Vulnerability

Pembaruan Windows 10 KB5006670 & KB5006667 dirilis

October 13, 2021 by Winnie the Pooh

Pembaruan Patch Oktober 2021 telah diluncurkan dan Microsoft telah menerbitkan pembaruan kumulatif KB5006670 dan KB5006667 untuk versi terbaru Windows 10.

Pembaruan kumulatif bulan ini mencakup perbaikan keamanan untuk PC dengan Pembaruan Mei 2021 (versi 21H1), Pembaruan Oktober 2020 (versi 20H2), dan Pembaruan Mei 2020 (versi 2004).

Pembaruan diluncurkan melalui Pembaruan Windows, WSUS, dan Katalog Pembaruan Microsoft dengan banyak perbaikan bug dan peningkatan kinerja.

Seperti setiap Patch Tuesday, Anda dapat memeriksa dan menginstal pembaruan baru dengan membuka Pengaturan, mengklik Pembaruan Windows, dan memilih ‘Periksa Pembaruan’ untuk menginstal pembaruan.

Microsoft telah mengatasi beberapa bug dengan pembaruan kumulatif hari ini untuk Windows 10 versi 2004 atau yang lebih baru. Pembaruan ini memperbarui PC ke Build 19041.1288, 19042.1288, dan 19043.1288.

Pembaruan kumulatif ini mengatasi masalah yang menyebabkan aplikasi seperti Outlook tiba-tiba berhenti bekerja selama penggunaan normal.

Selain itu, Microsoft akhirnya memperbaiki masalah yang menyebabkan ikon berita dan minat buram saat Anda menggunakan resolusi layar tertentu. Pembaruan juga dilengkapi dengan perbaikan berikut:

Mengatasi masalah yang mencegah beberapa aplikasi, seperti Microsoft Office dan Adobe Reader, membuka atau menyebabkannya berhenti merespons. Ini terjadi pada perangkat yang tunduk pada Microsoft Exploit Protectionfor Export Address Filtering.
Memperbaiki masalah yang dapat menyebabkan distorsi pada suara yang direkam oleh Cortana dan asisten suara lainnya.
Memperbaiki masalah yang menyebabkan perangkat Anda berhenti bekerja setelah Anda memulai ulang.
Memperbaiki masalah yang mencegah Anda memberikan masukan ke aplikasi saat bilah tugas tidak berada di bagian bawah layar.

Selengkapnya: Bleeping Computer

Bug LibreOffice, OpenOffice Memungkinkan Peretas Untuk Memalsukan Dokumen Yang Ditandatangani

October 12, 2021 by Winnie the Pooh

LibreOffice dan OpenOffice telah mendorong pembaruan untuk mengatasi kerentanan yang memungkinkan penyerang memanipulasi dokumen agar tampak ditandatangani oleh sumber tepercaya.

Meskipun tingkat keparahan bug diklasifikasikan sebagai sedang, implikasinya bisa mengerikan. Tanda tangan digital yang digunakan dalam makro dokumen dimaksudkan untuk membantu pengguna memverifikasi bahwa dokumen tersebut belum diubah dan dapat dipercaya.

Penemuan bug, yang dilacak sebagai CVE-2021-41832 untuk OpenOffice, adalah karya empat peneliti di Ruhr University Bochum.

Bug yang sama berdampak pada LibreOffice, yang merupakan cabang dari OpenOffice yang muncul dari proyek utama lebih dari satu dekade lalu, dan untuk proyek mereka dilacak sebagai CVE-2021-25635.

Jika Anda menggunakan salah satu suite kantor sumber terbuka di atas, Anda disarankan untuk segera mememperbarui ke versi terbaru yang tersedia. Untuk OpenOffice, itu akan menjadi 4.1.10 dan yang lebih baru, dan untuk LibreOffice, 7.0.5 atau 7.1.1 dan yang lebih baru.

Karena tidak satu pun dari kedua aplikasi ini yang menawarkan pembaruan otomatis, Anda harus melakukannya secara manual dengan mengunduh versi terbaru dari masing-masing pusat unduhan – LibreOffice, OpenOffice.

Jika Anda menggunakan Linux dan versi yang disebutkan di atas belum tersedia di packet manager distribusi Anda, Anda disarankan untuk mengunduh paket “deb”, atau “rpm” dari pusat Unduhan atau buat LibreOffice dari sumber.

Selengkapnya: Bleeping Computer

Grup Peretasan APT Baru yang Menargetkan Industri Bahan Bakar, Energi, dan Penerbangan

October 6, 2021 by Winnie the Pooh

Aktor ancaman yang sebelumnya tidak terdokumentasi telah diidentifikasi berada di balik serangkaian serangan yang menargetkan industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang dengan tujuan mencuri data dari jaringan yang disusupi.

Perusahaan keamanan siber Positive Technologies menjuluki kelompok ancaman persisten (APT) canggih tersebut sebagai ChamelGang – mengacu pada kemampuan bunglon mereka, termasuk menyamarkan “malware dan infrastruktur jaringannya di bawah layanan sah Microsoft, TrendMicro, McAfee, IBM, dan Google.”

“Untuk mencapai tujuan mereka, para penyerang menggunakan metode penetrasi yang sedang tren—rantai pasokan,” kata para peneliti tentang salah satu insiden yang diselidiki oleh perusahaan.

“Grup tersebut menyusup ke anak perusahaan dan menembus jaringan perusahaan target melaluinya. Serangan hubungan tepercaya jarang terjadi saat ini karena kompleksitas eksekusi mereka. Dengan menggunakan metode ini […], grup ChamelGang dapat mencapai tujuannya dan mencuri data dari jaringan yang disusupi.”

Penyusupan yang dipasang oleh musuh diyakini telah dimulai pada akhir Maret 2021, dengan serangan berikutnya pada bulan Agustus memanfaatkan apa yang disebut rantai kerentanan ProxyShell yang memengaruhi Server Microsoft Exchange, detail teknis yang pertama kali diungkapkan di keamanan Black Hat USA 2021 konferensi awal bulan itu.

Selengkapnya: The Hacker News

Peretas Sedang Memindai Target VMware CVE-2021-22005, Patch Sekarang!

September 23, 2021 by Winnie the Pooh

Pelaku ancaman sudah mulai menargetkan server VMware vCenter yang terpapar Internet yang tidak ditambal terhadap kerentanan pengunggahan file kritis yang ditambal kemarin yang dapat menyebabkan eksekusi kode jarak jauh.

Cacat keamanan yang dilacak sebagai CVE-2021-22005 berdampak pada semua penerapan vCenter Server 6.7 dan 7.0 dengan konfigurasi default.

Cacat ini dilaporkan oleh George Noseevich dan Sergey Gerasimov dari SolidLab LLC, dan penyerang yang tidak diautentikasi dapat mengeksploitasinya dari jarak jauh dalam serangan dengan kompleksitas rendah tanpa memerlukan interaksi pengguna.

Sementara kode exploit belum tersedia untuk umum, aktivitas pemindaian yang sedang berlangsung sudah terlihat oleh perusahaan intelijen ancaman Bad Packets, dengan beberapa VMware honeypots merekam penyerang yang menyelidiki keberadaan bug kritis hanya beberapa jam setelah VMware merilis pembaruan keamanan.

Saat ini, ribuan server vCenter yang berpotensi rentan dapat dijangkau melalui Internet dan terkena serangan, menurut mesin pencari Shodan untuk perangkat yang terhubung ke Internet.

Pemindaian yang sedang berlangsung ini mengikuti peringatan yang dikeluarkan oleh VMware kemarin untuk menyoroti pentingnya menambal server terhadap bug CVE-2021-22005 sesegera mungkin.

Perusahaan menyediakan solusi yang mengharuskan admin untuk mengedit file teks pada alat virtual dan memulai ulang layanan secara manual atau menggunakan skrip untuk menghapus vektor eksploitasi.

VMware juga menerbitkan dokumen FAQ terperinci dengan pertanyaan dan jawaban tambahan mengenai cacat CVE-2021-22005.

Selengkapnya: Bleeping Computer

Kerentanan CPU AMD Ditemukan, Membocorkan Kata Sandi Sebagai Pengguna Non-Administratif

September 20, 2021 by Winnie the Pooh

AMD merilis informasi tentang kerentanan driver yang mempengaruhi CPU mereka, memungkinkan setiap pengguna untuk tidak hanya mendapatkan akses ke informasi tetapi juga mengunduh informasi melalui halaman memori Windows tertentu. Penyerang mampu mendapatkan akses ke kata sandi, serta meluncurkan serangan yang berbeda, seperti mengganggu mitigasi eksploitasi KASLR, juga dikenal sebagai Spectre dan Meltdown.

Informasi ini terungkap setelah peneliti keamanan dan salah satu pendiri ZeroPeril, Kyriakos Economou, menemukan eksploitasi dan menghubungi AMD. Melalui pekerjaan mereka, AMD mampu mengeluarkan mitigasi yang saat ini menjadi bagian dari driver CPU terbaru. Anda juga dapat memanfaatkan Pembaruan Windows untuk menerima driver AMD PSP terbaru.

Pembaruan driver AMD saat ini telah aktif selama beberapa minggu, tetapi ini adalah yang pertama bagi AMD untuk menjelaskan detail pembaruan driver saat ini.

Economou menjelaskan prosesnya dalam laporan yang diungkapkan baru-baru ini dirilis. Dalam dokumen, itu menunjukkan kerentanan panjangnya.

Economou awalnya menemukan exploit menggunakan AMD Ryzen 2000 dan 3000 series. AMD awalnya hanya mencantumkan seri Ryzen 1000 dan CPU generasi yang lebih lama dalam advisory internalnya. Situs web Tom’s Hardware menghubungi AMD setelah membaca dokumen dari Economou untuk menemukan daftar chipset yang terpengaruh.

AMD menginstruksikan pengguna untuk mengunduh driver AMD PSP melalui Pembaruan Windows (driver AMD PSP 5.17.0.0) atau driver CPU AMD dari halaman dukungan mereka (AMD Chipset Driver 3.08.17.735).

Selengkapnya: Wccftech

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

September 16, 2021 by Winnie the Pooh

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

September 14, 2021 by Winnie the Pooh

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

September 13, 2021 by Winnie the Pooh

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
Untuk dokumen Word, navigasikan ke registry key berikut:
- HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Untuk file rich text (RTF), navigasikan ke registry key ini:
- HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
Export salinan registry key sebagai cadangan.
Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Nonaktifkan pratinjau dokumen di Windows Explorer

Cookies Settings