Windows

VirusTotal Google melaporkan bahwa 95% ransomware terlihat menargetkan Windows

October 15, 2021 by Winnie the Pooh

Layanan VirusTotal Google menunjukkan bahwa 95 persen malware ransomware yang diidentifikasi oleh sistemnya menargetkan Windows.

VirusTotal, diakuisisi oleh Google pada tahun 2012, mengoperasikan layanan pemindaian malware yang dapat digunakan secara manual atau melalui API, untuk menganalisis file yang mencurigakan. Tim mengumpulkan data antara Januari 2020 dan Agustus tahun ini untuk menyelidiki bagaimana ransomware berkembang.

VirusTotal menerima lebih dari dua juta file mencurigakan per hari dari 232 negara, katanya, menempatkannya pada posisi yang kuat untuk menganalisis masalah.

Selama periode tersebut setidaknya ada 130 keluarga ransomware yang berbeda, kata laporan itu, dan perubahannya konstan. “Tampaknya dalam banyak kasus penyerang menyiapkan sampel baru untuk kampanye mereka,” kata laporan itu.

Ada perbedaan geografis yang mencolok, dengan Israel mengirimkan sampel ransomware paling banyak, diikuti oleh Korea Selatan, Vietnam, dan China. Inggris berada di urutan ke-10.

Keluarga ransomware teratas adalah salah satu yang dijuluki Grandcrab, terhitung 78,5 persen dari sampel positif, sebagian besar berkat lonjakan aktivitas antara Januari dan Juli 2020. Pada Juli 2021 ada lonjakan lain, kali ini untuk Babuk.

93,28 persen ransomware yang terdeteksi adalah executable Windows, dan 2 persen Windows DLL, kata laporan itu.

Android menyumbang lebih dari 2 persen file, dan sekitar pertengahan 2020 sejumlah sampel positif, yang disebut EvilQuest, diidentifikasi, menargetkan Mac.

Mengapa Windows begitu menonjol? Ada beberapa faktor, termasuk pangsa pasar yang besar dan ada di mana-mana, nilai target, dan fakta bahwa kode lama dalam sistem operasi Microsoft sulit untuk diamankan.

Selengkapnya: The Register

Pembaruan Windows 10 KB5006670 & KB5006667 dirilis

October 13, 2021 by Winnie the Pooh

Pembaruan Patch Oktober 2021 telah diluncurkan dan Microsoft telah menerbitkan pembaruan kumulatif KB5006670 dan KB5006667 untuk versi terbaru Windows 10.

Pembaruan kumulatif bulan ini mencakup perbaikan keamanan untuk PC dengan Pembaruan Mei 2021 (versi 21H1), Pembaruan Oktober 2020 (versi 20H2), dan Pembaruan Mei 2020 (versi 2004).

Pembaruan diluncurkan melalui Pembaruan Windows, WSUS, dan Katalog Pembaruan Microsoft dengan banyak perbaikan bug dan peningkatan kinerja.

Seperti setiap Patch Tuesday, Anda dapat memeriksa dan menginstal pembaruan baru dengan membuka Pengaturan, mengklik Pembaruan Windows, dan memilih ‘Periksa Pembaruan’ untuk menginstal pembaruan.

Microsoft telah mengatasi beberapa bug dengan pembaruan kumulatif hari ini untuk Windows 10 versi 2004 atau yang lebih baru. Pembaruan ini memperbarui PC ke Build 19041.1288, 19042.1288, dan 19043.1288.

Pembaruan kumulatif ini mengatasi masalah yang menyebabkan aplikasi seperti Outlook tiba-tiba berhenti bekerja selama penggunaan normal.

Selain itu, Microsoft akhirnya memperbaiki masalah yang menyebabkan ikon berita dan minat buram saat Anda menggunakan resolusi layar tertentu. Pembaruan juga dilengkapi dengan perbaikan berikut:

Mengatasi masalah yang mencegah beberapa aplikasi, seperti Microsoft Office dan Adobe Reader, membuka atau menyebabkannya berhenti merespons. Ini terjadi pada perangkat yang tunduk pada Microsoft Exploit Protectionfor Export Address Filtering.
Memperbaiki masalah yang dapat menyebabkan distorsi pada suara yang direkam oleh Cortana dan asisten suara lainnya.
Memperbaiki masalah yang menyebabkan perangkat Anda berhenti bekerja setelah Anda memulai ulang.
Memperbaiki masalah yang mencegah Anda memberikan masukan ke aplikasi saat bilah tugas tidak berada di bagian bawah layar.

Selengkapnya: Bleeping Computer

Microsoft Oktober 2021 Patch Tuesday Memperbaiki 4 Zero-Days

October 13, 2021 by Winnie the Pooh

Hari ini adalah Patch Tuesday Oktober 2021 Microsoft, dan dengan itu datang perbaikan untuk empat kerentanan zero-day dan total 74 kerentanan keamanan.

Microsoft telah memperbaiki 74 kerentanan (81 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, 70 sebagai Penting, dan satu sebagai Rendah.

81 kerentanan ini (termasuk Microsoft Edge) diklasifikasikan sebagai:

21 Kerentanan Peningkatan Hak Istimewa
6 Kerentanan Bypass Fitur Keamanan
20 Kerentanan Eksekusi Kode Jarak Jauh
13 Kerentanan Pengungkapan Informasi
5 Kerentanan Denial of Service
9 Kerentanan Spoofing

Patch Tuesday Oktober mencakup perbaikan untuk empat kerentanan zero-day, dengan kerentanan Win32k Elevation of Privilege Vulnerability yang diketahui telah dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan yang dieksploitasi secara aktif ditemukan oleh Boris Larin (oct0xor) Kaspersky dan memungkinkan malware atau aktor ancaman untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

Kaspersky mengungkapkan bahwa kerentanan itu digunakan oleh aktor ancaman dalam “kampanye spionase luas terhadap perusahaan IT, kontraktor militer/pertahanan, dan entitas diplomatik.”

Sebagai bagian dari serangan, pelaku ancaman memasang trojan akses jarak jauh (RAT) yang ditingkatkan dengan izin yang lebih tinggi menggunakan kerentanan Windows zero-day.

Kaspersky menyebut kelompok aktivitas berbahaya ini sebagai MysterSnail dan dikaitkan dengan aktivitas IronHusky dan APT berbahasa Mandarin.

Microsoft juga memperbaiki tiga kerentanan lain yang diungkapkan kepada publik yang tidak diketahui apakah sedang dieksploitasi dalam serangan.

CVE-2021-40469 – Windows DNS Server Remote Code Execution Vulnerability
CVE-2021-41335 – Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-41338 – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

Selengkapnya: Bleeping Computer

Peretas China Menggunakan Rootkit Baru untuk Memata-matai Pengguna Windows 10 yang Ditargetkan

October 2, 2021 by Søren

Aktor ancaman siber berbahasa China yang sebelumnya tidak dikenal telah dikaitkan dengan operasi yang sudah berlangsung lama yang ditujukan untuk target Asia Tenggara sejauh Juli 2020 untuk menyebarkan rootkit mode kernel pada sistem Windows yang disusupi.

Serangan yang dilakukan oleh kelompok peretas, yang dijuluki GhostEmperor oleh Kaspersky, juga dikatakan telah menggunakan “kerangka kerja malware multi-tahap yang canggih” yang memungkinkan untuk memberikan ketekunan dan kendali jarak jauh atas host yang ditargetkan.

Perusahaan keamanan siber Rusia menyebut rootkit Demodex, dengan infeksi yang dilaporkan di beberapa entitas terkenal di Malaysia, Thailand, Vietnam, dan Indonesia, selain outlier yang berlokasi di Mesir, Ethiopia, dan Afghanistan.

“[Demodex] digunakan untuk menyembunyikan artefak malware mode pengguna dari penyelidik dan solusi keamanan, sambil menunjukkan skema pemuatan tidak terdokumentasi yang menarik yang melibatkan komponen mode kernel dari proyek sumber terbuka bernama Cheat Engine untuk melewati mekanisme Windows Driver Signature Enforcement,” kata peneliti Kaspersky.

Infeksi GhostEmperor telah ditemukan untuk memanfaatkan beberapa rute intrusi yang berujung pada eksekusi malware di memori, kepala di antara mereka mengeksploitasi kerentanan yang diketahui di server yang menghadap publik seperti Apache, Window IIS, Oracle, dan Microsoft Exchange — termasuk eksploitasi ProxyLogon yang terungkap pada Maret 2021 — untuk mendapatkan pijakan awal dan poros lateral ke bagian lain dari jaringan korban, bahkan pada mesin yang menjalankan versi terbaru dari sistem operasi Windows 10.

Selengkapnya: The Hackers News

Google Peringatkan Cara Baru Peretas Dapat Membuat Malware Tidak Terdeteksi di Windows

September 27, 2021 by Winnie the Pooh

Peneliti keamanan siber telah mengungkapkan teknik baru yang diadopsi oleh aktor siber untuk secara sengaja menghindari deteksi dengan bantuan tanda tangan digital yang cacat dari muatan malware-nya.

“Penyerang membuat tanda tangan kode cacat yang dianggap valid oleh Windows tetapi tidak dapat didekodekan atau diperiksa oleh kode OpenSSL – yang digunakan dalam sejumlah produk pemindaian keamanan,” Neel Mehta dari Google Threat Analysis Group mengatakan dalam sebuah tulisan yang diterbitkan pada hari Kamis.

Mekanisme baru ini diamati dieksploitasi oleh keluarga terkenal dari Unwanted Software yang dikenal sebagai OpenSUpdater yang digunakan untuk mengunduh dan menginstal program mencurigakan lainnya pada sistem yang disusupi.

Sebagian besar target kampanye adalah pengguna yang berada di A.S. yang cenderung mengunduh versi game yang sudah di-crack dan perangkat lunak ilegal lainnya.

Temuan ini berasal dari sekumpulan sampel OpenSUpdater yang diunggah ke VirusTotal setidaknya sejak pertengahan Agustus.

Sementara musuh di masa lalu mengandalkan sertifikat digital yang diperoleh secara ilegal untuk menyelinap adware dan perangkat lunak lain yang tidak diinginkan melewati alat pendeteksi malware atau dengan menyematkan kode serangan ke dalam tanda tangan digital, komponen perangkat lunak tepercaya dengan meracuni rantai pasokan perangkat lunak, OpenSUpdater menonjol karena penggunaan tanda tangan cacat yang disengaja untuk lolos dari pertahanan.

Sumber: The Hacker News

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

September 24, 2021 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

Cara Memperbaiki Network Printing Error Windows 0x00000011b

September 22, 2021 by Eevee

Pembaruan keamanan Windows yang dirilis pada bulan Januari menyebabkan pengguna Windows mengalami error 0x00000011b saat mencetak ke printer jaringan.

Pada Januari 2021, Microsoft merilis pembaruan keamanan untuk memperbaiki ‘Windows Print Spooler Spoofing Vulnerability‘ yang dilacak sebagai CVE-2021-1678.

“Kerentanan ada dalam cara Printer Remote Procedure Call (RPC) menghubungkan otentikasi untuk interface Winspool jarak jauh,” jelas support bulletin tentang kerentanan.

Saat pembaruan keamanan dirilis, pembaruan tersebut tidak secara otomatis melindungi perangkat dari kerentanan. Namun, menambahkan kunci Registry baru yang dapat digunakan admin untuk meningkatkan tingkat otentikasi RPC yang digunakan untuk pencetakan jaringan untuk mengurangi kerentanan.

Dengan kata lain, pembaruan keamanan ini tidak memperbaiki kerentanan apa pun kecuali jika administrator Windows membuat kunci Registri berikut:

Namun, dalam pembaruan keamanan 14 September Patch Tuesday bulan ini, Microsoft secara otomatis mengaktifkan pengaturan ini secara default untuk setiap perangkat Windows meskipun pengaturan Registry itu tidak dibuat.

Setelah mitigasi ini diaktifkan secara default, pengguna Windows mulai mengalami kesalahan 0x00000011b saat mencetak ke printer jaringan.

Kesalahan pencetakan ini terutama terlihat di pengusaha bisnis kecil dan jaringan rumah yang tidak dapat memanfaatkan pengaturan Kerberos di domain Windows.

Menghapus pembaruan keamanan Windows September akan memperbaiki masalah, tetapi sekarang perangkat akan rentan terhadap dua kerentanan, PrintNightmare dan MSHTML, yang secara aktif dieksploitasi oleh threat actors.

Metode yang lebih baik adalah menonaktifkan mitigasi untuk CVE-2021-1678 sampai Microsoft mengeluarkan panduan baru, karena kerentanan tersebut tidak dieksploitasi secara aktif.

Cara memperbaiki kesalahan pencetakan 0x00000011b
Untuk memperbaiki kesalahan pencetakan 0x00000011b baru-baru ini tanpa menghapus Pembaruan Windows saat ini (KB5005565), Anda dapat menonaktifkan mitigasi CVE-2021-1678 yang diaktifkan secara default bulan ini.

Untuk melakukannya, buka Windows Registry Editor dan arahkan ke kunci HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print, buat nilai DWORD-32 bit baru bernama RpcAuthnLevelPrivacyEnabled, dan atur ke 0, seperti yang ditunjukkan pada file Registry di bawah.

Untuk membuatnya lebih mudah untuk menambahkan perubahan ini, Anda dapat menggunakan file Registry fix-0x000011b.reg untuk menambahkannya untuk Anda.

Unduh file ini di server cetak Anda dan perangkat Windows Anda yang terhubung dengannya, klik dua kali di atasnya, dan izinkan data untuk digabungkan.

RpcAuthnLevelPrivacyEnabled mitigation disabled

Setelah Anda menonaktifkan mitigasi ini, Anda tidak akan lagi terlindungi dari kerentanan, tetapi mudah-mudahan akan memungkinkan Anda untuk mencetak lagi.

Jika ini tidak menyelesaikan masalah Anda, gunakan enable-RpcAuthnLevel.reg untuk kembali ke default Windows.

Sumber: Bleeping Computer

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

September 17, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Windows

Cookies Settings