SSL

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

October 19, 2022 by Eevee

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer

Let’s Encrypt mencabut banyak sertifikat SSL dalam dua hari

January 27, 2022 by Eevee

Let’s Encrypt akan mulai mencabut sertifikat SSL/TLS tertentu yang diterbitkan dalam 90 hari terakhir karena bug, mulai 28 Januari 2022. Langkah ini dapat memengaruhi jutaan sertifikat Let’s Encrypt yang aktif.

ISRG diinformasikan oleh pihak ketiga yang memeriksa repo kode Let’s Encrypt’s Boulder bahwa ada “dua kejanggalan” dalam penerapan metode validasi “TLS using ALPN” oleh otoritas sertifikat [1, 2].

Untuk mematuhi Kebijakan Sertifikat Let’s Encrypt, yang mengharuskan otoritas sertifikat untuk membatalkan Sertifikat dalam waktu 5 hari dalam kondisi tertentu, organisasi nirlaba akan mulai mencabut sertifikat pada pukul 16:00 UTC pada tanggal 28 Januari 2022.

Bagaimanapun, tidak semua sertifikat dipengaruhi oleh penerapan metode validasi “TLS menggunakan ALPN” yang tidak tepat. Pencabutan yang direncanakan ini hanya akan berlaku untuk sertifikat yang diterbitkan dengan metode validasi TLS-ALPN-01 yang cacat.

“Kami memperkirakan [kurang dari] 1% sertifikat aktif terpengaruh. Pelanggan yang terkena pencabutan akan menerima pemberitahuan email jika akun ACME mereka berisi alamat email yang valid. Jika Anda terpengaruh oleh pencabutan ini dan memerlukan bantuan untuk memperbarui sertifikat Anda silakan ajukan pertanyaan di utas ini,” lebih lanjut menjelaskan insinyur.

Pada November 2021, jumlah semua sertifikat Let’s Encrypt yang aktif melampaui 221 juta.

Oleh karena itu, jumlah sertifikat aktif yang terpengaruh (1% atau kurang) mungkin bisa mencapai jutaan—jika ini diterbitkan dengan validasi tantangan TLS-ALPN-01 yang cacat.

Pemilik situs dengan sertifikat Let’s Encrypt yang terpengaruh melaporkan menerima pemberitahuan email, menginstruksikan mereka untuk memperbarui sertifikat mereka saat pencabutan akan segera dimulai.

Let’s Encrypt mengirimkan pemberitahuan email (Twitter)

“Jika Anda menerima email tersebut, maka akun Anda telah berhasil memperoleh setidaknya satu sertifikat dalam 90 hari terakhir yang divalidasi menggunakan tantangan TLS-ALPN-01,” jelas Let’s Encrypt di utas tersebut.

Mengingat pemberitahuan singkat, tidak semua pengguna mungkin senang dengan langkah Let’s Encrypt yang tiba-tiba tetapi perlu.

Sisi baiknya, mereka yang menggunakan solusi manajemen sertifikat otomatis seperti Caddy Web Server bisa tenang.

“Caddy otomatis menstaples OCSP untuk semua sertifikat yang relevan. Ini akan me-refresh staples sekitar setengah masa berlakunya. Jika status berikutnya Dicabut, Caddy akan segera mengganti sertifikat.”

Pembaruan, 13:54 ET: Menambahkan referensi ke bug lain yang juga menyebabkan pencabutan jutaan sertifikat Let’s Encrypt pada tahun 2020.

Sumber : Bleeping Computer

NSA membagikan panduan, alat untuk mengurangi protokol enkripsi yang lemah

January 7, 2021 by Winnie the Pooh

National Security Agency (NSA) telah membagikan panduan tentang cara mendeteksi dan mengganti versi protokol Transport Layer Security (TLS) yang sudah usang dengan varian terbaru dan aman.

Badan intelijen AS juga menyoroti bahaya di balik penggunaan TLS yang sudah tidak digunakan lagi termasuk risiko paparan data sensitif dan dekripsi lalu lintas jaringan dalam serangan man-in-the-middle.

“NSA merekomendasikan bahwa hanya TLS 1.2 atau TLS 1.3 yang digunakan dan SSL 2.0, SSL 3.0, TLS 1.0, dan TLS1.1 tidak digunakan”, bunyi panduan tersebut.

Panduan NSA ditargetkan pada pemimpin keamanan siber Sistem Keamanan Nasional (NSS), Departemen Pertahanan (DoD), dan Pangkalan Industri Pertahanan (DIB), serta analis keamanan jaringan dan administrator sistem.

Namun, karena risiko yang berasal dari enkripsi lemah protokol TLS yang tidak digunakan lagi memengaruhi semua jaringan, panduan ini harus diikuti oleh semua “pemilik dan operator jaringan” yang ingin mengurangi eksposur risiko dan memperkuat sistem mereka terhadap serangan menggunakan vektor serangan ini.

Lembar Informasi Keamanan Siber yang dirilis oleh NSA [PDF] memberikan informasi ekstensif untuk semua administrator jaringan tentang versi TLS yang tidak digunakan lagi, rangkaian sandi, dan mekanisme pertukaran kunci, serta konfigurasi TLS yang direkomendasikan, strategi deteksi, dan perbaikan.

Sumber: Bleeping Computer

Peretas memposting eksploit untuk lebih dari 49.000 VPN Fortinet yang rentan

November 24, 2020 by Winnie the Pooh

Seorang peretas telah memposting daftar eksploit satu baris untuk mencuri kredensial VPN dari hampir 50.000 perangkat Fortinet VPN.

Yang ada dalam daftar target rentan adalah domain milik bank dan organisasi pemerintah dari seluruh dunia.

Kerentanan yang dirujuk di sini adalah CVE-2018-13379, kelemahan jalur traversal yang memengaruhi sejumlah besar perangkat VPN Fortinet FortiOS SSL yang belum ditambal.

Dengan memanfaatkan kerentanan ini, penyerang jarak jauh yang tidak diautentikasi dapat mengakses file sistem melalui permintaan HTTP yang dibuat secara khusus.

Eksploit yang diposting oleh peretas memungkinkan penyerang mengakses file sslvpn_websession dari Fortinet VPN untuk mencuri kredensial login. Kredensial yang dicuri ini kemudian dapat digunakan untuk menyusupi jaringan dan menyebarkan ransomware.

Minggu ini, analis intelijen ancaman Bank_Security menemukan utas forum peretas di mana aktor ancaman berbagi 49.577 daftar perangkat dari target yang dapat dieksploitasi.

Setelah menganalisis daftar tersebut, ditemukan bahwa target yang rentan termasuk domain pemerintah dari seluruh dunia, dan yang dimiliki oleh bank dan perusahaan pembiayaan ternama.

Fortinet telah mengeluarkan pernyataan sehubungan dengan kerentanan ini:

“Keamanan pelanggan kami adalah prioritas pertama kami. Pada Mei 2019 Fortinet mengeluarkan peringatan PSIRT mengenai kerentanan SSL yang telah diatasi, dan juga telah berkomunikasi langsung dengan pelanggan dan lagi melalui posting blog perusahaan pada Agustus 2019 dan Juli 2020 sangat merekomendasikan upgrade,” kata juru bicara Fortinet kepada BleepingComputer.

“Dalam seminggu terakhir, kami telah berkomunikasi dengan semua pelanggan dan memberi tahu mereka lagi tentang kerentanan dan langkah-langkah untuk memitigasi. Meskipun kami tidak dapat memastikan bahwa vektor serangan untuk grup ini terjadi melalui kerentanan ini, kami terus mendorong pelanggan untuk menerapkan upgrade dan mitigasi. Untuk mendapatkan informasi lebih lanjut, silakan kunjungi blog kami yang telah diperbarui dan segera merujuk ke penasihat [PSIRT] Mei 2019,” tutup Fortinet.

Sumber: Bleeping Computer

Indihome Curi Riwayat Browser Penggunanya

September 18, 2020 by Winnie the Pooh

Co-founder Ethical Hacker Indonesia, Teguh Aprianto, menuliskan secara detail di blog nya bagaimana ia menemukan bukti bahwa Indihome mengambil riwayat browser penggunanya.

Teguh menjelaskan bahwa selama ini Indihome diam-diam menanamkan sebuah script untuk mengambil data riwayat browser pengguna. Ia mengatakan script ini hanya muncul ketika seseorang mengunjungi sebuah website yang belum menggunakan SSL (http).

Pada script tersebut, Teguh menjelaskan beberapa parameternya berguna untuk mengambil browsing history dan juga resolusi layar perangkat yang digunakan.

Dengan bermodalkan Google, Teguh akhirnya mendapatkan 2 tautan terkait dengan website tracker milik Indihome ini. Tautan 1 nampaknya adalah tempat untuk login internal yang mungkin digunakan content management. Lalu tautan yang lainnya berisi statistik dan juga struktur kode yang digunakan untuk website tracker tersebut.

“Salah satu website tracker milik Indihome saat ini berhasil mendapatkan 29,9 miliar hits. Dalam 1 hari website tersebut mendapatkan setidaknya 1 miliar hits,” kata Teguh.

Dilansir dari CNN Indonesia, Indihome menjelaskan Telkom tidak pernah menjual atau menyerahkan data pelanggan kepada pihak ketiga.

Pada akhir blog nya, Teguh membagikan cara pencegahan yang dapat dilakukan oleh pelanggan Indihome. Blog Teguh dapat diakses disini.

Tor Exit Node Dibajak Oleh Grup Misterius Untuk Melakukan Serangan SSL

August 11, 2020 by Winnie the Pooh

Tor Exit Node Dibajak Oleh Grup Misterius Untuk Melakukan Serangan SSL

Sejak Januari 2020, sebuah grup misterius telah menambahkan server ke jaringan Tor untuk melakukan serangan pengupasan SSL pada pengguna yang mengakses situs yang berhubungan dengan cryptocurrency melalui Tor Browser.

Grup ini sangat luar biasa dan gigih dalam serangan mereka, sehingga pada Mei 2020, mereka menjalankan seperempat dari semua relay exit Tor.

Tor exit node adalah server terakhir yang dilalui pengguna Tor sebelum mengakses internet publik.

Menurut laporan yang diterbitkan pada hari Minggu oleh peneliti keamanan independen dan operator server Tor yang dikenal sebagai Nusenu, grup tersebut mengelola 380 relay exit Tor berbahaya, sebelum tim Tor melakukan intervensi pertama dari tiga intervensi untuk menyisihkan jaringan ini.

Peneliti mengatakan bahwa grup tersebut melakukan “serangan person-in-the-middle pada pengguna Tor dengan memanipulasi lalu lintas yang mengalir melalui relay exit mereka”.

Sasaran serangan ini adalah untuk menjalankan serangan “SSL stripping” dengan menurunkan lalu lintas web pengguna dari URL HTTPS ke alternatif HTTP yang kurang aman.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Hampir seperempat dari jenis malware sekarang berkomunikasi menggunakan TLS

February 19, 2020 by Winnie the Pooh

Enkripsi adalah salah satu senjata terkuat yang dapat dimanfaatkan oleh penulis malware. Mereka dapat menggunakannya untuk mengaburkan kode mereka, untuk mencegah pengguna (dalam kasus ransomware) mengakses file mereka, dan untuk mengamankan komunikasi jaringan berbahaya mereka.

Pembuat malware mengetahui bahwa lalu lintas yang tidak terenkripsi dapat menarik perhatian lebih karena lebih mudah bagi analis dan alat keamanan untuk mengidentifikasi pola komunikasi berbahaya ketika lalu lintas tidak dienkripsi. Maka dari itu mereka telah menjadikannya prioritas untuk mengadopsi TLS (Transport Layer Security), dengan maksud untuk mengaburkan konten komunikasi berbahaya mereka.

Dalam blog yang diterbitkan pada 18 Februari kemarin, Sophos meninjau sampel representatif dari analisis malware yang telah mereka buat selama enam bulan terakhir. Analisis tersebut mencakup perincian tentang apakah malware terhubung ke satu atau lebih dari satu mesin di internet.

Baca analisis lebih lengkap pada tautan dibawah ini:

Source: Sophos

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

SSL

Cookies Settings