptocurrency; aktor negara-bangsa dari negara-negara termasuk Iran, Turki, dan Cina; dan orang lain mencoba untuk mengeksploitasi kekurangan.

Pelaku ancaman persisten tingkat lanjut (APT) yang telah diamati mengeksploitasi kelemahan termasuk kelompok Hafnium yang berbasis di China yang bertanggung jawab untuk melakukan serangan zero-day terhadap apa yang disebut set ProxyLogon dari kelemahan Exchange Server tahun lalu. Aktor APT lain yang mengeksploitasi kelemahan Log4j termasuk Phosphorous, operator ransomware Iran, dan Aquatic Panda, aktor berbasis di China yang digagalkan CrowdStrike di tengah serangan yang ditargetkan pada organisasi akademik besar beberapa hari setelah kelemahan pertama terungkap.

CrowdStrike mengamati, pelaku ancaman berusaha mengeksekusi perintah Linux pada host Windows organisasi korban, kata Param Singh, wakil presiden layanan perburuan ancaman Falcon OverWatch CrowdStrike. Ketika upaya untuk mengeksekusi perintah Linux gagal, aktor ancaman dengan cepat beralih menggunakan layanan asli Windows atau yang disebut binari hidup di luar negeri (LOLBins).

Menurut Microsoft, Banyak aktivitas tampaknya berasal dari peneliti keamanan dan tim merah yang mencari kelemahan di jaringan mereka, namun di antara mereka yang memindai kelemahan adalah aktor ancaman, termasuk operator botnet seperti Mirai, mereka yang menargetkan sistem Elasticsearch yang rentan untuk menyebarkan penambang cryptocurrency, dan penyerang yang ingin menyebarkan pintu belakang Tsunami di sistem Linux.

Dalam banyak kampanye ini, penyerang menjalankan pemindaian bersamaan untuk sistem Windows dan sistem Linux yang rentan. Penyerang menggunakan perintah Base 64 yang disertakan dalam JDNI:ldap:// untuk meluncurkan perintah bash pada sistem Linux dan PowerShell pada Windows, kata Microsoft.

Microsoft dan banyak pakar keamanan lainnya telah mendesak organisasi untuk menyebarkan alat pemindaian dan skrip untuk mengidentifikasi kerentanan Log4j di lingkungan mereka. Tetapi karena cara kerja pengepakan Java, kerentanan dapat terkubur beberapa lapisan jauh di dalam aplikasi dan tidak mudah terlihat oleh pemindai, kata pakar keamanan.

Rezilion, misalnya, baru-baru ini menguji beberapa alat pemindaian sumber terbuka dan komersial untuk melihat seberapa efektif mereka dalam mendeteksi file Java di mana Log4j disarangkan dan dikemas dalam berbagai format. Alat pemindaian yang diuji termasuk dari Google, Palantir, Aqua Security, Mergebase, dan JFrog. Latihan menunjukkan bahwa sementara beberapa pemindai lebih baik daripada yang lain, tidak satu pun dari mereka yang mampu mendeteksi Log4j dalam semua format.

Sumber : Dark Reading

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

November 23, 2021 by Eevee

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Ini bisa menjadi waktu yang tepat untuk menambal kernel Linux Anda

November 10, 2021 by Winnie the Pooh

Peneliti keamanan siber telah membantu memperbaiki kerentanan keamanan heap-overflow kritis di kernel Linux yang dapat dieksploitasi baik secara lokal atau melalui eksekusi kode jarak jauh (RCE) untuk membahayakan komputer Linux yang rentan.

Ditemukan oleh peneliti SentinelLabs Max Van Amerongen, kerentanan yang dilacak sebagai CVE-2021-43267 ada dalam modul Transparan Inter Process Communication (TIPC) kernel, khususnya dalam jenis pesan yang memungkinkan node untuk saling mengirim kunci kriptografi.

“Kerentanan ini dapat dieksploitasi baik secara lokal maupun jarak jauh. Sementara eksploitasi lokal lebih mudah karena kontrol yang lebih besar atas objek yang dialokasikan di tumpukan kernel, eksploitasi jarak jauh dapat dicapai berkat struktur yang didukung TIPC,” catat Amerongen.

Karena jenis pesan yang terpengaruh relatif baru, bug hanya ada di rilis kernel antara v5.10 dan v5.15.

Peneliti menjelaskan bahwa jenis pesan yang rentan, yang disebut MSG_CRYPTO, diperkenalkan pada September 2020, untuk bertukar kunci kriptografi.

Namun, Amerongen menemukan bahwa meskipun jenis pesan membuat berbagai alokasi untuk mentransfer kunci, ia gagal untuk memeriksa dan memvalidasi beberapa di antaranya.

Patch telah dirilis yang menambahkan pemeriksaan verifikasi ukuran yang sesuai ke proses, yang telah ditambahkan ke rilis utama Linux 5.15 Long Term Support (LTS).

Sumber: Tech Radar

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

October 22, 2021 by Winnie the Pooh

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

September 13, 2021 by Winnie the Pooh

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
Untuk dokumen Word, navigasikan ke registry key berikut:
- HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Untuk file rich text (RTF), navigasikan ke registry key ini:
- HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Export salinan registry key sebagai cadangan.
Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

September 8, 2021 by Winnie the Pooh

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RCE

Tidak ada eksploitasi di alam liar

Nonaktifkan pratinjau dokumen di Windows Explorer

Cookies Settings