Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Kerentanan zero-day Windows Installer mendapat micropatch gratis

by

Kerentanan dalam komponen Penginstal Windows, yang coba diperbaiki Microsoft beberapa kali tetapi tidak berhasil, hari ini menerima micropatch untuk menolak opsi peretas untuk mendapatkan hak istimewa tertinggi pada sistem yang disusupi.

Masalah memengaruhi Windows 7 hingga 10. Upaya terbaru Microsoft untuk mengatasi masalah ini (CVE-2020-16902) dilakukan pada bulan Oktober. Sebuah bypass, lengkap dengan kode eksploitasi bukti-konsep (PoC) muncul pada akhir Desember 2020.

Hingga Microsoft membuat tambalan permanen, tambalan sementara tersedia melalui platform 0Patch. Ini adalah perbaikan satu instruksi yang tidak memerlukan boot ulang sistem.

Video di bawah ini menunjukkan bahwa micropatch mencegah pengguna non-admin lokal mengubah nilai registri yang mengarah ke Layanan Faks yang dapat dijalankan, yang akan menyebabkan menjalankan kode penyerang.

Perbaikan sementara dan gratis dari 0Patch berfungsi untuk sistem berikut:

  1. Windows 10 v20H2, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  2. Windows 10 v2004, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  3. Windows 10 v1909, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  4. Windows 7, 32 / 64bit, dengan ESU, diperbarui dengan pembaruan Januari 2021
  5. Windows 7, 32 / 64bit, tanpa ESU, diperbarui dengan pembaruan Januari 2020

selengkapnya : BleepingComputer

Potensi kerentanan eksekusi kode jarak jauh yang ditemukan di aplikasi Node.js

by

Kerentanan dalam kerangka aplikasi web Node.js dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh (RCE).

Dipublikasikan oleh peneliti keamanan “wannabe” yang dideskripsikan sendiri, Shoeb ‘CaptainFreak’ Patel pada tanggal 23 Januari, penelitian tersebut menunjukkan bahwa Express.js mungkin rentan terhadap kesalahan pembacaan file lokal. Jika digabungkan dengan mesin Handlebars versi lama, cacat ini juga dapat dieksploitasi untuk mengeksekusi kode berbahaya dari jarak jauh.

Handlebars adalah mesin template yang populer untuk aplikasi web.

Berbicara kepada The Daily Swig, Patel mengatakan bahwa dia memutuskan untuk mencari kerentanan di Node.js, Express.js, dan Handlebars karena dia terbiasa dengan kode sebagai pengembang.

selengkapnya : Portswigger

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

by

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Bug DNSpooq memungkinkan penyerang membajak DNS di jutaan perangkat

by

Perusahaan konsultan keamanan yang berbasis di Israel, JSOF, mengungkapkan tujuh kerentanan Dnsmasq, yang secara kolektif dikenal sebagai DNSpooq, yang dapat dimanfaatkan untuk meluncurkan serangan DNS cache poisoning, eksekusi kode jarak jauh, dan denial-of-service terhadap jutaan perangkat yang terpengaruh.

Jumlah lengkap atau nama semua perusahaan yang menggunakan versi Dnsmasq yang rentan terhadap serangan DNSpooq di perangkat mereka belum diketahui.

Namun, JSOF menyoroti daftar 40 vendor dalam laporan mereka, termasuk Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei, dan Ubiquiti.

Tiga dari kerentanan DNSpooq (dilacak sebagai CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) memungkinkan kedua serangan DNS cache poisoning (juga dikenal sebagai spoofing DNS).

Sisanya adalah kerentanan buffer overflow yang dilacak sebagai CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, dan CVE-2020-25681 yang dapat memungkinkan penyerang mengeksekusi kode dari jarak jauh pada peralatan jaringan yang rentan saat Dnsmasq dikonfigurasi untuk menggunakan DNSSEC.

MITIGASI

Untuk sepenuhnya mengurangi serangan yang mencoba mengeksploitasi kelemahan DNSpooq, JSOF menyarankan untuk memperbarui perangkat lunak Dnsmasq ke versi terbaru (2.83 atau lebih baru).

JSOF juga membagikan daftar solusi (sebagian) bagi mereka yang tidak dapat segera memperbarui Dnsmasq:

  • Konfigurasikan dnsmasq agar tidak “listen” pada antarmuka WAN jika tidak diperlukan di lingkungan Anda.
  • Kurangi kueri maksimum yang diizinkan untuk diteruskan dengan option–dns-forward-max=. Standarnya adalah 150, tetapi bisa diturunkan.
  • Nonaktifkan sementara opsi validasi DNSSEC hingga Anda mendapatkan patch.
  • Gunakan protokol yang menyediakan keamanan transportasi untuk DNS (seperti DoT atau DoH). Ini akan mengurangi Dnspooq tetapi mungkin memiliki implikasi keamanan dan privasi lainnya. Pertimbangkan pengaturan, sasaran keamanan, dan risiko Anda sendiri sebelum melakukan ini.
  • Mengurangi ukuran maksimum pesan EDNS kemungkinan akan mengurangi beberapa kerentanan. Ini, bagaimanapun, belum diuji dan bertentangan dengan rekomendasi dari RFC5625 yang relevan.

Sumber: Bleeping Computer

Google mengungkapkan operasi peretasan Windows dan Android yang canggih

by

Sumber: Google Project Zero

Google telah menerbitkan laporan enam bagian yang merinci operasi peretasan canggih yang terdeteksi oleh perusahaan tersebut pada awal 2020 dan yang menargetkan pemilik perangkat Android dan Windows.

Serangan itu dilakukan melalui dua server exploit yang memberikan rantai eksploitasi yang berbeda melalui serangan watering hole, kata Google.

“Satu server menargetkan pengguna Windows, yang lainnya menargetkan Android,” Project Zero, salah satu tim keamanan Google, mengatakan dalam posting pertama dari enam posting blog.

Google mengatakan bahwa kedua server exploit menggunakan kerentanan Google Chrome untuk mendapatkan pijakan awal pada perangkat korban. Setelah titik masuk awal dibuat di browser pengguna, penyerang menyebarkan exploit tingkat OS untuk mendapatkan kontrol lebih besar atas perangkat korban.

Rantai eksploitasi mencakup kombinasi kerentanan zero-day dan n-day.

Empat zero-day, yang semuanya ditambal pada musim semi 2020, adalah sebagai berikut:

  • CVE-2020-6418 – Kerentanan Chrome di TurboFan (diperbaiki pada Februari 2020)
  • CVE-2020-0938 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1020 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1027 – Kerentanan CSRSS Windows (diperbaiki pada April 2020)

“Rantai eksploitasi ini dibuat dengan baik, kode yang kompleks dengan berbagai metode eksploitasi baru, logging yang matang, teknik pasca-eksploitasi yang canggih dan diperhitungkan, serta pemeriksaan anti-analisis dan penargetan dalam jumlah besar,” kata Google.

Sumber: ZDNet

Total CVE yang Dipublikasikan Mencapai Rekor Tertinggi untuk Tahun Keempat

by

Dalam 12 bulan terakhir, sejumlah rekor CVE diterbitkan oleh otoritas AS, volume tahun keempat berturut-turut telah meningkat.

Per 15 Desember, jumlah kerentanan dalam kode produksi yang ditemukan dan diberi nomor CVE oleh Basis Data Kerentanan US-CERT, melampaui angka tahun 2019.

Tahun lalu ada 17.306 CVE yang diterbitkan, termasuk 4337 risiko tinggi, 10.956 risiko menengah dan 2013 kekurangan risiko rendah. Hingga kemarin, tercatat 17.447 total, termasuk 4168 bug berisiko tinggi, 10.710 risiko sedang, dan 2.569 bug berisiko rendah.

K2 Cyber Security, yang mencatat lonjakan rekor baru-baru ini, berpendapat bahwa pandemi mungkin berdampak pada pengungkapan tahun ini.

“Perusahaan masih berjuang untuk menemukan keseimbangan antara mengirimkan aplikasi ke pasar dengan cepat, dan mengamankan kode mereka. Pandemi COVID-19 adalah faktor utama tahun ini,” kata salah satu pendiri dan CEO vendor, Pravin Madhani.

Untuk mengurangi risiko ini, tim DevOps harus menggeser keamanan sejauh mungkin dalam lifecycle, sementara sysadmin harus menambal sesegera mungkin untuk memastikan sistem operasi dan perangkat lunak penting up-to-date, katanya.

Sumber: Info Security

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer