Vulnerability

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

November 24, 2021 by Winnie the Pooh

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Windows zero-day baru dengan eksploitasi publik memungkinkan Anda menjadi admin

November 23, 2021 by Winnie the Pooh

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan zero-day elevasi hak istimewa lokal Windows baru yang memberikan hak istimewa admin di Windows 10, Windows 11, dan Windows Server.

BleepingComputer telah menguji eksploit dan menggunakannya untuk membuka ke command prompt dengan hak istimewa SISTEM dari akun yang hanya memiliki hak ‘Standar’ tingkat rendah.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan.

Kerentanan memengaruhi semua versi Windows yang didukung, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Sebagai bagian dari Patch Selasa November 2021, Microsoft memperbaiki kerentanan ‘Windows Installer Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2021-41379.

Kerentanan ini ditemukan oleh peneliti keamanan Abdelhamid Naceri, yang menemukan bypass ke patch dan kerentanan elevasi hak istimewa zero-day baru yang lebih kuat setelah memeriksa perbaikan dari Microsoft.

Kemarin, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru di GitHub, menjelaskan bahwa itu berfungsi pada semua versi Windows yang didukung.

Naceri juga menjelaskan bahwa meskipun user dapat mengonfigurasi kebijakan grup untuk mencegah pengguna ‘Standar’ melakukan operasi MSI installer, zero-day-nya melewati kebijakan ini dan akan tetap berfungsi.

Selengkapnya: Bleeping Computer

Pemerintah Memperingatkan Iran Menargetkan Kelemahan Microsoft dan Fortinet untuk Menanam Ransomware

November 20, 2021 by Søren

Badan keamanan siber AS, Inggris, dan Australia mendesak organisasi infrastruktur untuk menambal kerentanan dalam produk Microsoft dan Fortinet yang menurut mereka digunakan peretas yang terkait dengan Iran dalam serangan ransomware.

“FBI dan CISA telah mengamati bahwa kelompok APT (Advanced Persistent Threat) yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang termasuk menyebarkan ransomware,” ungkap nasihat yang dikeluarkan bersama oleh agensi pada hari Rabu.

Aktivitas siber Iran sebelumnya lebih terkait erat dengan permainan kekuatan regional dan tujuan geopolitiknya. Para pejabat memperkirakan operasi spionase dan bersiap untuk serangan balasan setelah pemerintahan Trump menarik diri dari perjanjian nuklir yang ditengahi oleh Presiden Barack Obama dan membunuh seorang jenderal top Iran, misalnya. Tetapi September lalu, FBI dan CISA memperingatkan bahwa Iran kemungkinan akan mulai menggunakan kemampuan mereka untuk memperbaiki situasi keuangannya melalui operasi ransomware.

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” bunyi nasihat itu. “FBI, CISA, [Pusat Keamanan Siber Australia] dan [Pusat Keamanan Siber Nasional Inggris] menilai para pelaku berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu.”

Kerentanan Fortinet dan Microsoft Exchange yang ditandai di penasihat semuanya terdaftar dalam katalog ratusan kerentanan yang diketahui sedang dieksploitasi secara aktif. CISA merilis katalog tepat dua minggu lalu bersama dengan arahan operasional yang mengikat dan tenggat waktu untuk menambalnya.

Selengkapnya: Nextgov

Bug XSS berbahaya di halaman ‘Tab Baru’ Google Chrome melewati fitur keamanan

November 19, 2021 by Winnie the Pooh

Tim Chromium telah menambal kerentanan skrip lintas situs (XSS) yang memungkinkan penyerang menjalankan kode JavaScript arbitrer di halaman ‘Tab Baru’ Chrome.

Menurut utas diskusi dan bukti konsep di portal bug Chromium, penyerang dapat mengeksploitasi bug dengan mengirimkan file HTML ke korban yang berisi skrip cross-site request forgery (CSRF), yang mengirimkan snippet kode JavaScript berbahaya sebagai permintaan pencarian ke Google.

Saat pengguna membuka file, skrip CSRF berjalan dan kueri disimpan dalam riwayat pencarian browser. Saat berikutnya pengguna membuka Halaman Tab Baru dan mengklik bilah pencarian Google, kode berbahaya akan berjalan.

Yang mengkhawatirkan, jika korban masuk ke akun Google mereka saat membuka file berbahaya, permintaan akan disimpan ke riwayat pencarian akun mereka dan dipicu di perangkat lain tempat akun Google mereka masuk.

Ashish Dhone, peneliti yang menemukan bug tersebut, memiliki rekam jejak berburu bug XSS di aplikasi web dan seluler Google. “Saya ingin menemukan XSS di Chrome, maka perburuan saya dimulai dengan aplikasi desktop Google Chrome,” katanya kepada The Daily Swig.

“Saya sedang mencari fungsionalitas markup HTML di mana XSS dapat dieksekusi. Setelah menghabiskan berjam-jam, entah bagaimana saya menemukan bahwa di halaman Tab Baru, kueri pencarian yang disimpan tidak dibersihkan dan kemudian saya dapat menjalankan [uXSS]”.

Serangan UXSS mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS dan mengeksekusi kode berbahaya.

Dhone mengambil hadiah bug bounty sebesar $ 1.000 untuk penemuan serta beberapa pelajaran penting tentang keamanan browser. “Selalu periksa fitur dan fungsionalitas di mana markup HTML digunakan – di sinilah sebagian besar serangan XSS dapat ditemukan dan dieksploitasi,” katanya.

Selengkapnya: Portswigger

Lubang keamanan baru di CPU Intel mengirimkan tambalan perusahaan (lagi)

November 17, 2021 by Winnie the Pooh

Intel sedang memperbaiki kerentanan yang dapat dieksploitasi oleh orang yang tidak berwenang dengan akses fisik untuk menginstal firmware berbahaya pada chip untuk mengalahkan berbagai tindakan, termasuk perlindungan yang diberikan oleh Bitlocker, modul trusted platform, pembatasan anti-penyalinan, dan lainnya.

Kerentanan—ada di Pentium, Celeron, dan CPU Atom pada platform Apollo Lake, Gemini Lake, dan Gemini Lake Refresh—memungkinkan peretas terampil dengan kepemilikan chip yang terpengaruh untuk menjalankannya dalam mode debug dan pengujian yang digunakan oleh pengembang firmware. Intel dan pembuat chip lainnya berusaha keras untuk mencegah akses tersebut oleh orang yang tidak berwenang.

Setelah dalam mode pengembang, penyerang dapat mengekstrak kunci yang digunakan untuk mengenkripsi data yang disimpan di enklave TPM dan, jika TPM digunakan untuk menyimpan kunci Bitlocker, akan mengalahkan perlindungan yang terakhir itu juga.

Musuh juga dapat melewati batasan penandatanganan kode yang mencegah firmware yang tidak sah berjalan di Intel Management Engine, subsistem di dalam CPU yang rentan, dan dari sana secara permanen membuat backdoor pada chip.

Sementara serangan itu mengharuskan penyerang untuk memiliki akses fisik singkat ke perangkat yang rentan itulah skenario TPM, Bitlocker, dan codesigning dirancang untuk dimitigasi. Seluruh proses memakan waktu sekitar 10 menit.

Kerentanan seperti ini kemungkinan tidak akan pernah dieksploitasi dalam serangan tanpa pandang bulu, tetapi setidaknya secara teoritis, dapat digunakan dalam kasus di mana musuh dengan sumber daya yang cukup besar mengejar target bernilai tinggi.

Maka dari itu pengguna dianjurkan untuk menginstal pembaruan pada mesin apa pun yang terpengaruh.

Selengkapnya: Ars Technica

Teknik Rowhammer baru melewati pertahanan memori DDR4 yang ada

November 16, 2021 by Winnie the Pooh

Para peneliti telah mengembangkan teknik berbasis fuzzing baru yang disebut ‘Blacksmith’ yang menghidupkan kembali serangan kerentanan Rowhammer terhadap perangkat DRAM modern yang melewati mitigasi yang ada.

Munculnya metode Blacksmith baru ini menunjukkan bahwa modul DDR4 saat ini rentan terhadap eksploitasi, memungkinkan berbagai serangan dapat dilakukan.

Rowhammer adalah eksploitasi keamanan yang mengandalkan kebocoran muatan listrik antara sel memori yang berdekatan, memungkinkan aktor ancaman untuk membalik 1 dan 0 dan mengubah konten dalam memori.

Serangan kuat ini dapat melewati semua mekanisme keamanan berbasis perangkat lunak, yang mengarah ke eskalasi hak istimewa, kerusakan memori, dan banyak lagi.

Ini pertama kali ditemukan pada tahun 2014, dan dalam setahun, dua eksploitasi eskalasi hak istimewa kerja berdasarkan peneliti sudah tersedia.

Mitigasi yang diterapkan untuk mengatasi masalah bit-flipping ini menunjukkan tanda-tanda pertama ketidakcukupan mereka pada Maret 2020, ketika peneliti akademis membuktikan bahwa bypass mungkin dilakukan.

Pabrikan telah menerapkan serangkaian mitigasi yang disebut “Target Row Refresh” (TRR), yang terutama efektif dalam menjaga agar DDR4 baru tetap aman dari serangan.

Serangan yang digunakan untuk melawannya disebut ‘TRRespass’, dan merupakan teknik berbasis fuzzing lain yang berhasil menemukan pola Rowhammering yang dapat digunakan.

Modul DRAM DDR5 yang lebih baru sudah tersedia di pasar, dan adopsi akan meningkat dalam beberapa tahun ke depan.

Di DDR5, Rowhammer mungkin tidak terlalu menjadi masalah, karena TRR digantikan oleh “refresh management”, sebuah sistem yang melacak aktivasi di bank dan mengeluarkan penyegaran selektif setelah ambang batas tercapai.

Ini berarti bahwa fuzzing yang dapat diskalakan pada perangkat DRAM DDR5 akan jauh lebih sulit dan mungkin jauh lebih tidak efektif, tetapi itu masih harus ditinjau kembali.

Selengkapnya: Bleeping Computer

Peringatan Dikeluarkan Untuk Jutaan Pengguna Microsoft Windows 10, Windows 11

November 15, 2021 by Winnie the Pooh

Pengguna Windows harus waspada. Microsoft telah mengkonfirmasi kerentanan kritis telah ditemukan di semua versi Windows yang menghadirkan ancaman langsung, dan tindakan harus dilakukan secepatnya.

Dilacak sebagai CVE-2021-34484, kerentanan “zero-day” memungkinkan peretas untuk menembus semua versi Windows (termasuk Windows 10, Windows 11 dan Windows Server 2022) dan mengambil kendali komputer Anda. Dan bagian terburuknya adalah cacatnya telah diketahui selama beberapa waktu.

Alasan untuk ini adalah Microsoft secara keliru mengira telah menambal kerentanan (yang pertama kali ditemukan pada bulan Agustus) ketika diungkapkan kepada publik pada bulan Oktober.

Tetapi perbaikan itu sendiri ditemukan tidak sempurna, sesuatu yang diakui perusahaan, dan ini menarik lebih banyak perhatian pada kerentanan. Microsoft kemudian berjanji untuk “mengambil tindakan yang tepat untuk menjaga pelanggan tetap terlindungi” tetapi dua minggu kemudian, perbaikan baru masih belum tiba.

Tapi di sinilah semua pengguna Windows dapat mengambil kendali. Spesialis keamanan pihak ketiga 0patch telah mengalahkan Microsoft dengan ‘micropatch’ yang sekarang telah tersedia untuk semua pengguna Windows (tautan unduhan).

“Micropatch untuk kerentanan ini akan gratis hingga Microsoft mengeluarkan perbaikan resmi,” 0patch mengkonfirmasi. Anda dapat melihat video micropatch yang diinstal di bawah ini:

Anda harus mendaftar untuk akun 0patch dan menginstal download agent nya sebelum perbaikan dapat diterapkan, tetapi dengan 0patch yang cepat menjadi tujuan utama untuk hot fix yang mengalahkan Microsoft, ini bukan masalah.

Selengkapnya: Forbes

AMD Mengungkapkan 50 Celah Keamanan yang Mempengaruhi CPU EPYC, Driver Radeon

November 15, 2021 by Winnie the Pooh

AMD menerbitkan tiga buletin keamanan yang membahas kerentanan keamanan yang memengaruhi prosesor EPYC dan driver grafis Radeon untuk Windows 10. Meskipun banyak yang ditandai dengan Keparahan Tinggi, mereka dapat dimitigasi dengan pembaruan driver dan paket AGESA.

Pembuat chip tersebut mengungkap 22 potensi kerentanan yang memengaruhi tiga generasi prosesor EPYC: EPYC 7001 (Naples), EPYC 7002 (Roma), dan EPYC 7003 (Milan).

Eksploitasi secara khusus menargetkan AMD Platform Security Processor (PSP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) dan komponen platform lainnya.

Menanggapi eksploitasi, AMD mendistribusikan pembaruan AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C dan MilanPI-SP3_1.0.0.4 ke mitra OEM-nya. Jika Anda menjalankan salah satu chip EPYC AMD, Anda harus menghubungi OEM Anda untuk pembaruan.

Driver grafis Radeon untuk Windows 10 sama-sama dipenuhi dengan kerentanan. AMD mendeteksi hingga 27 eksploitasi berbeda dengan berbagai tingkat keparahan yang berdampak pada konsumen mainstream dan perusahaan. Untungnya, pengguna hanya perlu memperbarui driver Radeon mereka ke versi terbaru untuk menambal lubang keamanan tersebut.

Selengkapnya: Tom’s Hardware

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings