Vulnerability

Lemahnya Microsoft Defender memungkinkan peretas melewati deteksi malware

January 16, 2022 by Søren

Pelaku ancaman dapat memanfaatkan kelemahan yang memengaruhi antivirus Microsoft Defender di Windows untuk mempelajari lokasi yang dikecualikan dari pemindaian dan menanam malware di sana.

Masalah ini telah berlangsung setidaknya selama delapan tahun, menurut beberapa pengguna, dan memengaruhi Windows 10 21H1 dan Windows 10 21H2.

Seperti solusi antivirus lainnya, Microsoft Defender memungkinkan pengguna menambahkan lokasi (lokal atau di jaringan) pada sistem mereka yang harus dikecualikan dari pemindaian malware.

Orang biasanya membuat pengecualian untuk mencegah antivirus memengaruhi fungsionalitas aplikasi sah yang terdeteksi secara keliru sebagai malware.

Karena daftar pengecualian pemindaian berbeda dari satu pengguna ke pengguna lainnya, ini adalah informasi yang berguna bagi penyerang pada sistem, karena ini memberi mereka lokasi di mana mereka dapat menyimpan file berbahaya tanpa takut terdeteksi.

Peneliti keamanan menemukan bahwa daftar lokasi yang dikecualikan dari pemindaian Microsoft Defender tidak terlindungi dan setiap pengguna lokal dapat mengaksesnya.

Terlepas dari izin mereka, pengguna lokal dapat menanyakan registri dan mempelajari jalur yang tidak diizinkan oleh Microsoft Defender untuk memeriksa malware atau file berbahaya.

Antonio Cocomazzi, peneliti ancaman SentinelOne yang dikreditkan karena melaporkan kerentanan RemotePotato0, menunjukkan bahwa tidak ada perlindungan untuk informasi ini, yang harus dianggap sensitif, dan menjalankan perintah “permintaan reg” mengungkapkan semua yang tidak diperintahkan Microsoft Defender untuk memindai, baik itu file, folder, ekstensi, atau proses.

Selengkapnya: Bleeping Computer

Pengguna Android sekarang dapat menonaktifkan 2G untuk memblokir serangan Stingray

January 16, 2022 by Søren

Google akhirnya meluncurkan opsi di Android yang memungkinkan pengguna untuk menonaktifkan koneksi 2G, yang datang dengan sejumlah masalah privasi dan keamanan yang dieksploitasi oleh simulator situs seluler.

Simulator situs seluler, juga dikenal sebagai “ikan pari” atau IMSI Catcher, adalah perangkat yang menyamar sebagai menara seluler, memaksa ponsel dalam jangkauannya untuk terhubung.

Koneksi ini memungkinkan operator ikan pari ini untuk melakukan serangan man-in-the-middle dan mencegat informasi pribadi yang sensitif seperti: Perangkat IMSI (identitas pelanggan seluler internasional), Metadata panggilan seperti nomor dan durasi yang dihubungi, SMS dan konten panggilan suara, Data penggunaan dan riwayat penelusuran web

Sayangnya, metode penyadapan data ini telah berulang kali dan tanpa pandang bulu digunakan oleh otoritas penegak hukum selama protes damai di negara-negara demokratis di mana undang-undang perlindungan data yang ketat berlaku.

Selain itu, kasus penyebaran pribadi “Stingray” yang terdokumentasi juga telah melimpah dalam beberapa tahun terakhir, sehingga penyalahgunaan kerentanan jaringan komunikasi tersebar luas.

Sebagian besar kerentanan ini telah diatasi dalam 4G, tetapi stasiun pangkalan yang disimulasikan memiliki cara untuk menurunkan koneksi perangkat terdekat ke 2G, pada dasarnya meletakkan dasar untuk mengeksploitasi kelemahan lama.

Selengkapnya: Bleeping Computer

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

January 14, 2022 by Winnie the Pooh

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Empat Bug di Tim Microsoft Membuat Platform Rentan Sejak Maret

December 24, 2021 by Winnie the Pooh

Empat kerentanan di Microsoft Teams, yang belum ditambal sejak Maret, memungkinkan spoofing tautan URL dan membuka pintu bagi serangan DoS terhadap pengguna Android, kata para peneliti.

Peneliti dari Positive Security menemukan empat bug dalam fitur tersebut awal tahun ini dan memberi tahu Microsoft tentang masalah tersebut pada 10 Maret.

Sejauh ini, hanya satu bug — bug yang memungkinkan penyerang membocorkan alamat IP Android — tampaknya telah ditambal oleh perusahaan, kata peneliti Fabian Bräunlein dalam sebuah posting blog yang diterbitkan Rabu.

Dalam sebuah pernyataan kepada Threatpost, Microsoft mengatakan bug yang dilaporkan tidak menimbulkan ancaman langsung bagi pengguna.

Dua dari empat bug yang ditemukan memengaruhi Microsoft Teams yang digunakan pada perangkat apa pun dan memungkinkan server-side request forgery (SSRF) dan spoofing, kata para peneliti. Dua lainnya—dijuluki “IP Address Leak” dan “Denial of Service alias Message of Death” oleh para peneliti—hanya memengaruhi pengguna Android.

Kerentanan SSRF memungkinkan peneliti untuk membocorkan informasi dari jaringan lokal Microsoft dan ditemukan ketika Bräunlein menguji endpoint /urlp/v1/url/info untuk SSRF, katanya.

Penyerang dapat menggunakan bug spoofing untuk meningkatkan serangan phishing atau menyembunyikan tautan berbahaya dalam konten yang dikirim ke pengguna, katanya. Ini dapat dilakukan dengan mengatur target tautan pratinjau “ke lokasi mana pun yang terlepas dari tautan utama, gambar pratinjau dan deskripsi, nama host yang ditampilkan atau teks onhover,” menurut postingan tersebut.

Untuk menyalahgunakan bug Android DoS, aktor ancaman dapat mengirim pesan ke seseorang yang menggunakan Teams melalui aplikasi Android-nya yang menyertakan pratinjau tautan dengan target tautan pratinjau yang tidak valid. Ini akan membuat aplikasi crash terus menerus ketika pengguna mencoba membuka obrolan/saluran dengan pesan jahat, yang pada dasarnya memblokir pengguna dari obrolan atau saluran, Bräunlein menjelaskan.

Terakhir, penyerang dapat menggunakan bug kebocoran alamat IP—satu-satunya yang tampaknya telah diperbaiki Microsoft—untuk mencegat pesan yang menyertakan pratinjau tautan untuk mengarahkan URL thumbnail ke domain non-Microsoft. Ini dapat dilakukan dalam pratinjau tautan di mana backend mengambil thumbnail pratinjau yang direferensikan dan membuatnya tersedia dari domain Microsoft, kata Bräunlein.

Selengkapnya: Threat Post

800K situs WordPress masih terpengaruh oleh kelemahan plugin SEO yang kritis

December 22, 2021 by Winnie the Pooh

Dua kerentanan keamanan kritis dan tingkat keparahan tinggi dalam plugin WordPress SEO “All in One” yang sangat populer membuat lebih dari 3 juta situs web terkena serangan pengambilalihan akun.

Cacat keamanan yang ditemukan dan dilaporkan oleh peneliti keamanan Automattic Marc Montpas adalah bug Authenticated Privilege Escalation yang kritis (CVE-2021-25036) dan Authenticated SQL Injection (CVE-2021-25037) dengan tingkat keparahan tinggi.

Pengembang plugin merilis pembaruan keamanan untuk mengatasi kedua bug All in One pada 7 Desember 2021.

Namun, lebih dari 820.000 situs yang menggunakan plugin belum memperbarui plugin mereka, menurut statistik unduhan selama dua minggu terakhir sejak patch dirilis, dan masih terkena serangan.

Apa yang membuat kelemahan ini sangat berbahaya adalah bahwa, meskipun untuk berhasil mengeksploitasi dua kerentanan memerlukan aktor ancaman untuk diautentikasi, mereka hanya memerlukan izin tingkat rendah seperti Pelanggan/Subscriber untuk menyalahgunakannya dalam serangan.

Pelanggan/Subscriber adalah peran pengguna WordPress default (seperti Kontributor, Penulis, Editor, dan Administrator), biasanya diaktifkan untuk memungkinkan pengguna terdaftar untuk mengomentari artikel yang diterbitkan di situs WordPress.

Meskipun pelanggan/Subscriber biasanya hanya dapat mengedit profil mereka sendiri selain memposting komentar, dalam kasus ini, mereka dapat mengeksploitasi CVE-2021-25036 untuk meningkatkan hak istimewa mereka dan mendapatkan eksekusi kode jarak jauh di situs yang rentan dan, kemungkinan, sepenuhnya mengambil alih mereka.

Selengkapnya: Bleeping Computer

Jaringan kementerian Pertahanan Belgia sebagian mati setelah adanya serangan siber

December 22, 2021 by Winnie the Pooh

Sebagian dari jaringan Kementerian Pertahanan Belgia mati selama beberapa hari sebagai akibat dari serangan siber “serius” setelah lubang keamanan ditemukan di perangkat lunak.

Sejak Kamis lalu, sebagian jaringan komputer mati, termasuk sistem surat, akibat serangan tersebut. Masih belum jelas siapa pelakunya, menurut laporan dari VRT News.

Menurut Kementerian Pertahanan, serangan tersebut merupakan akibat dari kerentanan kritis Log4Shell, sebuah bug dalam keamanan perangkat lunak Apache Log4j, sebuah perpustakaan logging Java open-source yang dibuat oleh Apache Foundation yang banyak digunakan oleh pengembang untuk menyimpan catatan aktivitas dalam aplikasi.

Masalah ini telah menimbulkan kekhawatiran di luar komunitas keamanan cyber, karena Log4j adalah komponen perangkat lunak yang digunakan oleh jutaan komputer di seluruh dunia yang menjalankan layanan online, sehingga berpotensi menjadi kerentanan komputer paling parah dalam beberapa tahun, menurut National Cyber Security Center (NCSC) Inggris.

Bug tersebut dapat membuat berbagai perangkat lunak rentan terhadap peretas, di antaranya banyak yang sekarang aktif memindai untuk mendeteksi sistem yang memiliki kelemahan ini sehingga mereka dapat mengendalikan sistem yang rentan dari jarak jauh.

Selengkapnya: The Brussels Times

Microsoft memperingatkan pengambilalihan domain Windows yang mudah melalui bug Active Directory

December 21, 2021 by Winnie the Pooh

Microsoft memperingatkan pelanggan untuk menambal dua kelemahan keamanan eskalasi hak istimewa layanan domain Active Directory yang, bila digabungkan, memungkinkan penyerang mengambil alih domain Windows dengan mudah.

Perusahaan merilis pembaruan keamanan untuk mengatasi dua kerentanan keamanan (dilacak sebagai CVE-2021-42287 dan CVE-2021-42278 dan dilaporkan oleh Andrew Bartlett dari Catalyst IT) selama Patch Tuesday November 2021.

Peringatan dari Microsoft untuk segera menambal kedua bug — keduanya memungkinkan penyerang untuk meniru pengontrol domain — muncul setelah alat proof-of-concept (PoC) yang dapat memanfaatkan kerentanan ini dibagikan di Twitter dan GitHub pada 11 Desember.

Admin Windows diminta untuk memperbarui perangkat yang terkena serangan menggunakan langkah-langkah dan informasi yang dirinci dalam artikel knowledgebase berikut: KB5008102, KB5008380, KB5008602.

Peneliti yang menguji PoC menyatakan bahwa mereka dapat dengan mudah menggunakan alat tersebut untuk meningkatkan hak istimewa dari pengguna Active Directory standar ke Admin Domain dalam konfigurasi default.

Selengkapnya: Bleeping Computer

CISA meminta Admin untuk menambal kerentanan VMware Workspace ONE UEM

December 19, 2021 by Søren

CISA telah meminta pengguna VMware untuk menambal kerentanan kritis di Workspace ONE UEM yang dapat dieksploitasi oleh penjahat dunia maya untuk mengakses data sensitif.

Bagi mereka yang tidak mengetahui tentang Workspace ONE, ini adalah Solusi Manajemen Titik Akhir Terpadu dari VMware untuk manajemen perangkat over-the-air.

Kerentanan dilacak sebagai CVE-2021-22054 dan ditandai pada peringkat keparahan 9.1/10.

Peretas dapat memanfaatkan kerentanan ini dari jarak jauh dan mendapatkan akses ke informasi sensitif menggunakan konsol UEM. VMware juga telah merilis penasihat keamanan yang menangani kasus ini.

VMware mengatakan bahwa reset IIS akan membuat admin yang login ke instance server dengan patch untuk logout. Setelah beberapa saat, admin akan dapat masuk ke konsol.

Meskipun solusinya bagus, merupakan langkah yang terbaik untuk menambalnya karena kerentanan VMware Workspace ONE UEM adalah eksploitasi keamanan yang kritis dan karenanya yang terbaik adalah jika pengguna dapat memperbaruinya ke versi terbaru dengan menerapkan tambalan sebelum terlambat.

Selengkapnya: The Cybersecurity Times

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings