Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

by

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Kelompok peretas juga menggunakan IE zero-day melawan peneliti keamanan

by

Kerentanan Internet Explorer zero-day telah ditemukan digunakan dalam serangan Korea Utara baru-baru ini terhadap peneliti keamanan dan kerentanan.

Bulan lalu, Google mengungkapkan bahwa kelompok peretas yang disponsori negara Korea Utara yang dikenal sebagai Lazarus sedang melakukan serangan rekayasa sosial terhadap peneliti keamanan.

Untuk melakukan serangan mereka, para pelaku ancaman menciptakan persona ‘peneliti keamanan’ online yang rumit yang kemudian akan menggunakan media sosial untuk menghubungi peneliti keamanan terkenal untuk berkolaborasi dalam pengembangan kerentanan dan eksploitasi.

Sebagai bagian dari kolaborasi ini, para penyerang mengirim Proyek Visual Studio berbahaya dan tautan ke situs web yang menghosting alat eksploitasi yang akan memasang backdoor di komputer peneliti.

Hari ini, firma keamanan siber Korea Selatan ENKI melaporkan bahwa Lazarus menargetkan peneliti keamanan di tim mereka dengan file MHTML dalam kampanye rekayasa sosial ini.

Sementara mereka menyatakan bahwa serangan tersebut gagal, mereka menganalisis muatan yang diunduh oleh file MHT dan menemukan bahwa itu berisi eksploitasi untuk kerentanan zero-day Internet Explorer.

File MHT yang dikirim ke peneliti ENKI berisi apa yang diduga eksploitasi Chrome 85 RCE dan diberi nama ‘Chrome_85_RCE_Full_Exploit_Code.mht.’

Saat file MHT/MHTML dibuka, Internet Explorer secara otomatis diluncurkan untuk menampilkan konten file MHT. Jika eksekusi skrip diizinkan, ENKI mengatakan bahwa javascript berbahaya akan mengunduh dua muatan, dengan satu muatan mengandung zero-day melawan Internet Explorer.

Selengkapnya: Bleeping Computer

SonicWall zero-day dieksploitasi di alam liar

by

Perusahaan keamanan siber NCC Group mengatakan pada hari Minggu bahwa mereka mendeteksi upaya eksploitasi aktif terhadap kerentanan zero-day di perangkat jaringan SonicWall.

Rincian tentang sifat kerentanan belum dipublikasikan untuk mencegah pelaku ancaman lainnya mempelajarinya dan meluncurkan serangan mereka sendiri.

Peneliti NCC mengatakan mereka memberi tahu SonicWall tentang bug dan serangan tersebut selama akhir pekan.

Para peneliti percaya mereka mengidentifikasi kerentanan zero-day yang sama yang digunakan aktor ancaman misterius untuk mendapatkan akses ke jaringan internal SonicWall sendiri dalam pelanggaran keamanan yang diungkapkan perusahaan pada 23 Januari.

Menanggapi permintaan di Twitter untuk membagikan lebih banyak detail mengenai serangan tersebut sehingga pakar keamanan dapat melindungi pelanggan mereka, tim NCC merekomendasikan agar pemilik perangkat membatasi alamat IP mana yang diizinkan untuk mengakses antarmuka manajemen perangkat SonicWall hanya ke IP personel yang berwenang.

Mereka juga merekomendasikan mengaktifkan dukungan otentikasi multi-faktor (MFA) untuk akun perangkat SonicWall.

Sumber: ZDNet

Bug Windows 10 dapat merusak hard drive Anda saat melihat ikon file ini

by

Zero-day yang belum ditambal di Microsoft Windows 10 memungkinkan penyerang merusak hard drive berformat NTFS dengan perintah satu baris.

Dalam beberapa pengujian oleh BleepingComputer, perintah satu baris ini dapat dikirimkan secara tersembunyi di dalam file shortcut Windows, arsip ZIP, file batch, atau berbagai vektor lainnya untuk memicu kesalahan hard drive yang merusak indeks sistem file secara instan.

Peneliti infosec Jonas L menarik perhatian mengenai adanya kerentanan NTFS yang memengaruhi Windows 10 yang belum diperbaiki.

Ketika dieksploitasi, kerentanan ini dapat dipicu oleh satu baris perintah untuk langsung merusak hard drive berformat NTFS, dengan Windows meminta pengguna untuk me-restart komputer mereka untuk memperbaiki record disk yang rusak.

Peneliti memberi tahu BleepingComputer bahwa cacat tersebut dapat dieksploitasi mulai sekitar Windows 10 build 1803, Pembaruan Windows 10 April 2018, dan terus berfungsi di versi terbaru.

Yang lebih buruk adalah, kerentanan ini dapat dipicu oleh akun pengguna standar dan dengan hak istimewa rendah pada sistem Windows 10.

Drive dapat rusak hanya dengan mencoba mengakses atribut $i30 NTFS pada folder dengan cara tertentu.

Tidak jelas mengapa mengakses atribut ini merusak drive, dan Jonas memberi tahu BleepingComputer bahwa kunci Registry yang akan membantu mendiagnosis masalah tidak berfungsi.

Satu temuan mencolok yang dibagikan oleh Jonas kepada BleepingComputer adalah bahwa file pintasan Windows buatan (.url) yang lokasi ikonnya disetel ke C:\:$i30:$ bitmap akan memicu kerentanan bahkan jika pengguna tidak pernah membuka file!

Segera setelah file pintasan ini diunduh pada PC Windows 10, dan pengguna melihat foldernya, Windows Explorer akan mencoba menampilkan ikon file.

Untuk melakukan ini, Windows Explorer akan mencoba mengakses jalur ikon yang dibuat di dalam file di latar belakang, sehingga merusak hard drive NTFS dalam prosesnya.

Video demonstrasi dan artikel lebih lengkapnya dapat diakses melalui tautan berikut:

Sumber: Bleeping Computer

Google mengungkapkan operasi peretasan Windows dan Android yang canggih

by

Sumber: Google Project Zero

Google telah menerbitkan laporan enam bagian yang merinci operasi peretasan canggih yang terdeteksi oleh perusahaan tersebut pada awal 2020 dan yang menargetkan pemilik perangkat Android dan Windows.

Serangan itu dilakukan melalui dua server exploit yang memberikan rantai eksploitasi yang berbeda melalui serangan watering hole, kata Google.

“Satu server menargetkan pengguna Windows, yang lainnya menargetkan Android,” Project Zero, salah satu tim keamanan Google, mengatakan dalam posting pertama dari enam posting blog.

Google mengatakan bahwa kedua server exploit menggunakan kerentanan Google Chrome untuk mendapatkan pijakan awal pada perangkat korban. Setelah titik masuk awal dibuat di browser pengguna, penyerang menyebarkan exploit tingkat OS untuk mendapatkan kontrol lebih besar atas perangkat korban.

Rantai eksploitasi mencakup kombinasi kerentanan zero-day dan n-day.

Empat zero-day, yang semuanya ditambal pada musim semi 2020, adalah sebagai berikut:

  • CVE-2020-6418 – Kerentanan Chrome di TurboFan (diperbaiki pada Februari 2020)
  • CVE-2020-0938 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1020 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1027 – Kerentanan CSRSS Windows (diperbaiki pada April 2020)

“Rantai eksploitasi ini dibuat dengan baik, kode yang kompleks dengan berbagai metode eksploitasi baru, logging yang matang, teknik pasca-eksploitasi yang canggih dan diperhitungkan, serta pemeriksaan anti-analisis dan penargetan dalam jumlah besar,” kata Google.

Sumber: ZDNet

Kerentanan zero-day Windows PsExec mendapat micropatch gratis

by

Micropatch gratis yang memperbaiki kerentanan local privilege escalation (LPE) di alat manajemen Microsoft Windows PsExec sekarang tersedia melalui platform 0patch.

PsExec adalah pengganti telnet yang sepenuhnya interaktif yang memungkinkan admin sistem menjalankan program pada sistem jarak jauh. Alat PsExec juga diintegrasikan dan digunakan oleh alat perusahaan untuk meluncurkan file executable dari jarak jauh di komputer lain.

Zero-day PsExec ini disebabkan oleh kerentanan named pipe hijacking (juga dikenal sebagai named pipe squatting) yang memungkinkan penyerang mengelabui PsExec agar membuka kembali named pipe yang dibuat dengan jahat dan memberinya izin Sistem Lokal.

Setelah berhasil mengeksploitasi bug, pelaku ancaman akan dapat menjalankan proses sewenang-wenang sebagai Sistem Lokal yang secara efektif memungkinkan mereka untuk mengambil alih mesin.

Peneliti malware Tenable, David Wells, menemukan kerentanan tersebut dan mengungkapkannya kepada publik pada 9 Desember 2020, 90 hari setelah memberitahu Microsoft dan mereka gagal untuk menambal bug tersebut.

Saat meneliti kerentanan dan membuat bukti konsep, Wells dapat mengonfirmasi bahwa zero-say memengaruhi beberapa versi Windows dari Windows XP hingga Windows 10.

Di bawah ini adalah demo video yang menunjukkan bagaimana micropatch yang dirilis oleh 0patch mencegah eksploitasi zero-day ini pada sistem Windows yang menjalankan PsExec.

Sumber: Bleeping Computer

Plugin Zero-day di WordPress SMTP disalahgunakan untuk mengatur ulang kata sandi akun admin

by

Peretas menyetel ulang kata sandi untuk akun admin di situs WordPress menggunakan kerentanan zero-day di plugin WordPress populer yang dipasang di lebih dari 500.000 situs.

Zero-day digunakan dalam serangan selama beberapa minggu terakhir dan diperbaiki pada hari Senin.

Ini berdampak pada Easy WP SMTP, sebuah plugin yang memungkinkan pemilik situs mengonfigurasi pengaturan SMTP untuk email keluar situs web mereka.

Menurut tim di Ninja Technologies Network (NinTechNet), Easy WP SMTP 1.4.2 dan versi plugin yang lebih lama berisi fitur yang membuat debug log untuk semua email yang dikirim oleh situs, yang kemudian disimpan di folder instalasinya.

“Folder plugin tidak memiliki file index.html, oleh karena itu, pada server yang mengaktifkan directory listing, peretas dapat menemukan dan melihat log,” kata Jerome Bruandet dari NinTechNet.

Sumber: NinTechNet

Bruandet mengatakan bahwa di situs yang menjalankan versi rentan dari plugin ini, peretas telah melakukan serangan otomatis untuk mengidentifikasi akun admin dan kemudian mengatur ulang kata sandi.

Karena pengaturan ulang kata sandi melibatkan pengiriman email dengan tautan pengaturan ulang kata sandi ke akun admin, email ini juga dicatat di debug log Easy WP SMTP.

Yang harus dilakukan penyerang adalah mengakses debug log setelah mengatur ulang kata sandi, mengambil tautan, dan mengambil alih akun admin situs.

Versi di mana bug ini diperbaiki adalah Easy WP SMTP 1.4.4, menurut changelog plugin.

Sumber: ZDNet

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

by

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet