Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Peretas Menipu Pengguna dengan Unduhan Windows 11 Palsu untuk Mendistribusikan Malware Vidar

by

Domain palsu yang menyamar sebagai portal unduhan Microsoft Windows 11 mencoba mengelabui pengguna agar menyebarkan file instalasi trojan untuk menginfeksi sistem dengan malware pencuri informasi Vidar.

“Situs palsu dibuat untuk mendistribusikan file ISO berbahaya yang mengarah pada infeksi pencuri info Vidar di titik akhir,” kata Zscaler dalam sebuah laporan. “Varian malware Vidar ini mengambil konfigurasi C2 dari saluran media sosial yang dikendalikan penyerang yang dihosting di jaringan Telegram dan Mastodon.”

Beberapa domain vektor distribusi rogue yang didaftarkan pada 20 April bulan lalu, antara lain ms-win11[.]com, win11-serv[.]com, dan win11install[.]com, serta ms-teams-app[. ]net.

Selain itu, perusahaan keamanan siber memperingatkan bahwa aktor ancaman di balik kampanye peniruan identitas juga memanfaatkan versi pintu belakang Adobe Photoshop dan perangkat lunak sah lainnya seperti Microsoft Teams untuk mengirimkan malware Vidar.

File ISO, pada bagiannya, berisi file yang dapat dieksekusi yang berukuran luar biasa besar (lebih dari 300MB) dalam upaya untuk menghindari deteksi oleh solusi keamanan dan ditandatangani dengan sertifikat kedaluwarsa dari Avast yang kemungkinan dicuri setelah pelanggaran terakhir pada Oktober 2019.

Tetapi yang tertanam dalam biner 330MB adalah executable berukuran 3,3MB yang merupakan malware Vidar, dengan sisa konten file diisi dengan 0x10 byte untuk memperbesar ukuran secara artifisial.

Pada fase berikutnya dari rantai serangan, Vidar membuat koneksi ke server command-and-control (C2) jarak jauh untuk mengambil file DLL yang sah seperti sqlite3.dll dan vcruntime140.dll untuk menyedot data berharga dari sistem yang disusupi.

Selengkapnya: The Hacker News

NVIDIA memperbaiki sepuluh kerentanan di driver tampilan GPU Windows

by

NVIDIA telah merilis pembaruan keamanan untuk berbagai model kartu grafis, menangani 4 kerentanan tingkat tinggi dan 6 kerentanan tingkat menengah di driver GPU-nya.

Pembaruan keamanan memperbaiki kerentanan yang dapat menyebabkan penolakan layanan, pengungkapan informasi, peningkatan hak istimewa, eksekusi kode, dll.

Pembaruan telah tersedia untuk produk perangkat lunak Tesla, RTX/Quadro, NVS, Studio, dan GeForce, yang mencakup cabang driver R450, R470, dan R510.

CVE diperbaiki untuk setiap cabang driver (NVIDIA)

Menariknya, selain lini produk saat ini dan terbaru yang didukung secara aktif, rilis terbaru NVIDIA juga mencakup kartu seri GTX 600 dan GTX 700 Kepler, yang dukungannya berakhir pada Oktober 2021.

Pembuat GPU sebelumnya berjanji untuk terus memberikan pembaruan keamanan penting untuk produk ini hingga September 2024, dan pembaruan driver ini memenuhi janji itu.

Empat kelemahan tingkat tinggi yang diperbaiki bulan ini adalah:

  • CVE-2022-28181 (Skor CVSS v3: 8.5) – Penulisan di luar batas di lapisan mode kernel yang disebabkan oleh shader yang dibuat khusus yang dikirim melalui jaringan, berpotensi mengarah pada eksekusi kode, penolakan layanan, peningkatan hak istimewa, informasi pengungkapan, dan manipulasi data.
  • CVE-2022-28182 (CVSS v3 skor: 8.5) – Cacat dalam driver mode pengguna DirectX11 yang memungkinkan penyerang yang tidak sah untuk mengirim berbagi yang dibuat khusus melalui jaringan dan menyebabkan penolakan layanan, peningkatan hak istimewa, pengungkapan informasi, dan gangguan data.
  • CVE-2022-28183 (CVSS v3 skor: 7.7) – Kerentanan di lapisan mode kernel, di mana pengguna biasa yang tidak memiliki hak dapat menyebabkan pembacaan di luar batas, yang dapat menyebabkan penolakan layanan dan pengungkapan informasi.
  • CVE-2022-28184 (skor CVSS v3: 7.1) – Kerentanan dalam pengendali lapisan mode kernel (nvlddmkm.sys) untuk DxgkDdiEscape, di mana pengguna biasa yang tidak memiliki hak dapat mengakses register yang memiliki hak istimewa administrator, yang dapat menyebabkan penolakan layanan, pengungkapan informasi , dan gangguan data.

    • Kerentanan ini memerlukan hak istimewa yang rendah dan tidak ada interaksi pengguna, sehingga mereka dapat dimasukkan ke dalam malware, memungkinkan penyerang untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.

    Dua yang pertama dapat dieksploitasi melalui jaringan, sementara dua lainnya dieksploitasi dengan akses lokal, yang masih dapat membantu malware yang menginfeksi sistem dengan hak istimewa rendah.

    Cisco Talos, yang menemukan CVE-2022-28181 dan CVE-2022-28182, juga telah menerbitkan posting hari ini yang merinci bagaimana mereka memicu kelemahan korupsi memori dengan memasok shader komputasi yang salah.

    Karena pelaku ancaman dapat menggunakan shader berbahaya di browser oleh WebAssembly dan WebGL, Talos memperingatkan bahwa pelaku ancaman mungkin dapat memicu ini dari jarak jauh.

    “File executable/shader yang dibuat khusus dapat menyebabkan kerusakan memori. Kerentanan ini berpotensi dipicu dari mesin tamu yang menjalankan lingkungan virtualisasi (yaitu VMware, qemu, VirtualBox, dll.) untuk melakukan pelarian tamu-ke-host. Secara teoritis ini Kerentanan juga bisa dipicu dari browser web menggunakan webGL dan webassembly,” jelas Talos tentang CVE-2022-28181.

    Semua pengguna disarankan untuk menerapkan pembaruan keamanan yang dirilis sesegera mungkin. Pengguna dapat mengunduh driver terbaru untuk model GPU mereka dari bagian pusat unduhan NVIDIA, di mana mereka dapat memilih produk dan OS tertentu yang mereka gunakan.

    Pembaruan juga dapat diterapkan melalui rangkaian GeForce Experience NVIDIA.

    Namun, jika Anda tidak secara khusus memerlukan perangkat lunak untuk menyimpan profil game atau menggunakan fitur streaming, kami sarankan untuk tidak menggunakannya karena menimbulkan risiko keamanan yang tidak perlu dan penggunaan sumber daya.

    Sumber: Bleeping Computer

    Nvidia

Beberapa versi Windows tidak lagi didukung setelah hari ini

by

Hari ini Windows 10 Home dan Pro, versi 20H2, Windows 10 versi 20H2 akan mendapatkan pembaruan terakhirnya,

Hal yang menyenangkan adalah bahwa itu akan menjadi pembaruan yang mudah. Dalam 18 bulan sejak siklus hidup untuk Windows 10 versi 20H2 dimulai, belum ada pembaruan fitur lengkap. Upgrade ke versi 21H2 hanya membutuhkan waktu beberapa menit, karena hanya menginstal paket pemberdayaan.

Cara siklus hidup Windows 10 secara historis bekerja adalah jika Anda adalah konsumen di Windows 10 Home atau Pro, Anda mendapatkan dukungan selama 18 bulan. Bisnis akan mendapatkan 18 bulan dukungan dari pembaruan musim semi dan 30 bulan dari pembaruan musim gugur.

Windows 10 Enterprise and Education, versi 1909
Windows 10 versi 1909 adalah salah satu yang mendapat dukungan 30 bulan untuk bisnis, dan itu berakhir hari ini. Ini sebenarnya tonggak penting, karena itu berarti bahwa semua versi yang didukung untuk Windows 10 Enterprise dan Education akan menjadi versi 20H2 dan lebih tinggi. Itu berarti bahwa hanya akan ada satu pembaruan kumulatif yang keluar, karena versi 20H2 dan lebih tinggi semuanya adalah bit yang sama persis, hanya dipisahkan oleh paket pengaktifan.

Baru-baru ini, Microsoft beralih ke irama pembaruan tahunan untuk Windows 10, cocok dengan apa yang sudah diperkenalkan dengan Windows 11. Namun, siklus hidup dukungannya berbeda. Pembaruan musim gugur Windows 10, yang akan terus berlanjut, akan terus mendapatkan dukungan selama 18 bulan untuk konsumen dan 30 bulan untuk bisnis. Sementara itu, pembaruan tahunan untuk Windows 11 sebenarnya mendapatkan 24 bulan untuk konsumen dan 36 bulan untuk bisnis.

Versi 20H2 Windows 10 Home dan Windows 10 Pro, dan versi 1909 Windows 10 Education dan Windows 10 Enterprise, akan mendapatkan pembaruan terakhir mereka hari ini. Windows 10 akan didukung dalam satu atau lain bentuk hingga setidaknya Oktober 2025.

Sumber : XDA

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

  • CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
  • CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Peneliti Memperingatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

by

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat removable USB.

Malware tersebut dikaitkan ke cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Windows Installer untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas malware tersebut dikatakan terjadi pada September 2021, dengan infeksi pada organisasi di sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Isi dari drive USB tersebut adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Kemudian, worm akan menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Hal ini diikuti dengan mengeksekusi explorer.exe dan msiexec.exe, yang kemudian akan digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan command-and-control (C2) dan untuk mengunduh dan menginstal file library DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati User Access Control (UAC).

Selain itu, temuan lain yang terdeteksi pada seluruh Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Hal tersebut berarti, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun persistence pada sistem yang terinfeksi.”

Selengkapnya: The Hacker News

Malware Emotet sekarang diinstal melalui PowerShell di file pintasan Windows

by

Botnet Emotet sekarang menggunakan file pintasan Windows (.LNK) yang berisi perintah PowerShell untuk menginfeksi komputer korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default.

Penggunaan file .LNK bukanlah hal baru, karena geng Emotet sebelumnya menggunakannya dalam kombinasi dengan kode Visual Basic Script (VBS) untuk membuat perintah yang mengunduh payload. Namun, ini adalah pertama kalinya mereka menggunakan pintasan Windows untuk menjalankan perintah PowerShell secara langsung.

Jumat lalu, operator Emotet menghentikan kampanye phishing karena mereka merusak penginstal mereka setelah menggunakan nama file statis untuk merujuk pintasan .LNK yang berbahaya.

Meluncurkan pintasan akan memicu perintah yang mengekstrak string kode VBS dan menambahkannya ke file VBS untuk dieksekusi.

Namun, karena file pintasan terdistribusi memiliki nama yang berbeda dari nama statis yang mereka cari, file VBS akan gagal dibuat dengan benar. Geng memperbaiki masalah kemarin.

Hari ini, peneliti keamanan memperhatikan bahwa Emotet beralih ke teknik baru yang menggunakan perintah PowerShell yang dilampirkan ke file LNK untuk mengunduh dan menjalankan skrip di komputer yang terinfeksi.

String berbahaya yang ditambahkan ke file .LNK dikaburkan dan diisi dengan nol (spasi kosong) sehingga tidak ditampilkan di bidang target (file yang ditunjuk pintasan) dari kotak dialog properti file.

sumber: BleepingComputer

File .LNK berbahaya Emotet menyertakan URL untuk beberapa situs web yang disusupi yang digunakan untuk menyimpan muatan skrip PowerShell. Jika skrip ada di salah satu lokasi yang ditentukan, skrip diunduh ke folder sementara sistem sebagai skrip PowerShell dengan nama acak.

Di bawah ini adalah versi deobfuscate dari string berbahaya Emotet yang dilampirkan ke payload .LNK:

sumber: BleepingComputer

Skrip ini menghasilkan dan meluncurkan skrip PowerShell lain yang mengunduh malware Emotet dari daftar situs yang disusupi dan menyimpannya ke folder %Temp%. DLL yang diunduh kemudian dieksekusi menggunakan perintah regsvr32.exe.

Eksekusi skrip PowerShell dilakukan menggunakan utilitas baris perintah Regsvr32.exe dan diakhiri dengan mengunduh dan meluncurkan malware Emotet.

Kelompok peneliti Cryptolaemus, yang memantau secara dekat aktivitas Emotet, mencatat bahwa teknik baru ini merupakan upaya yang jelas dari aktor ancaman untuk melewati pertahanan dan deteksi otomatis.

Peneliti keamanan di perusahaan keamanan siber ESET juga memperhatikan bahwa penggunaan teknik Emotet baru telah meningkat dalam 24 jam terakhir.

sumber: ESET

Data telemetri ESET menunjukkan bahwa negara-negara yang paling terpengaruh oleh Emotet melalui teknik baru ini adalah Meksiko, Italia, Jepang, Turki, dan Kanada.

Selain beralih ke PowerShell dalam file .LNK, operator botnet Emotet telah membuat beberapa perubahan lain sejak mereka melanjutkan aktivitas ke tingkat yang lebih stabil pada bulan November, seperti pindah ke modul 64-bit.

Sumber: Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

by

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

Penyelidikan lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Selengapnya: Bleeping Computer