Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Microsoft menarik Windows KB4601392 untuk memblokir pembaruan keamanan

by

Microsoft telah menarik pembaruan tumpukan layanan Windows (SSU) yang bermasalah setelah memblokir pelanggan Windows 10 dan Windows Server dari menginstal pembaruan keamanan yang dirilis selama bulan ini Patch Tuesday.

Bug diamati oleh pelanggan yang mencoba menginstal pembaruan keamanan 9 Februari pada sistem yang menjalankan Windows Server 2016 dan semua edisi Windows 10, versi 1607, setelah kemajuan penginstalan dihentikan.

“Setelah menginstal SSU KB4601392, penginstalan Pembaruan Kumulatif dari Pembaruan Windows mungkin tidak melewati 24%,” kata Microsoft saat menjelaskan masalahnya.

Meskipun SSU tidak dapat dihapus instalasinya dari perangkat tempat mereka digunakan karena mereka membuat perubahan pada cara pembaruan diinstal, Microsoft mengatakan bahwa pengguna yang telah menginstal KB4601392 dapat mengatur ulang komponen pembaruan menggunakan prosedur sederhana.

“Untuk mengurangi masalah ini pada perangkat yang telah menginstal KB4601392, restart perangkat Anda dan kemudian ikuti hanya langkah 1, 2 dan 4a dari Reset komponen Pembaruan Windows secara manual,” perusahaan menjelaskan.

“Kemudian restart perangkat Anda lagi. KB5001078 sekarang harus menginstal dari Pembaruan Windows saat Anda memilih” periksa pembaruan “atau Anda dapat menunggu untuk menginstal secara otomatis.”

Setelah melalui langkah-langkah yang dijelaskan di atas untuk mengurangi masalah yang diketahui ini, Anda seharusnya dapat menginstal Pembaruan Kumulatif terbaru yang dirilis pada 9 Februari melalui layanan Pembaruan Windows.

Anda juga bisa mendapatkan paket KB5001078 SSU mandiri dari Katalog Pembaruan Microsoft untuk menyebarkannya di lingkungan perusahaan melalui WSUS.

Source : Bleepingcomputer

Email phishing ini menjanjikan Anda bonus – tetapi sebenarnya mengirimkan malware trojan Windows

by

Kampanye phishing baru mencoba memikat korban agar mengunduh versi terbaru dari trojan malware – dan memiliki tautan ke salah satu operasi kriminal siber paling produktif yang aktif di dunia saat ini.

Trojan Bazar pertama kali muncul tahun lalu dan penyebaran malware trojan yang berhasil dapat memberi penjahat siber sebuah backdoor ke dalam sistem Windows yang dikompromikan, memungkinkan mereka untuk mengontrol perangkat dan mendapatkan akses tambahan ke jaringan untuk mengumpulkan informasi sensitif atau mengirimkan malware, termasuk ransomware.

Para peneliti telah mengaitkannya dengan pengembang Trickbot, salah satu bentuk malware paling umum untuk peretas kriminal yang ingin masuk ke jaringan.

Sekarang para peneliti keamanan siber di Fortinet telah mengidentifikasi varian baru dari trojan Bazar, yang telah dilengkapi dengan teknik anti-analisis untuk membuat malware lebih sulit dideteksi oleh perangkat lunak anti-virus.

Ini termasuk menyembunyikan API berbahaya dalam kode dan hanya memanggilnya saat diperlukan, obfuscation kode tambahan, dan bahkan mengenkripsi string kode tertentu agar lebih sulit untuk dianalisis.

Teknik baru ditambahkan ke Bazar menjelang akhir Januari dan bertepatan dengan kampanye phishing yang dirancang untuk mendistribusikan versi terbaru dari malware tersebut.

Tema yang digunakan oleh email phishing yang dirancang untuk menarik minat dari calon korban perusahaan termasuk laporan keluhan pelanggan palsu, laporan tagihan palsu, dan penawaran bonus finansial palsu.

Untuk menghindari menjadi korban serangan phishing yang menyebarkan Bazar atau jenis malware lainnya, para peneliti merekomendasikan agar organisasi memberikan panduan kepada karyawan tentang cara mengidentifikasi dan melindungi diri dari serangan dan penipuan.

Sumber: ZDNet

Bug Windows Defender berusia 12 tahun memberi hak admin kepada peretas

by

Microsoft telah memperbaiki kerentanan eskalasi hak istimewa di Microsoft Defender Antivirus (sebelumnya Windows Defender) yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem Windows yang belum ditambal.

Peningkatan hak istimewa yang dilacak sebagai CVE-2021-24092 memengaruhi versi Defender sejak 2009, dan memengaruhi rilis klien dan server yang dimulai dengan Windows 7 dan yang lebih baru.

Aktor ancaman dengan hak pengguna dasar dapat mengeksploitasinya secara lokal, sebagai bagian dari serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan juga memengaruhi produk keamanan Microsoft lainnya termasuk namun tidak terbatas pada Microsoft Endpoint Protection, Microsoft Security Essentials, dan Microsoft System Center Endpoint Protection.

SentinelOne menemukan dan melaporkan kerentanan tersebut pada November 2020. Microsoft merilis patch pada hari Selasa, bersama dengan pembaruan keamanan lainnya yang diterbitkan sebagai bagian dari Patch pada Februari 2021 pada Selasa.

Kerentanan tersebut ditemukan di driver BTR.sys (juga dikenal sebagai Boot Time Removal Tool) yang digunakan selama proses perbaikan untuk menghapus file dan entri registri yang dibuat oleh malware pada sistem yang terinfeksi.

Versi Microsoft Malware Protection Engine terakhir yang terpengaruh oleh kerentanan ini adalah versi 1.1.17700.4. Versi pertama yang menangani bug adalah 1.1.17800.5.

Sistem yang ditambal terhadap kerentanan ini harus menjalankan Microsoft Malware Protection Engine versi 1.1.17800.5 atau yang lebih baru.

Sumber: Bleeping Computer

Microsoft mendesak pelanggan untuk menambal bug TCP/IP Windows yang kritis

by

Microsoft telah mendesak pelanggan hari ini untuk menginstal pembaruan keamanan untuk tiga kerentanan Windows TCP/IP yang dinilai sebagai kerentanan kritis dan tingkat keparahan tinggi sesegera mungkin.

Peringatan ini dikeluarkan karena risiko eksploitasi yang meningkat dan potensi serangan denial-of-service (DoS) yang dapat segera menargetkan bug ini.

Tiga kerentanan keamanan TCP/IP memengaruhi komputer yang menjalankan versi klien dan server Windows yang dimulai dengan Windows 7 dan yang lebih tinggi.

Mereka semua dapat dieksploitasi dari jarak jauh oleh penyerang dan dilacak sebagai CVE-2021-24074, CVE-2021-24094, dan CVE-2021-24086.

Dua di antaranya mengekspos sistem yang belum ditambal ke serangan eksekusi kode jarak jauh (RCE), sedangkan yang ketiga memungkinkan penyerang memicu status DoS, menjatuhkan perangkat yang ditargetkan.

Meskipun Microsoft mengatakan bahwa sangat penting untuk menerapkan pembaruan keamanan hari ini pada semua perangkat Windows secepat mungkin, perusahaan juga menyediakan solusi bagi mereka yang tidak dapat segera menerapkannya.

Redmond menyediakan solusi Internet Protocol versi 4 (IPv4) dan Internet Protocol versi 6 (IPv6) terpisah untuk masalah keamanan ini.

Solusi IPv4 memerlukan hardening terhadap penggunaan Sorce Routing, biasanya tidak diizinkan dalam keadaan default Windows.

Instruksi terperinci yang tersedia di peringatan CVE-2021-24074 dapat diterapkan baik melalui Kebijakan Grup atau dengan menjalankan perintah NETSH yang tidak memerlukan restart mesin yang ditambal.

Solusi IPv6 memerlukan pemblokiran fragmen IPv6 yang, sayangnya, dapat berdampak negatif pada layanan dengan dependensi IPv6 – info tentang cara menerapkannya tersedia di peringatan CVE-2021-24094 dan CVE-2021-24086.

Selengkapnya: Bleeping Computer

Microsoft Februari 2021 Patch Tuesday memperbaiki 56 bug, termasuk Windows zero-day

by

Microsoft telah merilis pembaruan keamanan bulanan, yang dikenal sebagai Patch Tuesday. Bulan ini, pembuat OS telah memperbaiki 56 kerentanan keamanan, termasuk bug Windows yang dieksploitasi di alam liar sebelum patch hari ini.

Dilacak sebagai CVE-2021-1732, Windows zero-day adalah peningkatan bug hak istimewa di Win32k, komponen inti dari sistem operasi Windows.

Bug itu dieksploitasi setelah penyerang memperoleh akses ke sistem Windows untuk mendapatkan akses level SISTEM.

Menurut laporan dari perusahaan keamanan China DBAPPSecurity, zero-day tersebut digunakan oleh aktor ancaman tingkat lanjut yang dikenal sebagai Bitter, dengan sejarah panjang serangan yang menargetkan organisasi dan pengguna Pakistan dan China.

DBAPPSecurity mengatakan exploit zero-day yang awalnya mereka deteksi telah dikompilasi pada Mei 2020 dan dirancang untuk menargetkan sistem operasi Windows10 1909 64-bit, tetapi tes selanjutnya mengungkapkan bahwa bug juga memengaruhi Windows10 20H2 64-bitsOS terbaru juga.

Secara total, enam bug produk Microsoft telah diposting detailnya secara online sebelum patch hari ini. Ini termasuk:

  • CVE-2021-1721 – .NET Core and Visual Studio Denial of Service Vulnerability
  • CVE-2021-1733 – Sysinternals PsExec Elevation of Privilege Vulnerability
  • CVE-2021-26701 – .NET Core Remote Code Execution Vulnerability
  • CVE-2021-1727 – Windows Installer Elevation of Privilege Vulnerability
  • CVE-2021-24098 – Windows Console Driver Denial of Service Vulnerability
  • CVE-2021-24106 – Windows DirectX Information Disclosure Vulnerability

Bulan ini, Microsoft juga telah merilis perbaikan untuk tiga kerentanan di TCP/IP stack Windows, yang memungkinkan sistem operasi untuk terhubung ke internet.

Dua dari bug ini (CVE-2021-24074, CVE-2021-24094) menerapkan perbaikan untuk kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk mengambil alih sistem Windows dari jarak jauh.

Selengkapnya: ZDNet

Google Chrome tidak lagi mendukung beberapa prosesor lama

by

Tim pengembang Chromium mengumumkan melalui dokumen kebijakan> bahwa dukungan akan dihentikan untuk CPU x86 lama yang tidak memenuhi minimal dukungan SSE3 (Supplemental Streaming SIMD Extensions 3), mulai dari Chrome 89.

Dampak yang diharapkan pada penggunaan Chrome diperkirakan sangat kecil, mengingat perangkat yang terpengaruh sebagian besar akan menjalankan prosesor pra-Intel Core 2 Duo. Karena sebagian besar prosesor pasca-2005 sudah mendukung SSE3, perangkat keras harus berusia di atas 15 tahun agar dapat terpengaruh oleh perubahan ini.

Windows akan menjadi satu-satunya sistem operasi yang terpengaruh oleh pengumuman ini karena Mac, Android, dan Chrome OS semuanya memerlukan dukungan SSE3 untuk beroperasi. Kemungkinan besar Microsoft Edge juga akan terpengaruh oleh penurunan dukungan ini, mengingat browser ini berbasis Chromium.

Dimulai dari Chrome 89, perangkat apa pun yang tidak memenuhi persyaratan CPU minimum yang baru tidak akan lagi mencoba memasang Chrome, dan menjalankan perangkat lunak itu sendiri akan mengakibatkan crash.

Perangkat apa pun yang akan terpengaruh oleh perubahan ini akan mulai menerima peringatan dari Chrome 87 yang memberi tahu pengguna bahwa dukungan untuk perangkat keras mereka akan segera berakhir.

Sumber: Tech Radar

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

by

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

by

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer