Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

by

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

by

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Microsoft Patch Tuesday Bulan Maret 2022 Memperbaiki 71 Kelemahan, 3 Zero Day

by

Microsoft telah merilis Patch Tuesday bulan MAret 2022, dan dengan itu datang perbaikan untuk 3 kerentanan zero-day dan total 71 kelemahan keamanan.

Microsoft telah memperbaiki 71 kerentanan (tidak termasuk 21 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Patch Tuesday bulan ini juga mencakup perbaikan untuk tiga kerentanan zero-day yang diungkapkan secara publik. Kabar baiknya adalah bahwa tidak satu pun dari kerentanan ini yang dieksploitasi secara aktif dalam serangan.

Kerentanan yang diungkapkan kepada publik yang diperbaiki sebagai bagian dari Patch Tuesday Maret 2022 adalah:

  • CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2022-24459 – Windows Fax and Scan Service Elevation of Privilege Vulnerability
  • CVE-2022-24512 – .NET and Visual Studio Remote Code Execution Vulnerability

Meskipun tidak satu pun dari kerentanan ini telah digunakan dalam serangan, Microsoft menyatakan bahwa ada eksploit proof-of-concept untuk CVE-2022-21990 dan CVE-2022-24459.

Kerentanan lain yang menarik bulan ini yang diyakini Microsoft lebih mungkin menjadi sasaran pelaku ancaman adalah:

  • CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
  • CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Selengkapnya: Bleeping Computer

Malware CryptBot yang diubah yang disebarkan oleh situs perangkat lunak bajakan

by

Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.

CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.

Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.

Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.

Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.

Beberapa situs web yang baru-baru ini digunakan untuk distribusi CryptoBot
Sumber: Ahn Lab

Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.

Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.

Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.

Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.

Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.

Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.

Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.

Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.

Perbandingan sistem penemuan pathname (kanan baru) – ASEC

Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.

Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.

Sumber : Bleeping Computer

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post