Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Windows 10 21H2 menambahkan perlindungan ransomware ke Dasar Keamanan

by

Microsoft telah merilis versi final pengaturan dasar konfigurasi keamanan untuk Windows 10, versi 21H2, tersedia hari ini dari Microsoft Security Compliance Toolkit.

“Pembaruan fitur Windows 10 ini membawa sangat sedikit pengaturan kebijakan baru,” kata konsultan keamanan Microsoft Rick Munck.

“Satu pengaturan telah ditambahkan untuk rilis ini untuk pembatasan penginstalan driver printer (yang juga ditambahkan ke rilis Windows 11). Selain itu, semua pengaturan Microsoft Edge Legacy telah dihapus,”

Namun, sorotan dari dasar keamanan Windows 10 yang baru adalah penambahan tamper protection sebagai pengaturan yang diaktifkan secara default (ini juga dibuat sebagai pengaturan default di dasar keamanan Windows 11 dua bulan lalu).

Saat mengaktifkan Microsoft Security Baseline untuk Windows 10 21H2, Microsoft mendesak admin untuk mengaktifkan fitur perlindungan tamper Defender for Endpoint untuk melindungi dari serangan ransomware yang dioperasikan oleh manusia.

Fitur ini melakukannya dengan memblokir upaya operator ransomware atau malware untuk menonaktifkan fitur keamanan OS dan solusi keamanan untuk mendapatkan akses yang lebih mudah ke data sensitif dan menyebarkan malware atau alat berbahaya lainnya.

Perlindungan tamper secara otomatis mengunci Microsoft Defender Antivirus menggunakan nilai aman default, menggagalkan upaya untuk mengubahnya menggunakan registri, cmdlet PowerShell, atau kebijakan grup.

Dengan dasar keamanan Windows 10 21H2 yang baru, Microsoft menghapus semua pengaturan Microsoft Edge Legacy setelah browser web berbasis EdgeHTML-nya mencapai masa akhir dukungan pada bulan Maret.

Dasar keamanan Windows 10 21H2 sekarang tersedia untuk diunduh melalui Microsoft Security Compliance Toolkit, dan mencakup pencadangan dan laporan Group Policy Object (GPO), skrip yang diperlukan untuk menerapkan pengaturan ke GPO lokal, serta aturan Policy Analyzer.

Selengkapnya: Bleeping Computer

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

by

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 21 Elevation of Privilege Vulnerabilities
  • 26 Remote Code Execution Vulnerabilities
  • 10 Information Disclosure Vulnerabilities
  • 3 Denial of Service Vulnerabilities
  • 7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

by

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer

Windows zero-day baru dengan eksploitasi publik memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan zero-day elevasi hak istimewa lokal Windows baru yang memberikan hak istimewa admin di Windows 10, Windows 11, dan Windows Server.

BleepingComputer telah menguji eksploit dan menggunakannya untuk membuka ke command prompt dengan hak istimewa SISTEM dari akun yang hanya memiliki hak ‘Standar’ tingkat rendah.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan.

Kerentanan memengaruhi semua versi Windows yang didukung, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Sebagai bagian dari Patch Selasa November 2021, Microsoft memperbaiki kerentanan ‘Windows Installer Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2021-41379.

Kerentanan ini ditemukan oleh peneliti keamanan Abdelhamid Naceri, yang menemukan bypass ke patch dan kerentanan elevasi hak istimewa zero-day baru yang lebih kuat setelah memeriksa perbaikan dari Microsoft.

Kemarin, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru di GitHub, menjelaskan bahwa itu berfungsi pada semua versi Windows yang didukung.

Naceri juga menjelaskan bahwa meskipun user dapat mengonfigurasi kebijakan grup untuk mencegah pengguna ‘Standar’ melakukan operasi MSI installer, zero-day-nya melewati kebijakan ini dan akan tetap berfungsi.

Selengkapnya: Bleeping Computer

Windows 10 adalah bencana keamanan yang menunggu untuk terjadi. Bagaimana Microsoft akan membersihkan kekacauannya?

by

Dalam waktu kurang dari empat tahun, Microsoft akan menarik tirai terakhir pada Windows 10 setelah 10 tahun berjalan.

Berita itu seharusnya tidak mengejutkan siapa pun. Tanggal akhir ditetapkan sebagai bagian dari Kebijakan Siklus Hidup Modern Microsoft, dan didokumentasikan di halaman Microsoft Lifecycle: “Microsoft akan terus mendukung setidaknya satu Saluran Semi-Tahunan Windows 10 hingga 14 Oktober 2025.”

Ketika versi Windows mencapai tanggal akhir dukungan, perangkat lunak tetap bekerja, tetapi saluran pembaruan berhenti:

[Tidak] akan ada pembaruan keamanan baru, pembaruan non-keamanan, atau dukungan bantuan. Pelanggan dianjurkan untuk bermigrasi ke versi produk atau layanan terbaru. Program berbayar mungkin tersedia untuk produk yang berlaku.

Itu bukan pilihan bagi pelanggan yang menjalankan Windows 10 pada perangkat keras yang tidak memenuhi persyaratan kompatibilitas perangkat keras Windows 11.

Saat Oktober 2025 tiba, perangkat tersebut tidak akan memiliki jalur migrasi yang didukung Microsoft ke versi yang lebih baru. Pemilik PC, yang beberapa berusia kurang dari lima tahun, akan memiliki opsi berikut:

  1. Lanjut menjalankan sistem operasi yang tidak didukung dan berharap yang terbaik
  2. Pensiun atau buang perangkat keras yang tidak didukung
  3. Instal sistem operasi non-Microsoft, seperti Linux
  4. Abaikan peringatan Microsoft dan upgrade ke Windows 11

Opsi 1 tidak bijaksana. Opsi 2 tidak masuk akal. Opsi 3 tidak mungkin.

Dan hanya menyisakan opsi keempat, yang datang dengan porsi Ketakutan, Ketidakpastian, dan Keraguan (FUD) Microsoft sendiri dalam bentuk buletin dukungan berjudul “Menginstal Windows 11 pada perangkat yang tidak memenuhi persyaratan sistem minimum.”

Pelanggan bisnis mungkin dapat membayar pembaruan keamanan yang diperpanjang untuk Windows 10, meskipun itu akan menjadi pil pahit (dan mahal) untuk ditelan. Tapi pengusaha kecil dan konsumen tidak akan memiliki pilihan itu.

Namun, ada alternatif: Microsoft dapat memperpanjang batas waktu dukungan untuk Windows 10 pada perangkat keras yang tidak kompatibel dengan Windows 11.

Perusahaan melakukan hal yang sama, dalam situasi yang sama, di era Windows XP, dan ini adalah solusi yang sangat tepat di sini.

Selengkapnya: ZDNet