Zero Day

SonicWall zero-day dieksploitasi di alam liar

February 2, 2021 by Mally

Perusahaan keamanan siber NCC Group mengatakan pada hari Minggu bahwa mereka mendeteksi upaya eksploitasi aktif terhadap kerentanan zero-day di perangkat jaringan SonicWall.

Rincian tentang sifat kerentanan belum dipublikasikan untuk mencegah pelaku ancaman lainnya mempelajarinya dan meluncurkan serangan mereka sendiri.

Peneliti NCC mengatakan mereka memberi tahu SonicWall tentang bug dan serangan tersebut selama akhir pekan.

Para peneliti percaya mereka mengidentifikasi kerentanan zero-day yang sama yang digunakan aktor ancaman misterius untuk mendapatkan akses ke jaringan internal SonicWall sendiri dalam pelanggaran keamanan yang diungkapkan perusahaan pada 23 Januari.

Menanggapi permintaan di Twitter untuk membagikan lebih banyak detail mengenai serangan tersebut sehingga pakar keamanan dapat melindungi pelanggan mereka, tim NCC merekomendasikan agar pemilik perangkat membatasi alamat IP mana yang diizinkan untuk mengakses antarmuka manajemen perangkat SonicWall hanya ke IP personel yang berwenang.

Mereka juga merekomendasikan mengaktifkan dukungan otentikasi multi-faktor (MFA) untuk akun perangkat SonicWall.

Sumber: ZDNet

Bug Windows 10 dapat merusak hard drive Anda saat melihat ikon file ini

January 15, 2021 by Mally

Zero-day yang belum ditambal di Microsoft Windows 10 memungkinkan penyerang merusak hard drive berformat NTFS dengan perintah satu baris.

Dalam beberapa pengujian oleh BleepingComputer, perintah satu baris ini dapat dikirimkan secara tersembunyi di dalam file shortcut Windows, arsip ZIP, file batch, atau berbagai vektor lainnya untuk memicu kesalahan hard drive yang merusak indeks sistem file secara instan.

Peneliti infosec Jonas L menarik perhatian mengenai adanya kerentanan NTFS yang memengaruhi Windows 10 yang belum diperbaiki.

Ketika dieksploitasi, kerentanan ini dapat dipicu oleh satu baris perintah untuk langsung merusak hard drive berformat NTFS, dengan Windows meminta pengguna untuk me-restart komputer mereka untuk memperbaiki record disk yang rusak.

Peneliti memberi tahu BleepingComputer bahwa cacat tersebut dapat dieksploitasi mulai sekitar Windows 10 build 1803, Pembaruan Windows 10 April 2018, dan terus berfungsi di versi terbaru.

Yang lebih buruk adalah, kerentanan ini dapat dipicu oleh akun pengguna standar dan dengan hak istimewa rendah pada sistem Windows 10.

Drive dapat rusak hanya dengan mencoba mengakses atribut $i30 NTFS pada folder dengan cara tertentu.

Tidak jelas mengapa mengakses atribut ini merusak drive, dan Jonas memberi tahu BleepingComputer bahwa kunci Registry yang akan membantu mendiagnosis masalah tidak berfungsi.

Satu temuan mencolok yang dibagikan oleh Jonas kepada BleepingComputer adalah bahwa file pintasan Windows buatan (.url) yang lokasi ikonnya disetel ke C:\:$i30:$ bitmap akan memicu kerentanan bahkan jika pengguna tidak pernah membuka file!

Segera setelah file pintasan ini diunduh pada PC Windows 10, dan pengguna melihat foldernya, Windows Explorer akan mencoba menampilkan ikon file.

Untuk melakukan ini, Windows Explorer akan mencoba mengakses jalur ikon yang dibuat di dalam file di latar belakang, sehingga merusak hard drive NTFS dalam prosesnya.

Video demonstrasi dan artikel lebih lengkapnya dapat diakses melalui tautan berikut:

Sumber: Bleeping Computer

Google mengungkapkan operasi peretasan Windows dan Android yang canggih

January 13, 2021 by Mally

Google telah menerbitkan laporan enam bagian yang merinci operasi peretasan canggih yang terdeteksi oleh perusahaan tersebut pada awal 2020 dan yang menargetkan pemilik perangkat Android dan Windows.

Serangan itu dilakukan melalui dua server exploit yang memberikan rantai eksploitasi yang berbeda melalui serangan watering hole, kata Google.

“Satu server menargetkan pengguna Windows, yang lainnya menargetkan Android,” Project Zero, salah satu tim keamanan Google, mengatakan dalam posting pertama dari enam posting blog.

Google mengatakan bahwa kedua server exploit menggunakan kerentanan Google Chrome untuk mendapatkan pijakan awal pada perangkat korban. Setelah titik masuk awal dibuat di browser pengguna, penyerang menyebarkan exploit tingkat OS untuk mendapatkan kontrol lebih besar atas perangkat korban.

Rantai eksploitasi mencakup kombinasi kerentanan zero-day dan n-day.

Empat zero-day, yang semuanya ditambal pada musim semi 2020, adalah sebagai berikut:

CVE-2020-6418 – Kerentanan Chrome di TurboFan (diperbaiki pada Februari 2020)
CVE-2020-0938 – Kerentanan Font di Windows (diperbaiki pada April 2020)
CVE-2020-1020 – Kerentanan Font di Windows (diperbaiki pada April 2020)
CVE-2020-1027 – Kerentanan CSRSS Windows (diperbaiki pada April 2020)

“Rantai eksploitasi ini dibuat dengan baik, kode yang kompleks dengan berbagai metode eksploitasi baru, logging yang matang, teknik pasca-eksploitasi yang canggih dan diperhitungkan, serta pemeriksaan anti-analisis dan penargetan dalam jumlah besar,” kata Google.

Sumber: ZDNet

Kerentanan zero-day Windows PsExec mendapat micropatch gratis

January 8, 2021 by Mally

Micropatch gratis yang memperbaiki kerentanan local privilege escalation (LPE) di alat manajemen Microsoft Windows PsExec sekarang tersedia melalui platform 0patch.

PsExec adalah pengganti telnet yang sepenuhnya interaktif yang memungkinkan admin sistem menjalankan program pada sistem jarak jauh. Alat PsExec juga diintegrasikan dan digunakan oleh alat perusahaan untuk meluncurkan file executable dari jarak jauh di komputer lain.

Zero-day PsExec ini disebabkan oleh kerentanan named pipe hijacking (juga dikenal sebagai named pipe squatting) yang memungkinkan penyerang mengelabui PsExec agar membuka kembali named pipe yang dibuat dengan jahat dan memberinya izin Sistem Lokal.

Setelah berhasil mengeksploitasi bug, pelaku ancaman akan dapat menjalankan proses sewenang-wenang sebagai Sistem Lokal yang secara efektif memungkinkan mereka untuk mengambil alih mesin.

Peneliti malware Tenable, David Wells, menemukan kerentanan tersebut dan mengungkapkannya kepada publik pada 9 Desember 2020, 90 hari setelah memberitahu Microsoft dan mereka gagal untuk menambal bug tersebut.

Saat meneliti kerentanan dan membuat bukti konsep, Wells dapat mengonfirmasi bahwa zero-say memengaruhi beberapa versi Windows dari Windows XP hingga Windows 10.

Di bawah ini adalah demo video yang menunjukkan bagaimana micropatch yang dirilis oleh 0patch mencegah eksploitasi zero-day ini pada sistem Windows yang menjalankan PsExec.

Sumber: Bleeping Computer

Plugin Zero-day di WordPress SMTP disalahgunakan untuk mengatur ulang kata sandi akun admin

December 14, 2020 by Mally

Peretas menyetel ulang kata sandi untuk akun admin di situs WordPress menggunakan kerentanan zero-day di plugin WordPress populer yang dipasang di lebih dari 500.000 situs.

Zero-day digunakan dalam serangan selama beberapa minggu terakhir dan diperbaiki pada hari Senin.

Ini berdampak pada Easy WP SMTP, sebuah plugin yang memungkinkan pemilik situs mengonfigurasi pengaturan SMTP untuk email keluar situs web mereka.

Menurut tim di Ninja Technologies Network (NinTechNet), Easy WP SMTP 1.4.2 dan versi plugin yang lebih lama berisi fitur yang membuat debug log untuk semua email yang dikirim oleh situs, yang kemudian disimpan di folder instalasinya.

“Folder plugin tidak memiliki file index.html, oleh karena itu, pada server yang mengaktifkan directory listing, peretas dapat menemukan dan melihat log,” kata Jerome Bruandet dari NinTechNet.

Bruandet mengatakan bahwa di situs yang menjalankan versi rentan dari plugin ini, peretas telah melakukan serangan otomatis untuk mengidentifikasi akun admin dan kemudian mengatur ulang kata sandi.

Karena pengaturan ulang kata sandi melibatkan pengiriman email dengan tautan pengaturan ulang kata sandi ke akun admin, email ini juga dicatat di debug log Easy WP SMTP.

Yang harus dilakukan penyerang adalah mengakses debug log setelah mengatur ulang kata sandi, mengambil tautan, dan mengambil alih akun admin situs.

Versi di mana bug ini diperbaiki adalah Easy WP SMTP 1.4.4, menurut changelog plugin.

Sumber: ZDNet

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

November 26, 2020 by Mally

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet

Google menambal dua lagi zero day Chrome

November 12, 2020 by Mally

Google hari ini telah merilis Chrome versi 86.0.4240.198 untuk menambal dua kerentanan zero-day yang dieksploitasi di alam liar.

Kedua bug ini menandai zero-day keempat dan kelima yang telah ditambal Google di Chrome selama tiga minggu terakhir. Sebelumnya Google menambal kerentanan CVE-2020-15999, CVE-2020-16009, CVE-2020-16010.

Perbedaannya kali ini adalah bahwa sementara tiga zero-day pertama ditemukan secara internal oleh peneliti keamanan Google, dua zero-day baru ini menjadi perhatian Google setelah mendapat tip dari sumber anonim.

Menurut changelog Chrome 86.0.4240.198, dua zero-day dilacak dan dijelaskan sebagai berikut:

CVE-2020-16013 – Dideskripsikan sebagai “penerapan yang tidak tepat di V8”, dimana V8 adalah komponen Chrome yang menangani kode JavaScript.
CVE-2020-16017 – Dijelaskan sebagai bug kerusakan memori “use after free” pada Site Isolation, komponen Chrome yang mengisolasi setiap data situs satu sama lain.

Meskipun tidak jelas tingkat bahayanya bagi pengguna biasa, pengguna Chrome masih disarankan untuk memperbarui ke versi 86.0.4240.198 melalui fungsi pembaruan bawaan browser sesegera mungkin.

Source: ZDNet

Microsoft November 2020 Patch Tuesday tiba dengan perbaikan untuk Windows zero-day

November 11, 2020 by Mally

Microsoft merilis roll-up patch keamanan bulanan yang dikenal sebagai Patch Tuesday hari ini.

Bulan ini, Microsoft memperbaiki 112 bug keamanan di berbagai produk, dari Microsoft Edge hingga Windows WalletService. Tambalan bulan ini juga menyertakan perbaikan untuk kerentanan zero-day Windows yang dieksploitasi secara aktif.

Dilacak sebagai CVE-2020-17087, zero-day diungkapkan pada 30 Oktober oleh tim keamanan Google Project Zero dan TAG. Google mengatakan kerentanan ini sedang dieksploitasi bersama dengan Chrome zero-day untuk menargetkan pengguna Windows 7 dan Windows 10.

Penyerang akan menggunakan zero-day Chrome untuk menjalankan kode berbahaya di dalam Chrome dan kemudian menggunakan zero-day Windows untuk keluar dari sandbox keamanan Chrome dan meningkatkan hak istimewa kode untuk menyerang OS yang mendasarinya.

Menurut penasihat keamanan Microsoft untuk CVE-2020-17087, zero-day terletak pada kernel Windows dan memengaruhi semua versi OS Windows yang saat ini didukung. Ini termasuk semua versi setelah Windows 7, dan semua distribusi Windows Server.

Selain zero-day Windows, ada 111 kerentanan lain yang perlu ditambal juga, termasuk 24 bug yang memungkinkan serangan remote code execution (RCE) di aplikasi seperti Excel, Microsoft Sharepoint, Microsoft Exchange Server, Jaringan Windows Sistem File, komponen Windows GDI +, layanan spooler pencetakan Windows, dan bahkan di Microsoft Teams.

Meskipun sesegera mungkin menginstal patch adalah pendekatan yang aman bagi sebagian besar pengguna, administrator sistem dari jaringan besar disarankan untuk menguji patch tersebut sebelum diterapkan secara menyeluruh untuk menghindari bug atau perubahan yang merusak sistem internal.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings