Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Sebuah tambalan tertunda melalui x86/mendesak untuk mengatasi masalah dengan prosesor Intel Alder Lake dan Raptor Lake yang membuat pengembang kernel untuk sementara waktu menonaktifkan Process Context Identifiers (PCID) dengan prosesor seluler/desktop Intel ini.

Sebuah tambalan diatur untuk mainline untuk pengembangan Linux 6.4 dan juga di-porting ke versi kernel yang stabil untuk menghindari flush INVLPG global yang tidak lengkap.

Prosesor yang terpengaruh adalah prosesor Intel Alder Lake dan Raptor Lake. Seperti disebutkan dalam pesan tambalan, Intel dikatakan bekerja pada mitigasi mikrokode untuk masalah ini tetapi untuk saat ini setidaknya kernel Linux diatur untuk menonaktifkan dukungan PCID untuk Alder Lake / Alder Lake L / Alder Lake N / Raptor Lake / Raptor Lake P / Raptor Lake S hingga mitigasi mikrokode dapat ditangani.

INVLPG digunakan untuk membatalkan entri TLB tertentu. Setidaknya Alder Lake dan Raptor Lake tidak membutuhkan Kernel Page Table Isolation (KPTI) untuk memitigasi Meltdown karena prosesor yang lebih baru ini tidak terpengaruh olehnya.

Tetapi untuk prosesor Intel yang lebih lama, dukungan PCID membantu mengimbangi beberapa biaya tambahan dalam menangani Isolasi Tabel Halaman Kernel / mengurangi Meltdown seperti yang ditunjukkan beberapa tahun yang lalu.

Selengkapnya: Phoronix

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

by

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro

WebKit Diserang: Apple Mengeluarkan Patch Darurat untuk 3 Kerentanan Zero-Day Baru

by

Apple pada hari Kamis meluncurkan pembaruan keamanan untuk iOS, iPadOS, macOS, tvOS, watchOS, dan browser web Safari untuk mengatasi tiga kelemahan zero-day baru yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Tiga kelemahan keamanan tercantum di bawah ini –

  • CVE-2023-32409 – Cacat WebKit yang dapat dimanfaatkan oleh aktor jahat untuk keluar dari kotak pasir Konten Web. Itu telah diatasi dengan pemeriksaan batas yang ditingkatkan.
  • CVE-2023-28204 – Masalah baca di luar batas di WebKit yang dapat disalahgunakan untuk mengungkapkan informasi sensitif saat memproses konten web. Itu telah diatasi dengan validasi input yang ditingkatkan.
  • CVE-2023-32373 – Bug gratis setelah penggunaan di WebKit yang dapat menyebabkan eksekusi kode arbitrer saat memproses konten web perusak yang berbahaya. Itu telah diatasi dengan manajemen memori yang ditingkatkan.

Pembaruan terbaru tersedia untuk perangkat dan sistem operasi berikut –

  • iOS 16.5 dan iPadOS 16.5 – iPhone 8 dan lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
    iOS 15.7.6 dan iPadOS 15.7.6 – iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), dan iPod touch (generasi ke-7)
    macOS Ventura 13.4 – macOS Ventura
    tvOS 16.5 – Apple TV 4K (semua model) dan Apple TV HD
    watchOS 9.5 – Apple Watch Series 4 dan lebih baru
    Safari 16.5 – macOS Big Sur dan macOS Monterey

Selengkapnya: The Hacker News

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

by

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu. Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Selengkapnya: Bleeping Computer

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

by

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu.

Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Kerentanan berdampak pada versi terbaru KeePass, 2.53.1, dan karena program ini bersifat open-source, setiap project fork kemungkinan akan terpengaruh.

Selengkapnya: Bleeping Computer

Mengapa Microsoft baru saja menambal tambalan yang menghancurkan bug Outlook yang sedang diserang

by

Microsoft pada bulan Maret memperbaiki lubang keamanan yang menarik di Outlook yang dieksploitasi oleh penjahat untuk membocorkan kredensial Windows korban. Minggu ini raksasa TI memperbaiki perbaikan itu sebagai bagian dari pembaruan Patch Selasa bulanannya.

Untuk mengingatkan Anda tentang bug asli, dilacak sebagai CVE-2023-23397: Anda dapat mengirim email kepada seseorang yang menyertakan pengingat dengan suara pemberitahuan khusus. Suara khusus itu dapat ditentukan sebagai jalur URL di dalam email.

Jika penjahat dengan hati-hati membuat email dengan jalur suara yang disetel ke server SMB jarak jauh, saat Outlook mengambil dan memproses pesan, dan secara otomatis mengikuti jalur ke server file, itu akan menyerahkan hash Net-NTLMv2 pengguna dalam upaya untuk masuk.

Itu akan secara efektif membocorkan hash ke pihak luar, yang berpotensi menggunakan kredensial untuk mengakses sumber daya lain sebagai pengguna itu, memungkinkan penyusup menjelajahi sistem jaringan internal, mencuri dokumen, menyamar sebagai korban mereka, dan sebagainya.

Tambalan dari beberapa bulan yang lalu membuat Outlook menggunakan fungsi Windows MapUrlToZone untuk memeriksa ke mana arah jalur suara pemberitahuan, dan jika keluar ke internet, itu akan diabaikan dan suara default akan diputar. Itu seharusnya menghentikan klien yang terhubung ke server jarak jauh dan membocorkan hash.

Ternyata perlindungan berbasis MapUrlToZone ini dapat dilewati, mendorong Microsoft untuk meningkatkan perbaikan bulan Maret di bulan Mei. Bug asli sedang dieksploitasi di alam liar, jadi ketika tambalan untuknya mendarat, itu menarik perhatian semua orang. Dan perhatian itu membantu mengungkapkan bahwa perbaikannya tidak lengkap.

Selengkapnya: The Register

Seni Pengungkapan Informasi: Mendalami CVE-2022-37985, Kerentanan Pengungkapan Informasi Unik di Komponen Grafis Windows

by

Pada Oktober 2022, Microsoft merilis tambalan keamanan untuk mengatasi kerentanan pengungkapan informasi unik di Komponen Grafik Windows. Kerentanan, yang dikenal sebagai CVE-2022-37985, ditemukan dan dilaporkan ke Microsoft oleh Trellix Advanced Research Center.

Kerentanan pengungkapan informasi ini unik karena memungkinkan penyerang jarak jauh mengekstraksi informasi sensitif, seperti alamat memori, melalui mekanisme jaringan asli dalam komponen yang rentan itu sendiri.

Kemampuan ini bisa sangat berguna dalam skenario eksploitasi kerentanan tertentu, seperti saat mengeksploitasi kerentanan kerusakan memori di Microsoft Word.

Memanfaatkan kerentanan semacam itu diyakini sangat menantang karena tidak ada runtime skrip interaktif, seperti mesin JavaScript, yang tersedia untuk memanipulasi data di memori.

Dalam skenario eksploitasi ini, penyerang dapat memanfaatkan dokumen Word yang berisi eksploitasi kerentanan ini untuk mendapatkan informasi alamat modul guna mengalahkan perlindungan Address Space Layout Randomization (ASLR).

Selain itu, ketika kerentanan ini digunakan secara berantai dengan kerentanan penulisan memori lainnya, dimungkinkan untuk mencapai eksekusi kode jarak jauh di Microsoft Word.

Dalam postingan blog ini, kami akan mendalami detail teknis CVE-2022-37985, menjelajahi akar penyebab kerentanan, dan mendiskusikan metode eksploitasi.

Selain itu, kami akan memeriksa bagaimana tambalan keamanan yang dirilis oleh Microsoft memperbaiki masalah ini dan memberikan panduan untuk mengurangi risiko yang terkait dengan kerentanan unik ini.

Selengkapnya: Trellix

CISA Memperingatkan Bug Kritis Dalam Sistem Pengurutan DNA Illumina

by

Badan Keamanan Infrastruktur Cybersecurity A.S. (CISA) dan FDA telah mengeluarkan peringatan darurat tentang dua kerentanan yang mempengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan untuk pengurutan DNA di fasilitas medis dan laboratorium di seluruh dunia.

Kerentanan tersebut memungkinkan aktor jahat yang tidak diautentikasi dapat mengunggah dan mengeksekusi kode secara remote di tingkat sistem operasi, membuat penyerang dapat mengubah pengaturan, konfigurasi, perangkat lunak, atau mengakses data sensitif pada produk yang terpengaruh.

Illumina merupakan perusahaan teknologi medis di California yang mengembangkan dan memproduksi bioanalisis canggih dan mesin pengurutan DNA.

Penasehat oleh FDA mengatakan bahwa pada 5 April, Illumina mengirimkan pemberitahuan pada pelanggan yang terkena dampak, menginstruksikan mereka untuk mencari tanda-tanda potensi eksploitasi kerentanan.

Kerentanan pertama yaitu CVE-2023-1968 (skor CVSS v3: 10.0, “kritis”), memungkinkan penyerang jarak jauh mengikat ke alamat IP yang terbuka, memungkinkan penyerang yang tidak diautentikasi untuk mendengarkan semua lalu lintas jaringan untuk menemukan host yang lebih rentan di jaringan.

Sementara kerentanan kedua adalah CVE-2023-1966 (skor CVSS v3: 7.4, “tinggi”), merupakan kesalahan konfigurasi keamanan yang memungkinkan pengguna UCS untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

Beberapa produk Illumina yang terdampak membuatnya menerbitkan saran mengenai langkah apa yang harus diambil dalam setiap kasus. CISA turut merekomendasikan pengguna agar meminimalkan paparan sistem kontrol ke internet, menggunakan firewall, dan VPN saat diperlukan akses jarak jauh.

Selengkapnya: BleepingComputer