Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Windows

Windows

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Bug Agen McAfee memungkinkan peretas menjalankan kode dengan hak istimewa SISTEM Windows

by

McAfee Enterprise telah menambal kerentanan keamanan yang ditemukan dalam perangkat lunak Agen McAfee perusahaan untuk Windows yang memungkinkan penyerang meningkatkan hak istimewa dan mengeksekusi kode arbitrer dengan hak istimewa SISTEM.

Perusahaan telah memperbaiki kelemahan eskalasi hak istimewa lokal (LPE) tingkat keparahan tinggi yang dilacak sebagai CVE-2022-0166 dan ditemukan oleh analis kerentanan CERT/CC Will Dormann mengeluarkan pembaruan keamanan dengan merilis McAfee Agent 5.7.5 pada 18 Januari.

Semua versi Agen McAfee sebelum 5.7.5 rentan dan memungkinkan penyerang yang tidak memiliki hak untuk menjalankan kode menggunakan hak akun NT AUTHORITY\SYSTEM, tingkat hak istimewa tertinggi pada sistem Windows, yang digunakan oleh OS dan layanan OS.

“Agen McAfee berisi layanan istimewa yang menggunakan komponen OpenSSL ini. Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus pada jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Setelah eksploitasi yang berhasil, pelaku ancaman dapat terus-menerus mengeksekusi muatan berbahaya dan berpotensi menghindari deteksi selama serangan.

Meskipun hanya dapat dieksploitasi secara lokal, pelaku ancaman biasanya mengeksploitasi jenis kelemahan keamanan ini selama tahap serangan selanjutnya, setelah menyusup ke mesin target untuk meningkatkan izin guna mendapatkan kegigihan dan lebih lanjut membahayakan sistem.

Ini bukan pertama kalinya peneliti keamanan menemukan kerentanan saat menganalisis produk keamanan Windows McAfee.

Misalnya, pada September 2021, perusahaan menambal bug eskalasi hak istimewa Agen McAfee lainnya (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin yang memungkinkan pengguna lokal untuk mengeksekusi kode arbitrer dan mematikan antivirus.

Dua tahun sebelumnya, McAfee memperbaiki kerentanan keamanan yang memengaruhi semua edisi perangkat lunak Antivirus untuk Windows (yaitu, Perlindungan Total, Anti-Virus Plus, dan Keamanan Internet) dan memungkinkan penyerang potensial untuk meningkatkan hak istimewa dan mengeksekusi kode dengan otoritas akun SISTEM.

Sumber : Bleeping Computer

Magniber ransomware menggunakan file APPX yang ditandatangani untuk menginfeksi sistem

by

Ransomware Magniber menggunakan file paket aplikasi Windows (.APPX) yang ditandatangani dengan sertifikat yang valid untuk menghapus malware yang berpura-pura sebagai pembaruan browser web Chrome dan Edge.

Metode distribusi ini menandai pergeseran dari pendekatan sebelumnya yang terlihat dengan aktor ancaman ini, yang biasanya bergantung pada eksploitasi kerentanan Internet Explorer.

Infeksi dimulai dengan mengunjungi situs web yang menjatuhkan muatan, para peneliti di perusahaan keamanan siber AhnLab mencatat dalam sebuah laporan yang diterbitkan hari ini.

Dua dari URL yang mendistribusikan payload adalah “hxxp://b5305c364336bqd.bytesoh.cam”, dan “hxxp://hadhill.quest/376s53290a9n2j”, tetapi ini mungkin bukan satu-satunya.

Pengunjung situs ini menerima peringatan untuk memperbarui browser Edge/Chrome mereka secara manual, dan ditawari file APPX untuk menyelesaikan tindakan.

Peringatan untuk mengunduh pembaruan Edge palsu
Sumber: ASEC

Dalam kasus ransomware Magniber, file APPX yang disamarkan ditandatangani secara digital dengan sertifikat yang valid, sehingga Windows melihatnya sebagai file tepercaya yang tidak memicu peringatan.

DLL code part responsible for downloading and decoding the payload
Source: ASEC

File-file ini menjalankan fungsi yang mengambil muatan ransomware Magniber, mendekodekannya, dan kemudian menjalankannya. Setelah mengenkripsi data pada sistem, ancaman membuat catatan tebusan berikut:

Magniber ransom note dropped onto encrypted systems
Source: ASEC

Meskipun catatan dalam bahasa Inggris, perlu dicatat bahwa ransomware Magniber menargetkan pengguna Asia secara eksklusif akhir-akhir ini. Saat ini tidak ada kemungkinan untuk mendekripsi file yang dikunci oleh malware ini secara gratis.

Tidak seperti kebanyakan operasi ransomware, Magniber tidak mengadopsi taktik pemerasan ganda, sehingga tidak mencuri file sebelum mengenkripsi sistem.

Mencadangkan data secara teratur adalah solusi yang baik untuk memulihkan dari serangan dengan ransomware tingkat rendah seperti Magniber.

Sumber : Bleeping Computer

Backdoor Baru SysJoker Menargetkan Windows, macOS, dan Linux

by

Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.

Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.

Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.

Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.

Joker yang tidak suka menarik perhatian

Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.

Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:

  • mengambil SysJoker ZIP dari repositori GitHub,
  • unzip pada “C:ProgramDataRecoverySystem”,
  • mengeksekusi payload.

Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.

File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.

Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.

Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.

Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.

Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.

Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.

Deteksi dan pencegahan

Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.

Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.

Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.

Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).

Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.

Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:

https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:

  • Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
  • Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
  • Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.

Sumber: Bleepingcomputer

Microsoft: Kerentanan HTTP Windows kritis baru dapat di-worm

by

Microsoft telah menambal kelemahan kritis yang ditandai sebagai wormable dan ditemukan berdampak pada desktop dan server versi Windows terbaru, termasuk Windows 11 dan Windows Server 2022.

Bug, dilacak sebagai CVE-2022-21907 dan ditambal selama Patch Tuesday bulan ini, ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol untuk memproses permintaan HTTP oleh server web Windows Internet Information Services (IIS). .

Eksploitasi yang berhasil memerlukan pelaku ancaman untuk mengirim paket yang dibuat dengan jahat ke server Windows yang ditargetkan, yang menggunakan HTTP Protocol Stack yang rentan untuk memproses paket.

Microsoft merekomendasikan pengguna untuk memprioritaskan penambalan kelemahan ini pada semua server yang terpengaruh karena ini dapat memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah dan “dalam kebanyakan situasi,” tanpa memerlukan interaksi pengguna.

Pada beberapa versi Windows (yaitu, Windows Server 2019 dan Windows 10 versi 1809), fitur Dukungan Trailer HTTP yang berisi bug tidak diaktifkan secara default.

Menurut Microsoft, kunci registri Windows berikut harus dikonfigurasi pada dua versi Windows ini untuk memperkenalkan kerentanan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

“EnableTrailerSupport”=dword:00000001

Menonaktifkan fitur Dukungan Trailer HTTP akan melindungi sistem yang menjalankan dua versi, tetapi mitigasi ini tidak berlaku untuk rilis Windows lain yang terpengaruh.

Dalam dua tahun terakhir, Microsoft telah menambal beberapa bug wormable lainnya, berdampak pada Windows DNS Server (juga dikenal sebagai SIGRed), platform Remote Desktop Services (RDS) (alias BlueKeep), dan protokol Server Message Block v3 (alias SMBGhost) .

Redmond juga mengatasi kerentanan Windows HTTP RCE lainnya pada Mei 2021 (dilacak sebagai CVE-2021-31166 dan juga ditandai sebagai wormable), di mana peneliti keamanan merilis kode eksploitasi demo yang dapat memicu layar biru kematian.

Namun, pelaku ancaman belum mengeksploitasinya untuk membuat malware yang dapat menginfeksi yang mampu menyebar di antara sistem rentan yang menjalankan perangkat lunak Windows yang rentan.

Sumber : Bleeping Computer