Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Zero Day

Zero Day

Microsoft membagikan workaround untuk kerentanan SeriousSAM Windows 10

by

Microsoft telah membagikan solusi untuk kerentanan zero-day Windows 10 yang dijuluki SeriousSAM yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem yang rentan dan mengeksekusi kode dengan hak istimewa SISTEM.

Seperti yang dilaporkan oleh BleepingComputer sebelumnya, peningkatan lokal dari bug hak istimewa (dijuluki SeriousSAM) yang ditemukan di versi Windows yang baru dirilis memungkinkan pengguna dengan hak istimewa rendah untuk mengakses file database Registry yang sensitif.

Kerentanan, yang diungkapkan secara publik oleh peneliti keamanan Jonas Lykkegaard di Twitter dan belum menerima patch resmi, sekarang dilacak oleh Microsoft sebagai CVE-2021-36934.

Seperti yang diungkapkan Microsoft lebih lanjut, kerentanan zero-day ini berdampak pada rilis Windows sejak Oktober 2018, dimulai dengan Windows 10, versi 1809. Lykkegaard juga menemukan bahwa Windows 11 (OS Microsoft yang belum dirilis secara resmi) juga terpengaruh.

Berikut adalah langkah-langkah yang diperlukan untuk memblokir eksploitasi kerentanan ini untuk sementara:

Batasi akses ke konten %windir%\system32\config:

  1. Buka Command Prompt atau Windows PowerShell sebagai administrator.
  2. Jalankan perintah ini: icacls %windir%\system32\config\*.* /inheritance:e

Hapus shadow copies dari Volume Shadow Copy Service (VSS):

  1. Hapus semua titik System Restore dan Shadow volumes yang ada sebelum membatasi akses ke %windir%\system32\config.
  2. Buat titik System Restore baru (jika diinginkan).

Microsoft masih menyelidiki kerentanan ini dan sedang mengerjakan tambalan yang kemungkinan besar akan dirilis sebagai pembaruan keamanan out-of-band akhir pekan ini.

Selengkapnya: Bleeping Computer

iOS zero-day membiarkan peretas SolarWinds berkompromi dengan iPhone yang sepenuhnya diperbarui

by

Peretas negara Rusia yang mengatur serangan rantai pasokan SolarWinds tahun lalu mengeksploitasi iOS zero-day sebagai bagian dari kampanye email berbahaya terpisah yang bertujuan mencuri kredensial otentikasi Web dari pemerintah Eropa Barat, menurut Google dan Microsoft.

Serangan yang menargetkan CVE-2021-1879, saat zero-day dilacak, mengarahkan pengguna ke domain yang memasang muatan berbahaya pada iPhone yang diperbarui sepenuhnya. Serangan itu bertepatan dengan kampanye oleh peretas yang sama yang mengirimkan malware ke pengguna Windows, kata para peneliti.

Kampanye ini sangat dekat dengan salah satu yang diungkapkan Microsoft pada bulan Mei. Dalam hal itu, Microsoft mengatakan bahwa Nobelium—nama yang digunakan perusahaan untuk mengidentifikasi peretas di balik serangan rantai pasokan SolarWinds—pertama kali berhasil mengkompromikan akun milik USAID, sebuah lembaga pemerintah AS yang mengelola bantuan luar negeri sipil dan bantuan pembangunan. Dengan mengontrol akun agensi untuk perusahaan pemasaran online Constant Contact, peretas dapat mengirim email yang tampaknya menggunakan alamat yang diketahui milik agensi AS.

Pemerintah federal telah mengaitkan serangan rantai pasokan tahun lalu dengan peretas yang bekerja untuk Badan Intelijen Asing Rusia (disingkat SVR). Selama lebih dari satu dekade, SVR telah melakukan kampanye malware yang menargetkan pemerintah, think tank politik, dan organisasi lain di negara-negara seperti Jerman, Uzbekistan, Korea Selatan, dan AS. Target termasuk Departemen Luar Negeri AS dan Gedung Putih pada tahun 2014. Nama lain yang digunakan untuk mengidentifikasi kelompok tersebut termasuk APT29, Dukes, dan Cozy Bear.

selengkapnya : arstechnica.com

Microsoft merilis pembaruan darurat untuk Windows PrintNightmare zero-day

by

Microsoft telah merilis pembaruan keamanan darurat KB5004945 untuk mengatasi kerentanan zero-day PrintNightmare yang dieksploitasi secara aktif di layanan Windows Print Spooler yang berdampak pada semua versi Windows. Namun, tambalan tidak lengkap dan kerentanan masih dapat dieksploitasi secara lokal untuk mendapatkan hak istimewa SISTEM.

Bug eksekusi kode jarak jauh (dilacak sebagai CVE-2021-34527) memungkinkan penyerang mengambil alih server yang terpengaruh melalui eksekusi kode jarak jauh (RCE) dengan hak istimewa SISTEM, karena memungkinkan mereka menginstal program, melihat, mengubah, atau menghapus data, dan membuat akun baru dengan hak pengguna penuh.

Pembaruan keamanan belum dirilis untuk Windows 10 versi 1607, Windows Server 2016, atau Windows Server 2012, tetapi mereka juga akan segera dirilis, menurut sumber dari Microsoft.

Kerentanan PrintNightmare mencakup baik eksekusi kode jarak jauh (RCE) dan vektor eskalasi hak istimewa lokal (LPE) yang dapat digunakan dalam serangan untuk menjalankan perintah dengan hak istimewa SISTEM pada sistem yang rentan.

Setelah Microsoft merilis pembaruan out-of-band, peneliti keamanan Matthew Hickey memverifikasi bahwa patch hanya memperbaiki RCE dan bukan komponen LPE. Ini berarti bahwa perbaikannya tidak lengkap dan pelaku ancaman serta malware masih dapat mengeksploitasi kerentanan secara lokal untuk mendapatkan hak istimewa SISTEM.

Microsoft mendesak pelanggan untuk segera menginstal pembaruan keamanan out-of-band ini untuk mengatasi kerentanan PrintNightmare.

Mereka yang tidak dapat menginstal pembaruan ini sesegera mungkin harus memeriksa bagian FAQ dan Solusi di penasihat keamanan CVE-2021-34527 untuk info tentang cara melindungi sistem mereka dari serangan yang mengeksploitasi kerentanan ini.

Selengkapnya: Bleeping Computer

Peretas mengeksploitasi bug zero day untuk menghapus perangkat My Book Live secara massal

by

Penghapusan massal perangkat penyimpanan Western Digital My Book Live minggu lalu melibatkan eksploitasi tidak hanya satu kerentanan tetapi juga bug keamanan kritis kedua yang memungkinkan peretas melakukan reset pabrik dari jarak jauh tanpa kata sandi, sebuah penyelidikan menunjukkan.

Kerentanannya luar biasa karena membuatnya sepele untuk menghapus data pengguna yang kemungkinan berukuran petabyte. Lebih penting lagi adalah bahwa, menurut kode yang rentan itu sendiri, pengembang Western Digital secara aktif menghapus kode yang memerlukan kata sandi pengguna yang valid sebelum mengizinkan pengaturan ulang pabrik untuk melanjutkan.

Kerentanan yang tidak terdokumentasi berada dalam file bernama system_factory_restore. Ini berisi skrip PHP yang melakukan reset, memungkinkan pengguna untuk mengembalikan semua konfigurasi default dan menghapus semua data yang tersimpan di perangkat.

“Vendor yang mengomentari otentikasi di titik akhir pemulihan sistem benar-benar tidak membuat segalanya terlihat baik bagi mereka,” HD Moore, pakar keamanan dan CEO platform penemuan jaringan Rumble, mengatakan kepada Ars. “Sepertinya mereka sengaja mengaktifkan bypass.”

Untuk mengeksploitasi kerentanan, penyerang harus mengetahui format permintaan XML yang memicu reset. Itu “tidak semudah menekan URL acak dengan permintaan GET, tetapi [itu] juga tidak terlalu jauh,” kata Moore.

My Book Live adalah perangkat penyimpanan seukuran buku yang menggunakan jack Ethernet untuk terhubung ke jaringan rumah dan kantor sehingga komputer yang terhubung memiliki akses ke data di dalamnya.

Selengkapnya: Ars Technica

Linux Marketplace rentan terhadap serangan RCE dan rantai pasokan

by

Peneliti menemukan kerentanan keamanan stored cross-site-scripting (XSS) yang tidak ditambal yang memengaruhi Linux marketplace dan dapat memungkinkan serangan rantai pasokan yang dapat menyebar luas.

Bug tersebut ditemukan mempengaruhi pasar berbasis Pling oleh para peneliti di Positive Security, termasuk AppImage Hub, Gnome-Look, KDE Discover App Store, Pling.com dan XFCE-Look.

Aplikasi PlingStore dipengaruhi oleh kerentanan eksekusi kode jarak jauh (RCE) yang belum ditambal, yang menurut para peneliti dapat dipicu dari situs web mana pun saat aplikasi sedang berjalan – memungkinkan serangan drive-by.

PlingStore adalah penginstal dan aplikasi manajemen konten yang bertindak sebagai etalase digital terkonsolidasi untuk berbagai situs yang menawarkan perangkat lunak dan plugin Linux.

Tim Pling tidak dapat dihubungi, menurut Fabian Bräunlein dengan Positive Security, menulis dalam sebuah posting blog pada hari Selasa – “itulah sebabnya kami memutuskan untuk mempublikasikan kerentanan yang belum ditambal ini untuk memperingatkan pengguna,” katanya.

Bug Stored XSS pertama kali ditemukan mempengaruhi KDE Discover. Stored XSS, juga dikenal sebagai XSS persisten, terjadi ketika skrip berbahaya disuntikkan langsung ke aplikasi web yang rentan. Tidak seperti reflected XSS, serangan stored XSS hanya mengharuskan korban mengunjungi halaman web yang disusupi.

Pada dasarnya, salah satu aset yang dapat diunduh mungkin telah disusupi, jadi pengguna harus diperingatkan bahwa setiap daftar di salah satu pasar yang terpengaruh dapat membajak akun pengguna di platform melalui XSS, kata Bräunlein.

Selengkapnya: Threat Post

Windows 10 ditargetkan oleh peretas PuzzleMaker menggunakan Chrome zero-day

by

Peneliti keamanan Kaspersky menemukan aktor ancaman baru bernama PuzzleMaker, yang telah menggunakan rantai eksploitasi zero-day Google Chrome dan Windows 10 dalam serangan yang sangat bertarget terhadap beberapa perusahaan di seluruh dunia.

Menurut Kaspersky, serangan yang dikoordinasikan oleh PuzzleMaker pertama kali terlihat pada pertengahan April ketika jaringan korban pertama disusupi.

Rantai eksploitasi zero-day yang diterapkan dalam kampanye menggunakan kerentanan eksekusi kode jarak jauh di mesin JavaScript Google Chrome V8 untuk mengakses sistem yang ditargetkan.

Selanjutnya, pelaku ancaman PuzzleMaker menggunakan peningkatan eksploitasi hak istimewa yang dirancang khusus untuk mengkompromikan versi Windows 10 terbaru dengan menyalahgunakan kerentanan pengungkapan informasi di kernel Windows (CVE-2021-31955) dan bug eskalasi hak istimewa Windows NTFS (CVE-2021 -31956), keduanya ditambal di Patch Tuesday bulan Juni 2021.

Para penyerang menyalahgunakan Windows Notification Facility (WNF) bersama dengan kerentanan CVE-2021-31956 untuk mengeksekusi modul malware dengan hak istimewa sistem pada sistem Windows 10 yang disusupi.

“Setelah penyerang menggunakan eksploitasi Chrome dan Windows untuk mendapatkan pijakan di sistem yang ditargetkan, modul stager mengunduh dan mengeksekusi dropper malware yang lebih kompleks dari server jarak jauh,” kata para peneliti.

Indikator kompromi (IOC) termasuk hash sampel malware dapat ditemukan di akhir laporan Kaspersky.

Selengkapnya:

Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam

by

Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi.

Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua zero day – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa mereka memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.

Selengkapnya: Tech Crunch

Grup peretasan Lemon Duck mengadopsi kerentanan Microsoft Exchange Server dalam serangan baru

by

Para peneliti telah menjelajahi aktivitas terbaru dari grup peretasan Lemon Duck, termasuk pemanfaatan kerentanan Microsoft Exchange Server dan penggunaan umpan domain tingkat atas.

Eksploitasi aktif dari kerentanan Server Microsoft Exchange zero-day di alam liar adalah bencana keamanan bagi ribuan organisasi.

Pada akhir Maret, Microsoft mengatakan botnet Lemon Duck telah diamati mengeksploitasi server yang rentan dan menggunakan sistem untuk menambang cryptocurrency.

Sekarang, para peneliti dari Cisco Talos telah mendalami taktik para penyerang dunia maya saat ini.

Operator Lemon Duck menggabungkan alat baru untuk “memaksimalkan efektivitas kampanye mereka” dengan menargetkan kerentanan tingkat tinggi di Microsoft Exchange Server dan data telemetri mengikuti kueri DNS ke domain Lemon Duck menunjukkan bahwa aktivitas kampanye melonjak pada bulan April.

Mayoritas kueri datang dari AS, diikuti oleh Eropa dan Asia Tenggara. Lonjakan besar dalam kueri ke satu domain Lemon Duck juga tercatat di India.

Lemon Duck juga telah membuat umpan domain tingkat atas (TLD) untuk China, Jepang, dan Korea Selatan untuk mencoba dan mengaburkan infrastruktur pusat perintah dan kontrol (C2).

Tumpang tindih antara botnet Lemon Duck dan malware cryptocurrency Beapy / Pcastle juga telah diamati.

Selengkapnya: ZDNet