Zero Day

Microsoft October 2022 Patch Tuesday memperbaiki zero-day yang digunakan dalam serangan serta 84 kelemahan

October 12, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Oktober 2022, dan dengan itu datang perbaikan untuk kerentanan Windows yang dieksploitasi secara aktif dan total 84 kelemahan.

Tiga belas dari 84 kerentanan yang diperbaiki dalam pembaruan kali ini diklasifikasikan sebagai ‘Kritis’ karena memungkinkan peningkatan hak istimewa, spoofing, atau eksekusi kode jarak jauh, salah satu jenis kerentanan yang paling parah.

Patch Tuesday bulan ini juga memperbaiki dua kerentanan zero-day, satu secara aktif dieksploitasi dalam serangan dan satu diungkapkan secara publik.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki kali ini dilacak sebagai ‘CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability’.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” bunyi nasihat Microsoft.

Kerentanan yang diungkapkan kepada publik dilacak sebagai ‘CVE-2022-41043 – Microsoft Office Information Disclosure Vulnerability’ dan ditemukan oleh Cody Thomas dari SpecterOps. Microsoft mengatakan penyerang dapat menggunakan kerentanan ini untuk mendapatkan akses ke token otentikasi pengguna.

Microsoft meminta pengguna untuk segera menerapkan pembaruan sesegera mungkin untuk melindungi sistem mereka.

Selengkapnya: Bleeping Computer

Mitigasi server zero-day Microsoft Exchange dapat dilewati

October 4, 2022 by Eevee

Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

Buka Manajer IIS.
Pilih Situs Web Default.
Di** Feature View**, klik URL Rewrite.
Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
Pilih** Permintaan Pemblokiran** dan klik OK.
Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

.*autodiscover\.json.*Powershell.*

Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

September 13, 2022 by Eevee

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

Daftar lengkap perangkat yang terkena dampak meliputi:

iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

Sumber: Bleeping Computer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

September 7, 2022 by Eevee

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Jenkins Mengungkap Lusinan Bug Zero-Day di Beberapa Plugin

July 2, 2022 by Eevee

Pada hari Kamis, tim keamanan Jenkins mengumumkan 34 kerentanan keamanan yang memengaruhi 29 plugin untuk server otomatisasi open source Jenkins, 29 dari bug tersebut masih dalam keadaan zero-days yang masih menunggu untuk ditambal.

Jenkins adalah platform yang sangat populer (dengan dukungan untuk lebih dari 1.700 plugin) yang digunakan oleh perusahaan di seluruh dunia untuk membangun, menguji, dan menerapkan perangkat lunak.

Skor dasar CVSS zero-days berkisar dari tingkat keparahan rendah hingga tinggi, dan, menurut statistik Jenkins, plugin yang terpengaruh memiliki total lebih dari 22.000 pemasangan.

Daftar lengkap kelemahan yang belum ditambal termasuk XSS, XSS Tersimpan, bug Pemalsuan Permintaan Lintas Situs (CSRF), pemeriksaan izin yang hilang atau salah, serta kata sandi, rahasia, kunci API, dan token yang disimpan dalam teks biasa.

Untungnya, sebagian besar yang berbahaya, zero-days dengan tingkat keparahan tinggi, memerlukan interaksi pengguna untuk dieksploitasi dalam serangan dengan kompleksitas rendah oleh penyerang jarak jauh dengan hak istimewa yang rendah.

Berdasarkan data Shodan, saat ini ada lebih dari 144.000 server Jenkins yang terpapar Internet yang dapat menjadi sasaran serangan jika menjalankan plugin yang belum ditambal.

Sementara tim Jenkins telah menambal empat plugin (yaitu, GitLab, plugin permintaan, Hasil TestNG, Rilis XebiaLabs XL), masih ada daftar panjang plugin yang rentan, termasuk:

Build Notifications Plugin hingga dan termasuk 1.5.0
build-metrics Plugin hingga dan termasuk 1.3
Cisco Spark Plugin hingga dan termasuk 1.1.1
Deployment Dashboard Plugin hingga dan termasuk 1.0.10
Elasticsearch Query Plugin hingga dan termasuk 1.2
eXtreme Feedback Panel Plugin hingga dan termasuk 2.0.1

“Pada publikasi nasihat ini, tidak ada perbaikan,” kata tim keamanan Jenkins ketika menjelaskan kerentanan yang belum ditambal.

Meskipun tidak ada kerentanan yang merupakan kerentanan kritis yang dapat membuat pelaku ancaman mengeksekusi kode atau perintah dari jarak jauh pada server yang rentan untuk mengambil alih, mereka dapat menjadi sasaran dalam serangan terhadap jaringan perusahaan.

Ini bukan pertama kalinya terjadi sejak server Jenkins yang belum ditambal telah dikompromikan sebelumnya untuk menambang cryptocurrency Monero.

Namun, penyerang potensial kemungkinan besar akan mengeksploitasi zero-days ini dalam serangan pengintaian yang memungkinkan mereka mendapatkan lebih banyak wawasan tentang infrastruktur perusahaan yang ditargetkan.

Selengkapnya: BleepingComputer

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

June 8, 2022 by Eevee

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

June 7, 2022 by Winnie the Pooh

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

May 11, 2022 by Winnie the Pooh

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings