Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Malware mencoba mengeksploitasi Penginstal Windows zero-day baru

by

Pembuat malware telah mulai menguji eksploitasi bukti konsep yang menargetkan Penginstal Microsoft Windows zero-day baru yang diungkapkan secara publik oleh peneliti keamanan Abdelhamid Naceri selama akhir pekan.

“Talos telah mendeteksi sampel malware di alam liar yang mencoba memanfaatkan kerentanan ini,” kata Jaeson Schultz, Pemimpin Teknis untuk Talos Security Intelligence & Research Group Cisco.

Namun, seperti yang dikatakan oleh Kepala Penjangkauan Cisco Talos Nick Biasini kepada BleepingComputer, upaya eksploitasi ini adalah bagian dari serangan volume rendah yang kemungkinan difokuskan pada pengujian dan tweaker eksploitasi untuk kampanye besar-besaran.

Kerentanan yang dimaksud adalah bug elevasi hak istimewa lokal yang ditemukan sebagai pintasan ke tambalan yang dirilis Microsoft selama Patch Selasa November 2021 untuk mengatasi cacat yang dilacak sebagai CVE-2021-41379.

Pada hari Minggu, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru ini, dengan mengatakan itu berfungsi pada semua versi Windows yang didukung.

Jika berhasil dieksploitasi, bypass ini memberi penyerang hak istimewa SISTEM pada perangkat terbaru yang menjalankan rilis Windows terbaru, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Dengan memanfaatkan zero-day ini, penyerang dengan akses terbatas ke sistem yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral dalam jaringan korban.

“Solusi terbaik yang tersedia pada saat penulisan ini adalah menunggu Microsoft merilis patch keamanan, karena kompleksitas kerentanan ini,” jelas Naceri.

Selengkapnya: Bleeping Computer

Windows zero-day baru dengan eksploitasi publik memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan zero-day elevasi hak istimewa lokal Windows baru yang memberikan hak istimewa admin di Windows 10, Windows 11, dan Windows Server.

BleepingComputer telah menguji eksploit dan menggunakannya untuk membuka ke command prompt dengan hak istimewa SISTEM dari akun yang hanya memiliki hak ‘Standar’ tingkat rendah.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan.

Kerentanan memengaruhi semua versi Windows yang didukung, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Sebagai bagian dari Patch Selasa November 2021, Microsoft memperbaiki kerentanan ‘Windows Installer Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2021-41379.

Kerentanan ini ditemukan oleh peneliti keamanan Abdelhamid Naceri, yang menemukan bypass ke patch dan kerentanan elevasi hak istimewa zero-day baru yang lebih kuat setelah memeriksa perbaikan dari Microsoft.

Kemarin, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru di GitHub, menjelaskan bahwa itu berfungsi pada semua versi Windows yang didukung.

Naceri juga menjelaskan bahwa meskipun user dapat mengonfigurasi kebijakan grup untuk mencegah pengguna ‘Standar’ melakukan operasi MSI installer, zero-day-nya melewati kebijakan ini dan akan tetap berfungsi.

Selengkapnya: Bleeping Computer

Peretas Menargetkan Perangkat Apple di Hong Kong untuk Menyebarluaskan Serangan

by

Setidaknya sejak akhir Agustus, para peretas canggih menggunakan kelemahan di macOS dan iOS untuk memasang malware di perangkat Apple yang mengunjungi situs web media dan pro-demokrasi yang berbasis di Hong Kong.

Serangan watering hole membuat jaring semakin lebar, tanpa pandang bulu menempatkan backdoor pada iPhone atau Mac apa pun yang mengunjungi salah satu halaman yang terpengaruh.

Apple telah menambal berbagai bug yang memungkinkan kampanye terungkap. Namun sebuah laporan hari Kamis dari Grup Analisis Ancaman Google (TAG) menunjukkan betapa agresifnya para peretas dan seberapa luas jangkauan mereka.

Ini adalah kasus lain dari kerentanan yang sebelumnya tidak diungkapkan, atau zero-days, yang dieksploitasi di alam liar oleh penyerang.

Serangan iOS dan macOS memiliki pendekatan yang berbeda, tetapi keduanya menyatukan beberapa kerentanan sehingga penyerang dapat mengambil kendali perangkat korban untuk menginstal malware mereka.

TAG tidak dapat menganalisis seluruh rantai eksploitasi iOS, tetapi mereka mampu mengidentifikasi kerentanan utama Safari yang digunakan peretas untuk meluncurkan serangan. Versi macOS melibatkan eksploitasi kerentanan WebKit dan bug kernel. Semua itu sudah ditambal oleh Apple sepanjang tahun 2021, dan eksploitasi macOS yang digunakan dalam serangan itu sebelumnya dipresentasikan dalam pembicaraan konferensi April dan Juli oleh Pangu Lab.

Para peneliti menekankan bahwa malware yang dikirim ke target melalui serangan watering hole dibuat dengan hati-hati dan “tampaknya merupakan produk rekayasa perangkat lunak yang ekstensif.” Itu memiliki desain modular, mungkin komponen yang berbeda dapat digunakan pada waktu yang berbeda dalam serangan multi-tahap.

Selengkapnya: Wired

Peretas Menggunakan Perangkat Lunak Penagihan Zero-day untuk Menyebarkan Ransomware

by

Grup ransomware yang tidak dikenal mengeksploitasi bug injeksi SQL kritis yang ditemukan dalam solusi penagihan dan waktu BillQuick Web Suite untuk menyebarkan ransomware di jaringan target mereka.

BQE Software, perusahaan di belakang BillQuick, mengklaim memiliki 400.000 basis pengguna yang kuat di seluruh dunia.

Kerentanan, dilacak sebagai CVE-2021-42258, dapat dipicu dengan sangat mudah melalui permintaan login dengan karakter yang tidak valid (kutipan tunggal) di bidang nama pengguna, menurut peneliti keamanan dengan tim Huntress ThreatOps.

Kerentanan yang dieksploitasi secara aktif ini ditambal pada 7 Oktober setelah Huntress Labs memberi tahu BQE Software tentang bug tersebut.

Namun, para peneliti juga menemukan delapan kerentanan zero-day BillQuick lainnya (yaitu, CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021- 42573, CVE-2021-42741, CVE-2021-42742) juga dapat digunakan untuk akses awal/eksekusi kode dan siap untuk disalahgunakan karena masih menunggu patch.

Menurut para peneliti, sejak serangan dimulai, sebuah perusahaan teknik AS telah memiliki sistem yang dienkripsi setelah server BillQuick yang rentan diretas dan digunakan sebagai titik awal akses ke jaringannya.

“Aktor yang kami amati tidak selaras dengan aktor ancaman besar yang diketahui/yang kami ketahui. Menurut pendapat pribadi saya, ini adalah aktor dan/atau kelompok yang lebih kecil berdasarkan perilaku mereka selama eksploitasi dan pasca-eksploitasi,” peneliti keamanan Huntress Labs Caleb Stewart memberi tahu BleepingComputer.

“Namun, berdasarkan masalah yang telah kami identifikasi/ungkapkan, saya memperkirakan eksploitasi lebih lanjut oleh pihak lain mungkin terjadi. Kami mengamati aktivitas tersebut selama akhir pekan Hari Columbus (08-10 Oktober 2021).”

BleepingComputer menemukan bahwa ransomware yang disebarkan oleh grup ini telah digunakan setidaknya sejak Mei 2020 dan banyak meminjam kode dari keluarga ransomware berbasis AutoIT lainnya.

Setelah digunakan pada sistem target, itu akan menambahkan ekstensi pusheken91@bk.ru ke semua file terenkripsi tetapi, seperti yang disebutkan di atas, BleepingComputer belum melihatnya menjatuhkan catatan tebusan selama serangan yang diketahui.

Penyerang kemungkinan menggunakan pendekatan ini karena ekstensi yang ditambahkan itu sendiri mengisyaratkan email apa yang harus digunakan korban untuk menanyakan detail tentang cara memulihkan data mereka.

Pada bulan Agustus, FBI dan CISA memperingatkan organisasi untuk tidak menurunkan pertahanan mereka terhadap serangan ransomware selama akhir pekan atau hari libur dalam sebuah penasehat keamanan siber bersama.

Kedua lembaga pemerintah federal mengatakan mereka “mengamati peningkatan serangan ransomware yang sangat berdampak yang terjadi pada hari libur dan akhir pekan—ketika kantor biasanya tutup—di Amerika Serikat, baru-baru ini pada liburan Empat Juli tahun 2021.”

soucer: BLEEPING COMPUTER

Apple diam-diam memperbaiki iOS zero-day, meminta reporter bug untuk tetap diam

by

Apple telah diam-diam memperbaiki kerentanan zero-day dengan merilis iOS 15.0.2, pada hari Senin, sebuah kelemahan keamanan yang dapat membuat penyerang mendapatkan akses ke informasi pengguna yang sensitif.

Perusahaan mengatasi bug tersebut tanpa mengakui atau memberi kredit kepada pengembang perangkat lunak Denis Tokarev atas penemuan tersebut meskipun ia melaporkan kekurangan tersebut tujuh bulan sebelum iOS 15.0.2 dirilis.

Pada bulan Juli, Apple juga diam-diam menambal cacat zero-day ‘analyticsd’ dengan rilis 14,7 tanpa mengkredit Tokarev di penasihat keamanan, alih-alih berjanji untuk mengakui laporannya di penasihat keamanan untuk pembaruan yang akan datang.

Sejak saat itu, Apple menerbitkan beberapa nasihat keamanan (iOS 14.7.1, iOS 14.8, iOS 15.0, dan iOS 15.0.1) yang menangani kerentanan iOS tetapi, setiap kali, mereka gagal memberi kredit pada laporan bug analyticsd-nya.

Dua hari yang lalu, setelah iOS 15.0.2 dirilis, Tokarev mengirim email lagi tentang kurangnya kredit untuk kekurangan gamed dan analyticsd dalam penasihat keamanan. Apple menjawab, memintanya untuk merahasiakan isi pertukaran email nya dengan Apple.

Pemburu bug bounty dan peneliti keamanan lainnya juga melaporkan memiliki pengalaman serupa saat melaporkan kerentanan kepada tim keamanan produk Apple melalui Program Bounty Keamanan Apple.

Beberapa mengatakan bug yang dilaporkan ke Apple diperbaiki secara diam-diam, dengan perusahaan gagal memberi mereka kredit, seperti yang terjadi dalam kasus ini.

Selengkapnya: Bleeping Computer

Microsoft Oktober 2021 Patch Tuesday Memperbaiki 4 Zero-Days

by

Hari ini adalah Patch Tuesday Oktober 2021 Microsoft, dan dengan itu datang perbaikan untuk empat kerentanan zero-day dan total 74 kerentanan keamanan.

Microsoft telah memperbaiki 74 kerentanan (81 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, 70 sebagai Penting, dan satu sebagai Rendah.

81 kerentanan ini (termasuk Microsoft Edge) diklasifikasikan sebagai:

  • 21 Kerentanan Peningkatan Hak Istimewa
  • 6 Kerentanan Bypass Fitur Keamanan
  • 20 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 5 Kerentanan Denial of Service
  • 9 Kerentanan Spoofing

Patch Tuesday Oktober mencakup perbaikan untuk empat kerentanan zero-day, dengan kerentanan Win32k Elevation of Privilege Vulnerability yang diketahui telah dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan yang dieksploitasi secara aktif ditemukan oleh Boris Larin (oct0xor) Kaspersky dan memungkinkan malware atau aktor ancaman untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

Kaspersky mengungkapkan bahwa kerentanan itu digunakan oleh aktor ancaman dalam “kampanye spionase luas terhadap perusahaan IT, kontraktor militer/pertahanan, dan entitas diplomatik.”

Sebagai bagian dari serangan, pelaku ancaman memasang trojan akses jarak jauh (RAT) yang ditingkatkan dengan izin yang lebih tinggi menggunakan kerentanan Windows zero-day.

Kaspersky menyebut kelompok aktivitas berbahaya ini sebagai MysterSnail dan dikaitkan dengan aktivitas IronHusky dan APT berbahasa Mandarin.

Microsoft juga memperbaiki tiga kerentanan lain yang diungkapkan kepada publik yang tidak diketahui apakah sedang dieksploitasi dalam serangan.

  • CVE-2021-40469 – Windows DNS Server Remote Code Execution Vulnerability
  • CVE-2021-41335 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-41338 – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

Selengkapnya: Bleeping Computer

Pembaruan Darurat Apple iOS 15.0.2 Memperbaiki Zero-Day

by

Apple telah merilis iOS 15.0.2 dan iPadOS 15.0.2 untuk memperbaiki kerentanan zero-day yang secara aktif dieksploitasi dalam serangan yang menargetkan Ponsel dan iPad.

Kerentanan ini, dilacak sebagai CVE-2021-30883, adalah bug korupsi memori kritis di IOMobileFrameBuffer yang memungkinkan aplikasi untuk menjalankan perintah pada perangkat yang rentan dengan hak istimewa kernel.

Karena hak istimewa kernel memungkinkan aplikasi untuk menjalankan perintah apa pun di perangkat, pelaku ancaman berpotensi menggunakannya untuk mencuri data atau menginstal malware lebih lanjut.

Sementara Apple belum memberikan perincian tentang bagaimana kerentanan ini digunakan dalam serangan, mereka menyatakan bahwa ada laporan bahwa itu digunakan secara aktif dalam serangan.

Namun, segera setelah kerentanan dirilis, peneliti keamanan Saar Amar menerbitkan penulisan teknis dan eksploitasi bukti konsep yang berasal dari rekayasa balik patch.

Daftar perangkat yang terpengaruh cukup luas, memengaruhi model lama dan baru, termasuk iPhone 6s dan lebih baru, iPad Pro (semua model), iPad Air 2 dan lebih baru, iPad generasi ke-5 dan lebih baru, iPad mini 4 dan lebih baru, dan iPod touch (generasi ke-7).

Meskipun ada kemungkinan bahwa kerentanan digunakan dalam serangan yang ditargetkan dan tidak digunakan secara luas, sangat disarankan untuk menginstal pembaruan sesegera mungkin mengingat tingkat keparahannya yang tinggi.

Selengkapnya: Bleeping Computer

Peneliti merilis tiga iOS zero-day yang ditolak Apple untuk diperbaiki

by

Kode eksploitasi bukti konsep untuk tiga kerentanan zero-day iOS (dan yang keempat ditambal pada bulan Juli) diterbitkan di GitHub setelah Apple menunda penambalan dan gagal memberi kredit kepada orang yang melaporkannya.

Denis Tokarev (yang menggunakan pegangan Twitter Illusion Of Chaos), pengembang perangkat lunak yang menemukan empat zero day, melaporkannya ke Apple antara 10 Maret dan 4 Mei. Namun, perusahaan diam-diam menambal salah satunya pada bulan Juli dengan rilis 14,7 tanpa memberikan kredit dalam penasihat keamanan.

“Ketika saya bertemu mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya,” kata Tokarev. “Ada tiga rilis sejak itu dan mereka selalu melanggar janji mereka.”

Sejak itu, semua upaya yang dilakukan untuk mendapatkan penjelasan atas kegagalan Apple untuk memperbaiki kerentanan yang belum ditambal ini dan penolakan mereka untuk memberi kredit diabaikan meskipun lebih banyak nasihat keamanan, untuk iOS 14.7.1, iOS 14.8, dan iOS 15.0, telah diterbitkan sejak saat itu.

Setelah Apple menolak untuk menanggapi permintaan penjelasan, tanggal 24 September peneliti menerbitkan kode eksploit proof-of-concept untuk keempat iOS zero-days yang dia laporkan di GitHub, bersama dengan aplikasi yang mengumpulkan informasi sensitif dan menampilkannya di antarmuka pengguna:

  • Gamed 0-day (iOS 15.0): Bug dapat dieksploitasi melalui aplikasi yang diinstal pengguna dari App Store dan memberikan akses tidak sah ke data sensitif yang biasanya dilindungi oleh perintah TCC atau sandbox platform ($100.000 di halaman Program Bounty Keamanan Apple)
  • Nehelper Enumerate Installed Apps 0-day (iOS 15.0): Mengizinkan aplikasi yang dipasang pengguna untuk menentukan apakah ada aplikasi yang diinstal pada perangkat yang diberikan ID bundelnya.
  • Nehelper Wifi Info 0-day (iOS 15.0): Memungkinkan aplikasi apa pun yang memenuhi syarat (misalnya, memiliki otorisasi akses lokasi) untuk mendapatkan akses ke informasi Wifi tanpa hak yang diperlukan.
  • Analyticsd (diperbaiki di iOS 14.7): Mengizinkan aplikasi yang dipasang pengguna untuk mengakses log analitik:

Selengkapnya: Bleeping Computer