Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for RCE

RCE

CVE-2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability

by

Johannes B. Ullrich, Ph.D. , Dekan Riset, SANS Technology Institute, telah membagikan detail mengenai kerentanan CVE-2020-16898.

Satu kerentanan yang mendapat perhatian para “defenders” minggu ini adalah CVE-2020-16898. Kerentanan, yang terkadang disebut “Bad Neighbor”, dapat digunakan untuk mengeksekusi arbitrary code di sistem Windows. Untuk mengeksploitasi kerentanan, penyerang harus mengirim router advertisement ICMPv6 yang dibuat secara khusus.

Apa Itu Router Advertisement?

Beberapa peneliti kadang menyebutnya sebagai “DHCP Lite”. IPv6 tidak terlalu mengandalkan DHCP untuk mengelola alamat IP. Lagi pula, kita mendapatkan banyak IPv6, dan kebutuhan untuk “mendaur ulang” alamat IP cukup banyak. Router akan mengirimkan router advertisement secara berkala atau sebagai tanggapan atas permintaan router yang dikirim oleh host yang baru saja bergabung dengan jaringan. Semua host yang “berbicara” dengan IPv6 akan mendengarkan router advertisement untuk mempelajari konfigurasi jaringan. Bahkan jika Anda menggunakan DHCPv6, Anda masih memerlukan router advertisement untuk mengetahui gateway default.

Satu lagi opsi yang ditambahkan baru-baru ini mencakup daftar server DNS rekursif. Ini “melengkapi” analogi DHCP-Lite dengan menawarkan gateway, alamat IP, dan server DNS. Data yang sama biasanya ditemukan di server DHCP.

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Opsi router advertisement mengikuti format standar “Type/Length/Value”. Mereka mulai dengan satu byte yang menunjukkan type (25 = RDNSS), diikuti dengan byte yang menunjukkan length, dua byte yang telah disisihkan (reserved), dan “masa pakai” 4-byte. Ditambah, tentu saja, alamat IP server DNS.

Sumber: SANS ISC InfoSec Forums

Seperti tipikal IPv6, panjangnya ditunjukkan dalam kelipatan 8-byte. Jadi panjang “1” menunjukkan bahwa opsi kita adalah 8 byte. Kolom awal (Type, Length, Reserved, Lifetime) sama persis 8 byte panjangnya. Setiap alamat IP panjangnya 16 byte.

Untuk satu alamat IP, panjangnya adalah “3”. Setiap alamat IP menambahkan “2” (2 x 8 Bytes) lainnya. Akibatnya, panjangnya harus selalu ganjil.

Kerentanan dipicu jika panjangnya genap, dan lebih besar dari 3. Misalnya, pertimbangkan paket ini dengan panjang “4”:

Sumber: SANS ISC InfoSec Forums

Delapan byte terakhir dari alamat IP kedua tidak lagi termasuk dalam panjangnya. Dan di sinilah Windows menjadi bingung. Wireshark juga agak membingungkan:

Sumber: SANS ISC InfoSec Forums

Wireshark masih menampilkan kedua alamat IP tetapi juga mengenali bahwa ada data di luar panjang opsi.

Seberapa buruk kah ini?

Ini buruk karena ini memungkinkan eksekusi arbitrary code. Tetapi penyerang harus dapat mengirim paket dari jaringan korban. Bahkan host yang terekspos tidak dapat diserang dari “seluruh internet”, hanya di dalam subnet. Penyerang juga harus mengatasi fitur anti-eksploitasi di Windows 10 (pengacakan tata letak alamat dan semacamnya), yang memerlukan kebocoran informasi kedua, kerentanan, dan eksploitasi.

Apa yang dapat dilakukan?

Penambalan mungkin adalah solusi paling sederhana dan paling mudah, yang paling tidak mungkin menyebabkan masalah. Pilihan lain:

  • Microsoft menawarkan kemampuan untuk mematikan fitur RDNSS sebagai opsi. Ini bisa, tentu saja, kembali menghantui Anda nanti saat Anda mulai menggunakan opsi ini.
  • Berbagai IDS telah merilis signature untuk mendeteksi serangan tersebut.
  • Beberapa switch menawarkan fitur “Router Advertising Guard” yang dapat membatasi router advertisement. Mungkin itu akan membantu.

Sumber: SANS ISC InfoSec Forums

Microsoft October 2020 Patch Tuesday memperbaiki 87 kerentanan

by

Microsoft telah merilis pembaruan keamanan bulanan yang dikenal sebagai Patch Tuesday, dan bulan ini pembuat OS telah menambal 87 kerentanan di berbagai produk Microsoft.

Bug paling berbahaya yang ditambal bulan ini adalah CVE-2020-16898. Digambarkan sebagai kerentanan eksekusi kode jarak jauh (RCE) yaitu kerentanan pada Windows TCP/IP stack, bug ini dapat memungkinkan penyerang untuk mengambil alih sistem Windows dengan mengirimkan paket ICMPv6 Router Advertisement yang berbahaya ke komputer yang belum ditambal melalui koneksi jaringan.

Bug tersebut ditemukan secara internal oleh teknisi Microsoft, dan versi OS yang rentan terhadap CVE-2020-16898 termasuk Windows 10 dan Windows Server 2019.

Peneliti dari McAfee telah merilis detail pada blog mereka yang dapat diakses melalui link ini.

Sangat disarankan untuk menambal bug ini, tetapi solusi seperti menonaktifkan dukungan ICMPv6 RDNSS juga dapat dilakukan, yang memungkinkan administrator sistem menerapkan mitigasi sementara hingga mereka menguji kualitas pembaruan keamanan bulan ini untuk setiap bug yang merusak OS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Bug Instagram membuat pengguna rentan terhadap peretas, klaim perusahaan keamanan siber

by

Praktik yang tampaknya ramah dan umum di antara pengguna Instagram telah mengungkapkan kerentanan yang mencolok di aplikasi milik Facebook tersebut, menurut laporan baru dari Check Point Software Technologies (CHKP).

Perusahaan keamanan siber mengatakan bahwa mereka mengungkap kelemahan kritis dalam pemrosesan gambar Instagram: menyimpan satu gambar ke ponsel akan memungkinkan penyerang siber mengakses kontak pengguna, data lokasi, kamera, dan file yang disimpan di perangkat.

Pada bulan Januari, Check Point juga mengungkapkan beberapa kerentanan dalam aplikasi TikTok yang dapat digunakan peretas untuk mendapatkan informasi pribadi rahasia dan memanipulasi data pengguna. Bug tersebut kemudian diperbaiki.

Kepala penelitian siber Check Point, Yaniv Balmas, menggambarkan kerentanan Instagram dengan cara berikut:

Penyerang mengirimkan gambar ke email, pesan teks, atau platform komunikasi lainnya milik korban. Gambar tersebut kemudian disimpan ke perangkat seluler pengguna. Ini dapat dilakukan secara otomatis atau manual tergantung pada metode pengiriman, jenis ponsel, dan konfigurasi. Foto yang dikirim oleh WhatsApp misalnya, disimpan ke telepon secara otomatis secara default. Pengguna kemudian membuka aplikasi Instagram, memicu eksploitasi, memberi penyerang akses penuh untuk eksekusi kendali jarak jauh, atau RCE.

Check Point mengatakan pertama kali bug itu diungkapkan ke Facebook pada 1 Februari, dan pada 10 Februari, Instagram merilis tambalan untuk memperbaiki bug tersebut. Menurut perusahaan tersebut, raksasa media sosial itu mengeluarkan tambalan untuk memperbaiki kerentanan pada versi aplikasi Instagram yang lebih baru.

Pengguna harus memperbarui aplikasi dan sistem operasi di perangkat seluler mereka secara teratur karena patch keamanan kritis dikeluarkan dengan pembaruan ini.

Selain itu, penting untuk lebih memperhatikan jenis izin dan persetujuan yang diizinkan oleh pengguna bagi pengembang aplikasi, daripada hanya mengeklik “izinkan” tanpa membaca petunjuknya.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Yahoo Finance

Microsoft merilis patch keamanan untuk Windows 8.1 dan Windows Server 2012

by

Microsoft telah merilis patch keamanan untuk menambal beberapa kerentanan pada Windows 8.1, RT 8.1, and Server 2012,

CVE-2020-1530 | Windows Remote Access Elevation of Privilege Vulnerability
CVE-2020-1537 | Windows Remote Access Elevation of Privilege Vulnerability

Aktor yang memanfaatkan kerentanan tersebut dapat mendapatkan Akses Remote ke sistem.
Anda dapat melihat remediasi dari postingan resmi Microsoft.

Eksploitasi Internet Explorer Dan Zero-day Windows Digunakan Dalam Operasi PowerFall

by

Aktor ancaman tingkat lanjut mengeksploitasi salah satu dari dua kerentanan zero-day yang ditambal Microsoft pada hari Selasa dalam serangan yang ditargetkan awal tahun ini.

Aktor tersebut menggunakan dua kelemahan di Windows, keduanya tidak diketahui pada saat serangan, dalam upaya untuk mencapai eksekusi kode jarak jauh dan meningkatkan hak istimewa mereka pada mesin yang dikompromikan.

Upaya jahat itu terjadi pada bulan Mei dan menargetkan perusahaan Korea Selatan. Peneliti dari Kaspersky percaya bahwa ini mungkin operasi DarkHotel, grup peretas yang telah beroperasi selama lebih dari satu dekade.

Dijuluki “Operation PowerFall”, serangan tersebut mengandalkan kerentanan eksekusi kode jarak jauh (RCE) di Internet Explorer 11, sekarang dilacak sebagai CVE-2020-1380, dan celah keamanan di Windows GDI Print / Print Spooler API yang memungkinkan eskalasi hak istimewa, sekarang diidentifikasi sebagai CVE-2020-0986.

Boris Larin dari Kaspersky, yang menemukan dan melaporkan CVE-2020-1380 ke Microsoft pada 8 Juni, telah merilis kode proof-of-concept untuk memicu kerentanan bersamaan dengan penjelasan teknis untuk membantu memahaminya dengan lebih baik.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Celah dari Microsoft Azure mendapat nilai “Perfect 10.0”. “Ini adalah hal buruk bagi Keamanan Cloud”

by

“Ini adalah hal buruk bagi keamanan cloud” kata Yaniv Balmas dari Check Point kepada Forbes. Celah dari Microsoft Azure ini mendapat nilai Perfect 10 merujuk pada nilai CVE saat Microsoft mengungkapnya pada Oktober. “CVE mendapat nilai 10, ini berdampak sangat besar bahkan tidak bisa dideskripsikan berapa besar ini”. Alasannya adalah karena Balmas dan timnya menemukan Remote Code Execution exploit pada penyedia layanan cloud besar. Satu user dapat merusak pembatas antar pengguna layanan cloud, mengubah kode, memanipulasi program. Pembatas ini adalah basis dari layanan cloud, yang mengizinkan pengguna berbagi dalam satu hardware yang sama.

 

Dua celah ini memiliki kode CVE-2019-1372 dan CVE-2019-1234. Celah yang pertama adalah bug dalam software yang bisa di paksa untuk merusak satu sistem dan menggunakan kerusakan tersebut untuk mendapatkan hak akses user. Dan yang kedua adalah kurangnya keamanan dalam layanan bersama yang bisa dimanipulasi untuk merusak bagian dari satu user cloud dan menyebar ke user lain dalam satu hardware yang sama.

 

Klik link dibawah untuk melihat berita selengkapnya.

Source: Forbes

Kerentanan Pada Library OpenSMTPD Mempengaruhi distro BSD dan Linux

by

Peneliti keamanan telah menemukan kerentanan di dalam library inti yang berhubungan dengan email yang digunakan oleh banyak distribusi BSD dan Linux. Kerentanan tersebut berdampak pada OpenSMTPD, sebuah implementasi open-source dari protokol SMTP pada server.

 

Pada tingkat teknis, kerentanan tersebut adalah celah “eskalasi hak istimewa lokal” dan “eksekusi kode jarak jauh” yang dapat disalahgunakan untuk menjalankan kode dari jarak jauh pada server yang menggunakan klien OpenSMTPD. 

 

Pengembang OpenSMTPD telah mengkonfirmasi kerentanan tersebut dan telah merilis pada January 29, 2020 – OpenSMTPD versi 6.6.2p1. Administrator yang menggunakan OpenSMTPD pada server BSD dan Linux mereka disarankan untuk menerapkan tambalan secepatnya

 

Klik link dibawah untuk melihat berita selengkapnya.

Source: ZDNet

Critical Browser Zero-Day Security Warning For Windows Users

by

 

CISA telah menerbitkan peringatan baru untuk pengguna Windows karena Microsoft telah mengkonfirmasi kerentanan kritis zero-day yang sedang dieksploitasi secara aktif, dan tidak ada perbaikan yang tersedia sampai saat ini.

 

Microsoft mengatakan bahwa kerentanan eksekusi kode jauh (RCE) telah ditemukan di mesin scripting dari browser web Internet Explorer (IE). Ini adalah kerentanan kritis, yang memengaruhi IE di semua versi Windows dan dapat merusak memori sehingga penyerang dapat mengeksekusi kode arbitrary.

 

Sangat disarankan bagi pengguna Windows untuk menonaktifkan Internet Explorer pada PC anda karena belum ada patch yang tersedia untuk memperbaiki kerentanan tersebut.

 

Klik link di bawah ini untuk membaca berita selengkapnya!

Source: Forbes