Zeroday

Microsoft mengeluarkan perbaikan opsional untuk Secure Boot zero-day yang digunakan oleh malware

May 10, 2023 by Coffee Bean

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan Secure Boot zero-day yang dieksploitasi oleh malware BlackLotus UEFI untuk menginfeksi sistem Windows yang telah ditambal sepenuhnya.

Secure Boot adalah fitur keamanan yang memblokir bootloader yang tidak dipercaya oleh OEM pada komputer dengan firmware Unified Extensible Firmware Interface (UEFI) dan chip Trusted Platform Module (TPM) untuk mencegah rootkit memuat selama proses startup.

Menurut posting blog Microsoft Security Response Center, kelemahan keamanan (dilacak sebagai CVE-2023-24932) digunakan untuk mem-bypass patch yang dirilis untuk CVE-2022-21894, bug Boot Aman lainnya yang disalahgunakan dalam serangan BlackLotus tahun lalu.

Semua sistem Windows yang mengaktifkan perlindungan Boot Aman dipengaruhi oleh kelemahan ini, termasuk perangkat lokal, mesin virtual, dan berbasis cloud.

Namun, patch keamanan CVE-2023-24932 yang dirilis hari ini hanya tersedia untuk versi Windows 10, Windows 11, dan Windows Server yang didukung.

Untuk menentukan apakah perlindungan Boot Aman diaktifkan di sistem Anda, Anda dapat menjalankan perintah msinfo32 dari prompt perintah Windows untuk membuka aplikasi Informasi Sistem.

Secure Boot diaktifkan jika Anda melihat pesan “Secure Boot State ON” di sisi kiri jendela setelah memilih “System Summary.”

selengkapnya : bleepingcomputer.com

Eksploitasi dirilis untuk GoAnywhere MFT Zero-day yang Dieksploitasi Secara Aktif

February 8, 2023 by Coffee Bean

Kode eksploit telah dirilis untuk kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi konsol administrator MFT GoAnywhere yang terpapar Internet.

GoAnywhere MFT adalah alat transfer file berbasis web dan terkelola yang dirancang untuk membantu organisasi mentransfer file secara aman dengan mitra dan menyimpan log audit siapa yang mengakses file bersama.

Pengembangnya adalah Fortra (sebelumnya dikenal sebagai HelpSystems), pakaian di balik alat emulasi ancaman Cobalt Strike yang banyak disalahgunakan.

Fortra mengatakan bahwa “vektor serangan eksploit ini memerlukan akses ke konsol administratif aplikasi, yang dalam banyak kasus hanya dapat diakses dari dalam jaringan perusahaan swasta, melalui VPN, atau dengan alamat IP yang diizinkan (ketika berjalan di cloud lingkungan, seperti Azure atau AWS).”

Namun, pemindaian Shodan menunjukkan bahwa hampir 1.000 instans GoAnywhere terekspos di Internet, meskipun lebih dari 140 berada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).

Untuk menonaktifkan server lisensi, admin harus mengomentari atau menghapus servlet dan konfigurasi pemetaan servlet untuk Servlet Respons Lisensi di file web.xml untuk menonaktifkan titik akhir yang rentan. Restart diperlukan untuk menerapkan konfigurasi baru.

“Ini termasuk kata sandi dan kunci yang digunakan untuk mengakses sistem eksternal apa pun yang terintegrasi dengan GoAnywhere.

“Pastikan bahwa semua kredensial telah dicabut dari sistem eksternal tersebut dan tinjau log akses relevan yang terkait dengan sistem tersebut. Ini juga termasuk kata sandi dan kunci yang digunakan untuk mengenkripsi file di dalam sistem.”

Fortra juga merekomendasikan untuk mengambil langkah-langkah berikut setelah mitigasi di lingkungan dengan kecurigaan atau bukti adanya serangan:

Rotate Master Encryption Key.
Reset credentials – keys and/or passwords – for all external trading partners/systems.
Review audit logs dan delete semua suspicious admin and/or web user accounts
kontak support via the portal https://my.goanywhere.com/, email goanywhere.support@helpsystems.com, atau telephone 402-944-4242 for further assistance.

sumber : bleepingcomputer

Internet Explorer under attack by North Korean hackers: What to do

January 22, 2020 by Winnie the Pooh

Setelah terdapat celah keamanan baru pada Windows: kelemahan “zero-day” di Internet Explorer yang saat ini sedang dieksploitasi oleh peretas Korea Utara, dan perbaikan belum tersedia pada saat ini. Sangat disarankan kepada pengguna Windows untuk berhenti menggunakan Internet Explorer semua versi dan gunakan browser lain seperti Chrome, Mozilla Firefox atau Microsoft Edge.

Jika memang sangat perlu untuk digunakan, gunakan Internet Explorer dengan limited akun (bukan admin).

Kerentanan yang sama juga ditemukan pada Mozilla Firefox namun sudah diperbaiki pada patch bulan lalu.

Hikmahnya adalah bahwa mengeksploitasi kelemahan Internet Explorer bergantung pada keberadaan library tautan langsung yang sudah tidak update yang disebut jscript.dll. Library yang lebih lama telah diganti dengan yang lebih baru bernama jscript9.dll di IE 10 dan 11, dan jscript9.dll tidak terpengaruh oleh kerentanan ini. Namun, browser yang lebih baru dapat memuat jscript.dll jika situs web memerlukannya, dan DLL yang lebih lama masih digunakan secara default di IE 9 dan sebelumnya pada Windows 7.

Klik link di bawah ini untuk melihat bagaimana cara mengatasi masalah ini:

Source: Tom’s Guide

Intsall The Newest Patch of Firefox NOW to Avoid Zeroday

January 9, 2020 by Winnie the Pooh

Mozilla telah merilis versi baru Firefox yang memperbaiki zeroday, kerentanan yang memungkinkan peretas untuk mengendalikan komputer pengguna.

Kerentanan ini (CVE-2019-17026) adalah potensi kesalahan kritis yang dapat mengakibatkan data ditulis, atau dibaca dari, lokasi memori yang biasanya terlarang. Pembacaan di luar batas ini memungkinkan penyerang menemukan lokasi memori tempat kode berbahaya disimpan, sehingga perlindungan seperti pengacakan tata letak ruang alamat (ASLR) dapat di-bypass. Pembacaan di luar batas ini juga dapat menyebabkan proses komputer gagal / crash.

Kelemahan ini diperbaiki pada Firefox versi 72.0.1 yang rilis pada hari Selasa kemarin. Patch datang sehari setelah versi 72 memperbaiki 11 kerentanan lainnya, enam di antaranya berperingkat tinggi. Tiga dari enam bug itu memungkinkan penyerang menjalankan kode jahat pada komputer yang terinfeksi.

Para pengguna Firefox disarankan untuk segera memperbarui aplikasi mereka ke versi yang terbaru.

Source: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zeroday

Cookies Settings