Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

by

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

  1. Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
    Untuk dokumen Word, navigasikan ke registry key berikut:

    • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

    Untuk file rich text (RTF), navigasikan ke registry key ini:

    • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  2. Export salinan registry key sebagai cadangan.
  3. Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
  4. Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

by

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

  1. Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
  2. Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
  3. Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Peretas China Berada di Balik Serangan Zero Day SolarWinds Serv-U SSH

by

Microsoft telah membagikan detail teknis tentang kerentanan keamanan kritis yang sekarang telah diperbaiki dan dieksploitasi secara aktif yang memengaruhi layanan transfer file terkelola SolarWinds Serv-U yang telah dikaitkan dengan “kepercayaan tinggi” kepada aktor ancaman yang beroperasi di luar China.

Pada pertengahan Juli, perusahaan yang berbasis di Texas memperbaiki kelemahan eksekusi kode jarak jauh (CVE-2021-35211) yang berakar pada implementasi Serv-U dari protokol Secure Shell (SSH), yang dapat disalahgunakan oleh penyerang untuk menjalankan kode apapun. pada sistem yang terinfeksi, termasuk kemampuan untuk menginstal program jahat dan melihat, mengubah, atau menghapus data sensitif.

Sementara Microsoft menautkan serangan ke DEV-0322, sebuah kolektif berbasis di China yang mengutip “viktimologi, taktik, dan prosedur yang diamati,” perusahaan tersebut kini telah mengungkapkan bahwa kerentanan pra-otentikasi jarak jauh berasal dari cara proses Serv-U menangani akses pelanggaran tanpa menghentikan proses, sehingga memudahkan untuk melakukan upaya eksploitasi yang tersembunyi dan andal.

“Kerentanan yang dieksploitasi disebabkan oleh cara Serv-U awalnya membuat konteks OpenSSL AES128-CTR,” kata para peneliti. “Ini, pada gilirannya, dapat memungkinkan penggunaan data yang tidak diinisialisasi sebagai penunjuk fungsi selama dekripsi pesan SSH yang berurutan.”

“Oleh karena itu, penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH terbuka dan mengirimkan permintaan koneksi pra-auth yang salah. Kami juga menemukan bahwa penyerang kemungkinan menggunakan DLL yang dikompilasi tanpa pengacakan tata letak ruang alamat (ASLR) yang dimuat oleh Server. Prosesnya untuk memfasilitasi eksploitasi,” tambah para peneliti.

Microsoft, yang mengungkapkan serangan tersebut kepada SolarWinds, mengatakan bahwa pihaknya merekomendasikan untuk mengaktifkan kompatibilitas ASLR untuk semua binari yang dimuat dalam proses Serv-U.

Selengkapnya: The Hacker News

Bug Razer memungkinkan Anda menjadi admin Windows 10 dengan mencolokkan mouse

by

Kerentanan zero-day Razer Synapse telah diungkapkan di Twitter, memungkinkan Anda untuk mendapatkan hak istimewa admin Windows hanya dengan mencolokkan mouse atau keyboard Razer.

Razer adalah produsen periferal komputer yang sangat populer yang dikenal dengan mouse dan keyboard gamingnya.

Saat mencolokkan perangkat Razer ke Windows 10 atau Windows 11, sistem operasi akan secara otomatis mengunduh dan mulai menginstal perangkat lunak Razer Synapse di komputer. Razer Synapse adalah perangkat lunak yang memungkinkan pengguna untuk mengkonfigurasi perangkat keras mereka, mengatur makro, atau tombol peta.

Razer mengklaim bahwa perangkat lunak Razer Synapse mereka digunakan oleh lebih dari 100 juta pengguna di seluruh dunia.

Peneliti keamanan jonhat menemukan kerentanan zero-day di instalasi Razer Synapse plug-and-play yang memungkinkan pengguna untuk mendapatkan hak istimewa SISTEM pada perangkat Windows dengan cepat.

Setelah tidak menerima tanggapan dari Razer, jonhat mengungkapkan kerentanan zero-day di Twitter dan menjelaskan cara kerja bug dengan video pendek.

Seperti yang dijelaskan oleh Will Dormann, Analis Kerentanan di CERT/CC, bug serupa kemungkinan besar ditemukan di perangkat lunak lain yang diinstal oleh proses plug-and-play Windows.

Setelah kerentanan zero-day ini mendapat perhatian luas di Twitter, Razer telah menghubungi peneliti keamanan untuk memberi tahu mereka bahwa mereka akan mengeluarkan perbaikan.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows memblokir serangan relay PetitPotam NTLM

by

Microsoft telah merilis pembaruan keamanan yang memblokir serangan relay PetitPotam NTLM yang memungkinkan aktor ancaman untuk mengambil alih domain Windows.

Pada bulan Juli, peneliti keamanan GILLES Lionel, alias Topotam, mengungkapkan metode baru yang disebut PetitPotam yang memaksa pengontrol domain untuk mengautentikasi terhadap server aktor ancaman menggunakan fungsi API MS-EFSRPC.

Menggunakan vektor PetitPotam, aktor ancaman dapat menggunakan antarmuka Windows LSARPC untuk berkomunikasi dan menjalankan fungsi MS-EFSRPC API tanpa otentikasi. Fungsinya, OpenEncryptedFileRawA dan OpenEncryptedFileRawW, memungkinkan aktor ancaman untuk memaksa domain controller untuk mengautentikasi ke server relay NTLM di bawah kendali penyerang.

Pada bulan Juli, Microsoft merilis penasihat keamanan yang menjelaskan cara mengurangi serangan relay NTLM yang menargetkan Active Directory Certificate Services (AD CS).

Namun, Microsoft tidak memberikan informasi tentang pemblokiran vektor PetitPotam sampai peneliti menemukan cara mengamankannya menggunakan filter NETSH.

Sebagai bagian dari pembaruan Patch Tuesday Agustus 2021, Microsoft telah merilis pembaruan keamanan yang memblokir vektor PetitPotam (CVE-2021-36942), sehingga tidak dapat memaksa domain controller untuk mengautentikasi terhadap server lain.

Microsoft memperingatkan bahwa menginstal pembaruan ini dapat memengaruhi perangkat lunak cadangan yang menggunakan fungsi EFS API OpenEncryptedFileRaw(A/W).

Jika perangkat lunak cadangan Anda tidak lagi berfungsi setelah menginstal pembaruan ini pada Windows 7 Service Pack 1 atau Windows Server 2008 R2 Service Pack 1 dan yang lebih baru, Microsoft menyarankan Anda menghubungi pengembang perangkat lunak cadangan untuk mendapatkan versi yang diperbarui.

Selengkapnya: BleepingComputer

Microsoft Patch Tuesday bulan Agustus 2021 memperbaiki 3 zero-days, 44 kelemahan

by

Hari ini adalah Patch Tuesday Microsoft Agustus 2021, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day dan total 44 kelemahan.

Microsoft telah memperbaiki 44 kerentanan (51 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 37 sebagai Penting.

Dari 44 kerentanan, 13 adalah eksekusi kode jarak jauh, 8 pengungkapan informasi, 2 penolakan layanan, dan 4 kerentanan spoofing.

Microsoft juga merilis pembaruan keamanan untuk dua kerentanan zero-day yang dinanti-nantikan yang ditemukan selama sebulan terakhir.

Salah satu pembaruan keamanan memperbaiki kerentanan PrintNightmare yang memungkinkan pelaku ancaman untuk mendapatkan hak istimewa tingkat SISTEM hanya dengan menghubungkan ke server print jarak jauh di bawah kendali mereka.

Microsoft telah memperbaiki kerentanan ini dengan mengharuskan pengguna yang memiliki hak administrator untuk menginstal driver printer menggunakan fitur Point and Print Windows.

Microsoft juga memperbaiki vektor serangan relay PetitPotam NTLM yang menggunakan API MS-EFSRPC untuk memaksa perangkat bernegosiasi dengan server relay jarak jauh di bawah kendali penyerang.

Microsoft menghimbau untuk menerapkan pembaruan sesegera mungkin.

Selengkapnya: BleepingComputer

Apple memperbaiki zero-day yang memengaruhi iPhone dan Mac, yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dieksploitasi di alam liar dan berdampak pada iPhone, iPad, dan Mac.

Kerentanan, dilacak sebagai CVE-2021-30807, adalah masalah kerusakan memori dalam ekstensi kernel IOMobileFramebuffer yang dilaporkan oleh peneliti anonim. Eksploitasi yang berhasil dapat memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel

Apple telah memperbaiki bug dengan meningkatkan penanganan memori di iOS 14.7.1, iPadOS 14.7.1, dan macOS Big Sur 11.5.1.

Daftar perangkat yang terpengaruh termasuk Mac, iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Sementara Apple mengungkapkan bahwa setidaknya satu laporan menyebutkan eksploitasi aktif CVE-2021-30807 di alam liar, perusahaan tidak merilis informasi tambahan mengenai serangan ini.

Menahan info ini kemungkinan merupakan tindakan yang dirancang untuk memungkinkan pembaruan keamanan yang dirilis hari ini untuk menjangkau iPhone, iPad, dan Mac sebanyak mungkin sebelum pelaku ancaman lain mengetahui detailnya dan mulai secara aktif menyalahgunakan zero-day yang sekarang telah ditambal.

Selengkapnya: Bleeping Computer