Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Microsoft memperbaiki kerentanan Windows Print Spooler PrintNightmare

by

Microsoft telah memperbaiki kerentanan PrintNightmare di Windows Print Spooler dengan mengharuskan pengguna memiliki hak administratif saat menggunakan fitur Point and Print untuk menginstal driver printer.

Pada bulan Juni, seorang peneliti keamanan secara tidak sengaja mengungkapkan kerentanan spooler cetak Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527). Ketika dieksploitasi, kerentanan ini memungkinkan eksekusi kode jarak jauh dan kemampuan untuk mendapatkan hak istimewa SISTEM lokal.

Microsoft segera merilis pembaruan keamanan yang memperbaiki komponen eksekusi kode jarak jauh tetapi tidak meningkatkan porsi hak istimewa lokal.

Namun, para peneliti dengan cepat menemukan bahwa sangat mungkin untuk mengeksploitasi fitur Point and Print untuk menginstal driver printer berbahaya yang memungkinkan pengguna dengan hak istimewa rendah untuk mendapatkan hak istimewa SISTEM di Windows.

Point and Print adalah fitur Windows yang memungkinkan pengguna untuk terhubung ke server printer, bahkan yang terhubung ke Internet jarak jauh, dan secara otomatis mengunduh dan menginstal driver printer server.

Dengan menggunakan fitur ini, peneliti keamanan Benjamin Delpy membuat server printer jarak jauh yang menginstal driver printer yang memungkinkan pengguna dengan hak istimewa rendah untuk membuka prompt perintah dengan hak istimewa SISTEM, seperti yang ditunjukkan dalam video di bawah ini.

Sebagai bagian dari pembaruan keamanan Patch Tuesday Agustus 2021 hari ini, Microsoft mengatasi kerentanan “PrintNightmare” ini dengan mengharuskan pengguna memiliki hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Microsoft memperingatkan bahwa perubahan ini dapat berdampak pada organisasi yang sebelumnya mengizinkan pengguna non-admin untuk menambahkan atau memperbarui driver printer, karena mereka tidak lagi dapat melakukannya.

Selengkapnya: BleepingComputer

Serangan Windows PetitPotam dapat diblokir menggunakan metode baru

by

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka command prompt sebagai Admin dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Selengkapnya: Bleeping Computer

Serangan jaringan “PetitPotam” Windows – cara melindunginya

by

Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.

Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.

Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.

Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:

  • Otentikasi NTLM diaktifkan di domain Anda.
  • Anda menggunakan Active Directory Certificate Services (AD CS).
  • Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.

Apa yang harus dilakukan?

Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.

Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.

Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.

Selengkapnya: Naked Security

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

by

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Malware XLoader mencuri login dari sistem macOS dan Windows

by

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

by

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

  1. Buka Command Prompt atau Windows PowerShell sebagai administrator.
  2. Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

  1. Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
  2. Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

Microsoft mengatakan kelompok Israel menjual alat untuk meretas Windows

by

Sebuah kelompok Israel menjual alat untuk meretas ke Microsoft Windows, Microsoft dan teknologi lainnya menurut kelompok hak asasi manusia Citizen Lab pada hari Kamis, menyoroti bisnis yang berkembang untuk menemukan dan menjual alat untuk meretas perangkat lunak yang banyak digunakan.

Vendor alat peretasan, bernama Candiru, membuat dan menjual eksploitasi perangkat lunak yang dapat menembus Windows, salah satu dari banyak produk intelijen yang dijual oleh industri rahasia yang menemukan kelemahan pada platform perangkat lunak umum untuk klien mereka, kata laporan Citizen Lab.

Analisis teknis oleh peneliti keamanan merinci bagaimana alat peretasan Candiru menyebar ke seluruh dunia ke banyak pelanggan yang tidak disebutkan namanya, di mana ia kemudian digunakan untuk menargetkan berbagai organisasi masyarakat sipil, termasuk kelompok pembangkang Saudi dan outlet berita Indonesia yang simpatis, lapor Citizen Lab dan acara Microsoft.

Upaya menghubungi Candiru untuk meminta komentar tidak berhasil.

Bukti eksploitasi yang ditemukan oleh Microsoft Corp menunjukkan bahwa itu digunakan terhadap pengguna di beberapa negara, termasuk Iran, Lebanon, Spanyol dan Inggris, menurut laporan Citizen Lab.

“Kehadiran Candiru yang semakin meningkat, dan penggunaan teknologi pengawasannya terhadap masyarakat sipil global, merupakan pengingat kuat bahwa industri spyware bayaran memiliki banyak pemain dan rentan terhadap penyalahgunaan yang meluas,” kata Citizen Lab dalam laporannya.

Microsoft memperbaiki kekurangan yang ditemukan pada hari Selasa melalui pembaruan perangkat lunak. Microsoft tidak secara langsung mengaitkan eksploitasi tersebut dengan Candiru, melainkan menyebutnya sebagai “aktor ofensif sektor swasta yang berbasis di Israel” dengan nama kode Sourgum.

selengkapnya : www.dawn.com

Microsoft memperbaiki kerentanan bypass otentikasi Windows Hello

by

Microsoft telah mengatasi kerentanan bypass fitur keamanan di teknologi berbasis biometrik otentikasi Windows Hello, yang dapat membiarkan aktor ancaman menipu identitas target dan mengelabui mekanisme pengenalan wajah untuk memberi mereka akses ke sistem.

Menurut Microsoft, jumlah pelanggan Windows 10 yang menggunakan Windows Hello untuk masuk ke perangkat mereka alih-alih menggunakan kata sandi naik dari 69,4% menjadi 84,7% selama 2019.

Seperti yang ditemukan oleh peneliti keamanan CyberArk Labs, penyerang dapat membuat perangkat USB khusus yang akan digunakan Windows Hello untuk sepenuhnya menghindari mekanisme pengenalan wajah Windows Hello menggunakan bingkai IR (infrared) tunggal yang valid dari target.

Tsarfati melaporkan kerentanan Windows Hello dilacak sebagai CVE-2021-34466 dan dinilai sebagai tingkat keparahan Penting bagi Microsoft pada bulan Maret.

Berdasarkan penilaian Microsoft terhadap kerentanan keamanan, musuh yang tidak diautentikasi memerlukan akses fisik ke perangkat target untuk mengeksploitasinya dalam serangan dengan kompleksitas tinggi.

Sumber: CyberArk Labs

Microsoft telah merilis pembaruan keamanan Windows 10 untuk mengatasi Kerentanan Bypass Fitur Keamanan Windows Hello CVE-2021-34466 sebagai bagian dari Patch Tuesday bulan Juli 2021.

Menurut Redmond, pelanggan Windows Hello dengan perangkat keras dan driver sensor biometrik dengan dukungan untuk Keamanan Masuk yang Ditingkatkan tidak terpengaruh serangan yang menyalahgunakan kelemahan keamanan ini.

Informasi teknis lebih lanjut tentang bagaimana para peneliti melewati mekanisme otentikasi Windows Hello dapat ditemukan di laporan CyberArk Labs.