Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for zero-days

zero-days

Microsoft January 2023 Patch Tuesday Memperbaiki 98 Kekurangan, 1 Zero-Day

by

Untuk pertama kali dalam tahun ini, Microsoft Patch Tuesday memperbaiki 98 kerentanan dengan sebelas diantaranya diklasifikasikan kritis. Pemberian peringkat tingkat keparahan kerentanan ini karena memungkinkan eksekusi kode jarak jauh, melewati fitur keamanan, atau meningkatkan hak istimewa.

Perbaikan One Zero-Day
Patch Tuesday bulan ini memperbaiki satu kerentanan zero-day, satu dieksploitasi secara aktif dan yang lainnya diungkapkan kepada publik.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa tersedia perbaikan resmi.

Beberapa kerentanan zero-day dieksploitasi secara aktif yang diperbaiki dalam pembaruan hari ini, salah satunya CVE-2023-21674. Microsoft menyatakan’CVE-2023-21549 – Windows SMB Witness Service Elevation of Privilege Vulnerability’ diungkapkan secara publik.

Peneliti keamanan Akamai Stiv Kupchik mengikuti proses pengungkapan reguler dan kerentanan tersebut tidak boleh diklasifikasikan sebagai pengungkapan publik.

Beberapa vendor lain yang merilis pembaruan pada Januari 2023 diantaranya adalah Adobe, Cisco, Citrix, Fortinet, Intel, SAP, dan Synology.

Pembaruan Keamanan Patch Selasa Januari 2023
Dalam sumber yang tercantum di BleepingComputer, terdapat daftar lengkap kerentanan yang telah diselesaikan dan saran yang dirilis pada pembaruan Patch Selasa Januari 2023. Berikut adalah cuplikannya.

Daftar kerentanan terselesaikan dan sarannya

Selengkapnya: BleepingComputer

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Apple memperbaiki zero-day baru yang digunakan dalam serangan terhadap iPhone, iPad

by

Apple telah mengatasi kerentanan zero-day kesembilan yang dieksploitasi dalam serangan di alam liar sejak awal tahun.

Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan “mungkin telah dieksploitasi secara aktif.”

Bug (CVE-2022-42827) adalah masalah out-of-bounds write yang dilaporkan ke Apple oleh peneliti anonim dan disebabkan oleh perangkat lunak yang menulis data di luar batas buffer memori saat ini.

Hal ini dapat mengakibatkan kerusakan data, aplikasi mogok, atau eksekusi kode karena hasil yang tidak ditentukan atau tidak diharapkan (juga dikenal sebagai kerusakan memori) yang dihasilkan dari data berikutnya yang ditulis ke buffer.

Seperti yang dijelaskan Apple, jika berhasil dieksploitasi dalam serangan, zero-day ini dapat digunakan oleh penyerang potensial untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Daftar lengkap perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru.

Apple mengatasi kerentanan zero-day di iOS 16.1 dan iPadOS 16 dengan pemeriksaan batas yang ditingkatkan.

Sementara Apple telah mengungkapkan bahwa mereka mengetahui laporan eksploitasi aktif dari kerentanan ini di alam liar, itu belum merilis informasi apa pun mengenai serangan ini.

Ini kemungkinan akan memungkinkan pelanggan Apple untuk menambal perangkat mereka sebelum lebih banyak penyerang mengembangkan eksploitasi tambahan dan mulai menggunakannya dalam serangan yang menargetkan iPhone dan iPad yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan hari ini sangat disarankan untuk memblokir upaya serangan apa pun.

Sumber : Bleeping Computer

Windows Mark of the Web zero-day mendapat tambalan tidak resmi

by

0patch telah merilis tambalan tidak resmi gratis untuk mengatasi kelemahan zero-day yang dieksploitasi secara aktif dalam mekanisme keamanan Windows Mark of the Web (MotW).

Cacat ini memungkinkan penyerang untuk mencegah Windows menerapkan label (MotW) pada file yang diekstrak dari arsip ZIP yang diunduh dari Internet.

Windows secara otomatis menambahkan flag MotW ke semua dokumen dan executable yang diunduh dari sumber yang tidak dipercaya, termasuk file yang diekstrak dari arsip ZIP yang diunduh, menggunakan aliran data alternatif ‘Zone.Id’ khusus.

Label MotW ini memberi tahu Windows, Microsoft Office, browser web, dan aplikasi lain bahwa file harus diperlakukan dengan kecurigaan dan akan menyebabkan peringatan ditampilkan kepada pengguna bahwa membuka file dapat menyebabkan perilaku berbahaya, seperti malware yang diinstal pada perangkat.

Will Dormann, analis kerentanan senior di ANALYGENCE, yang pertama kali melihat arsip ZIP tidak menambahkan flag MoTW dengan benar, melaporkan masalah tersebut ke Microsoft pada bulan Juli.

Seperti yang dijelaskan oleh CEO ACROS Security dan salah satu pendiri layanan micropatch 0patch Mitja Kolsek, MotW adalah mekanisme keamanan Windows yang penting karena Kontrol Aplikasi Cerdas hanya akan bekerja pada file dengan bendera MotW dan Microsoft Office hanya akan memblokir makro pada dokumen yang ditandai dengan label MotW.

“Penyerang dapat mengirimkan file Word atau Excel dalam ZIP yang diunduh yang makronya tidak akan diblokir karena tidak adanya MOTW (bergantung pada pengaturan keamanan makro Office), atau akan lolos dari pemeriksaan oleh Kontrol Aplikasi Cerdas.”

Sejak zero-day dilaporkan ke Microsoft pada bulan Juli, telah terdeteksi sebagai dieksploitasi dalam serangan untuk mengirimkan file berbahaya pada sistem korban.

Sampai Microsoft merilis pembaruan resmi untuk mengatasi kekurangan tersebut, 0patch telah mengembangkan tambalan gratis untuk versi Windows yang terpengaruh berikut ini:

  • Windows 10 v1803 dan yang lebih baru
  • Windows 7 dengan atau tanpa ESU
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008 R2 dengan atau tanpa ESU

Untuk menginstal micropatch pada perangkat Windows Anda, daftarkan akun 0patch dan instal agennya.

Mereka akan diterapkan secara otomatis setelah meluncurkan agen tanpa memerlukan sistem restart jika tidak ada kebijakan tambalan khusus untuk memblokirnya.

Selengkapnya: Bleeping Computer

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer

Microsoft: Windows, Adobe zero-days digunakan untuk menyebarkan malware Subzero

by

Microsoft telah menghubungkan kelompok ancaman yang dikenal sebagai Knotweed ke vendor spyware Austria yang juga beroperasi sebagai tentara bayaran cyber bernama DSIRF yang menargetkan entitas Eropa dan Amerika Tengah menggunakan perangkat malware yang dijuluki Subzero.

Di situs webnya, DSIRF mempromosikan dirinya sebagai perusahaan yang menyediakan penelitian informasi, forensik, dan layanan intelijen berbasis data kepada perusahaan.

Namun, itu telah dikaitkan dengan pengembangan malware Subzero yang dapat digunakan pelanggannya untuk meretas ponsel, komputer, dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020 terkait dengan DSIRF, termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mementaskan malware Subzero.

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

Beberapa serangan Knotweed yang diamati oleh Microsoft telah menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris, dan Panama.

Pada perangkat yang disusupi, penyerang menyebarkan Corelump, muatan utama yang berjalan dari memori untuk menghindari deteksi, dan Jumplump, pemuat malware yang sangat disamarkan yang mengunduh dan memuat Corelump ke dalam memori.

Payload Subzero utama memiliki banyak kemampuan, termasuk keylogging, menangkap tangkapan layar, mengekstrak data, dan menjalankan shell jarak jauh dan plugin arbitrer yang diunduh dari server perintah-dan-kontrolnya.

Pada sistem di mana Knotweed menyebarkan malware-nya, Microsoft telah mengamati berbagai tindakan pasca-kompromi, termasuk:

  • Pengaturan UseLogonCredential ke “1” untuk mengaktifkan kredensial teks biasa
  • Pembuangan kredensial melalui comsvcs.dll
  • Mencoba mengakses email dengan kredensial yang dibuang dari alamat IP KNOTWEED
  • Menggunakan Curl untuk mengunduh perkakas KNOTWEED dari berbagi file publik seperti vultrobjects[.]com
  • Menjalankan skrip PowerShell langsung dari inti GitHub yang dibuat oleh akun yang terkait dengan DSIRF
  • Di antara zero-days yang digunakan dalam kampanye Knotweed, Microsoft menyoroti CVE-2022-22047 yang baru-baru ini ditambal, yang membantu penyerang meningkatkan hak istimewa, keluar dari kotak pasir, dan mendapatkan eksekusi kode tingkat sistem.

Tahun lalu, Knotweed juga menggunakan rantai eksploitasi yang terbuat dari dua eksploitasi eskalasi hak istimewa Windows (CVE-2021-31199 dan CVE-2021-31201) bersama dengan eksploitasi Adobe Reader (CVE-2021-28550), semuanya ditambal pada bulan Juni 2021.

Pada tahun 2021, kelompok cybermercenary juga dikaitkan dengan eksploitasi zero-day keempat, cacat eskalasi hak istimewa Windows di Layanan Medis Pembaruan Windows (CVE-2021-36948) yang digunakan untuk memaksa layanan memuat DLL yang ditandatangani secara sewenang-wenang.

Untuk mempertahankan diri dari serangan tersebut, Microsoft menyarankan pelanggan untuk:

  • Prioritaskan patching CVE-2022-22047.
  • Konfirmasikan bahwa Microsoft Defender Antivirus diperbarui ke pembaruan intelijen keamanan 1.371.503.0 atau lebih baru untuk mendeteksi indikator terkait.
  • Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
  • Ubah pengaturan keamanan makro Excel untuk mengontrol makro mana yang dijalankan dan dalam situasi apa saat Anda membuka buku kerja. Pelanggan juga dapat menghentikan makro XLM atau VBA berbahaya dengan memastikan pemindaian makro runtime oleh Antimalware Scan Interface (AMSI) aktif.
  • Aktifkan autentikasi multifaktor (MFA) untuk mengurangi kredensial yang berpotensi disusupi dan memastikan bahwa MFA diterapkan untuk semua konektivitas jarak jauh.
  • Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus pada akun yang dikonfigurasi dengan otentikasi satu faktor, untuk mengonfirmasi keaslian dan menyelidiki aktivitas abnormal apa pun.

Selengkapnya : Bleeping Computer