Halaman

    Social Items

Visit WPN
Showing posts with label Security. Show all posts
Showing posts with label Security. Show all posts

 


Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk kerentanan Themes Windows yang dilacak sebagai CVE-2023-38146 yang memungkinkan penyerang jarak jauh mengeksekusi kode.


Masalah keamanan ini juga dikenal sebagai ThemeBleed, dimana itu telah diberi peringkat dengan tingkat keparahan tinggi sebesar 8,8. Masalah ini dapat dimanfaatkan oleh penyerang jika pengguna target membuka file .THEME yang berbahaya yang telah dibuat oleh penyerang.


Kode eksploitasi itu dirilis oleh Gabe Kirkpatrick, salah satu peneliti yang melaporkan kerentanan tersebut kepada Microsoft pada tanggal 15 Mei yang lalu. Sebagai penghargaan atas laporan tersebut, ia menerima $5.000 atau sekitar Rp.77 juta dari Microsoft.


Microsoft membahas CVE-2023-38146 dua hari yang lalu di Patch Selasa, 12 September 2023.



Detail ThemeBleed


Kirkpatrick menemukan kerentanan ketika ia melihat "format file Windows yang tidak lazim," termasuk format file .THEME yang digunakan untuk mengkustomisasi tampilan system operasi.


File-file ini berisi referensi ke file ".msstyles" yang harusnya hanya mengandung resource grafis dan tidak boleh mengandung kode eksekusi. Resource ini dimuat saat file tema yang memerlukan resource tersebut dibuka.


Peneliti mencatat bahwa ketika nomor versi "999" digunakan, terdapat perbedaan besar antara saat signature DLL ("_vrf.dll") diverifikasi dan saat library tersebut dimuat, yang menghasilkan kondisi perlombaan yang berpotensi berbahaya.


Dengan menggunakan file .MSSTYLES yang dibuat khusus, seorang penyerang dapat memanfaatkan kondisi perlombaan tersebut untuk menggantikan DLL yang telah diverifikasi dengan yang berbahaya, yang memungkinkan mereka untuk menjalankan kode sembarang pada sistem target.


Kirkpatrick membuat eksploitasi PoC yang menyebabkan aplikasi Calculator Windows terbuka ketika pengguna menjalankan file tema tersebut.


Peneliti juga mencatat bahwa saat mendownload file tema dari website, biasanya ada peringatan 'mark-of-the-web' yang dapat memberitahu pengguna tentang potensi ancaman. Namun, peringatan ini dapat diabaikan jika penyerang menggabungkan tema ke dalam file .THEMEPACK yang sebenarnya adalah arsip CAB.


Ketika file CAB diluncurkan, tema yang terdapat di dalamnya akan terbuka secara otomatis tanpa memberikan peringatan mark-of-the-web.


Microsoft mengatasi masalah ini dengan menghapus sepenuhnya fungsionalitas "versi 999." Namun, Kirkpatrick mencatat bahwa kondisi perlombaan mendasar masih ada. Selain itu, Microsoft tidak mengatasi masalah ketiadaan peringatan "mark-of-the-web" untuk file themepack.


Oleh karena itu, pengguna Windows disarankan untuk segera menginstal update keamanan Microsoft September 2023. Update ini krusial karena memperbaiki dua kerentanan zero-day yang saat ini sedang dimanfaatkan secara aktif oleh penyerang, serta menangani 57 masalah keamanan lainnya yang melibatkan berbagai aplikasi dan komponen sistem.

ThemeBleed Memungkinkan Penyerang Mengeksekusi Kode di Windows

 


Google telah merilis update keamanan darurat untuk mengatasi kerentanan zero-day yang telah dieksploitasi dalam serangan sejak awal tahun. Kerentanan tersebut terkait dengan browser web Chrome.


Google mengatakan bahwa mereka telah mengetahui adanya eksploitasi terhadap CVE-2023-4863 yang terjadi di luar kontrol mereka. Pernyataan ini disampaikan dalam Chrome Releases yang dirilis oleh perusahaan pada hari Senin.


Versi terbaru saat ini telah dirilis kepada pengguna melalui Stable and Extended stable channel dan diharapkan akan mencapai seluruh basis pengguna dalam beberapa hari atau minggu ke depan.


Disarankan kepada pengguna Chrome untuk segera mengupdate browser web mereka ke versi 116.0.5845.187 (untuk pengguna Mac dan Linux) dan 116.0.5845.187/.188 (untuk pengguna Windows). Langkah ini perlu diambil segera karena update tersebut akan menambal kerentanan CVE-2023-4863 di sistem Windows, Mac dan Linux. Update ini tersedia secara otomatis ketika anda memeriksa update baru melalui menu Chrome > Help > About Google Chrome.


Browser web juga akan secara otomatis memeriksa update baru dan melakukan instalasi tanpa memerlukan tindakan tambahan dari pengguna setelah browser di-restart.



Detail serangan belum tersedia


Kerentanan critical zero-day (CVE-2023-4863) berasal dari kelemahan heap buffer overflow pada format WebP, yang potensinya mencakup dampak mulai dari crash hingga eksekusi kode arbitrari.


Bug tersebut dilaporkan oleh Apple Security Engineering and Architecture (SEAR) dan The Citizen Lab di Munk School Universitas Toronto pada hari Rabu yang lalu, yaitu tanggal 6 September.


Peneliti keamanan dari Citizen Lab secara rutin menemukan dan mengungkap kerentanan zero-day yang sering dieksploitasi dalam serangan spyware yang sangat ditargetkan oleh pelaku ancaman yang didukung pemerintah. Sasaran serangan ini biasanya adalah individu berisiko tinggi seperti politisi oposisi, jurnalis dan aktivis di berbagai belahan dunia.


Pada hari Kamis, Apple merilis update keamanan yang mengatasi dua kerentanan zero-day yang sebelumnya diidentifikasi oleh Citizen Lab sebagai sasaran serangan dalam rantai eksploitasi yang dikenal sebagai BLASTPASS. Kerentanan tersebut digunakan untuk menginfeksi iPhone yang sebelumnya telah diperbaiki dengan sepenuhnya, menggunakan spyware dari NSO Group yang dikenal sebagai Pegasus.


Walaupun Google telah mengkonfirmasi bahwa kerentanan zero-day CVE-2023-4863 telah dieksploitasi secara liar, perusahaan ini belum memberikan informasi lebih lanjut mengenai detail serangan ini.


Google mengatakan, "Akses ke detail bug dan tautan mungkin tetap dibatasi sampai sebagian besar pengguna mendapat update dengan perbaikan. Kami juga akan mempertahankan pembatasan jika kerentanan tersebut terkait dengan library pihak ketiga yang digunakan oleh proyek lain dan belum diperbaiki."


Ini berarti bahwa pengguna Chrome dapat mengamankan browser mereka dengan melakukan update sebelum spesifikasi teknis tambahan dirilis. Tindakan ini dapat menghambat upaya serangan sebelum pelaku ancaman memiliki kesempatan lebih lanjut untuk menciptakan eksploitasi mereka sendiri dan menyebarkannya secara bebas.

Segera Update Google Chrome Anda untuk Atasi Kerentanan Zero-Day

 


Apple baru-baru ini merilis pembaruan keamanan penting untuk iPhone guna mengatasi sebuah bug zero-day yang ditemukan di iOS 16. Bug ini memungkinkan penyerang untuk menginstal spyware di perangkat iPhone dari jarak jauh tanpa memerlukan interaksi apapun dari pemilik iPhone. Penemuan ini dilaporkan oleh Citizen Lab, sebuah kelompok penelitian yang fokus pada isu-isu terkait spyware, yang menemukan eksploitasi tersebut minggu lalu. Setelah pemberitahuan dari Citizen Lab, Apple segera mengambil langkah-langkah untuk mengatasi masalah ini.


Eksploitasi zero-click zero-day telah berhasil digunakan untuk menginstal spyware Pegasus yang dimiliki oleh NGO Group ke dalam iPhone seorang anggota staf organisasi masyarakat sipil yang berbasis di Washington DC. Pegasus adalah software mata-mata yang dikembangkan oleh kontraktor swasta dan biasanya digunakan oleh entitas pemerintah. Spyware ini secara diam-diam menginfeksi perangkat ponsel dan kemudian mengirimkan kembali berbagai jenis data, termasuk foto, pesan dan rekaman audio/video.


Dengan adanya laporan dari Citizen Lab tersebut, Apple telah meluncurkan pembaruan iOS 16.6.1 hanya dalam beberapa hari setelah penemuan eksploitasi ini. Sangat penting bagi pemilik iPhone untuk segera menginstal pembaruan ini, bahkan jika mereka mungkin tidak menjadi sasaran spyware. Ini disebabkan oleh fakta bahwa masih banyak kelompok yang berusaha untuk melakukan rekayasa analisis pembaruan keamanan iOS dengan niat untuk mencari cara memanfaatkan kerentanan baru ini. Tindakan ini dapat meningkatkan risiko serangan yang lebih luas, sehingga menjadikan instalasi pembaruan ini sangat penting untuk melindungi perangkat dan data pribadi.


Citizen Lab masih belum memberikan rincian lengkap mengenai kerentanan tersebut dengan alasan yang jelas. Namun, mereka telah mengindikasikan bahwa eksploitasi tersebut melibatkan penggunaan PassKit yang merupakan framework yang mendasari layanan Apple Pay dan Wallet. Eksploitasi ini melibatkan lampiran yang memuat gambar berbahaya yang dikirim melalui iMessage. Citizen Lab menyatakan harapannya untuk dapat mempublikasikan diskusi yang lebih rinci mengenai rangkaian eksploitasi ini di masa yang akan datang.


Kerentanan di sistem operasi iOS telah menjadi berita utama dalam beberapa tahun terakhir, terutama pada kasus dimana kerentanannya telah dieksploitasi secara aktif sebelum Apple mendeteksinya. Apple bahkan telah mengembangkan sistem Rapid Security Response yang memungkinkan mereka untuk menyediakan perbaikan keamanan pada perangkat iPhone tanpa perlu mengharuskan pengguna untuk me-reboot perangkat mereka.


Yang terpenting adalah Citizen Lab menyatakan bahwa Lockdown Mode Apple dapat menjadi perlindungan bagi pengguna dari eksploitasi terbaru ini. Jadi, jika anda merasa berisiko menjadi target spyware, maka anda disarankan untuk mengaktifkan mode ini.

Segera Instal iOS 16.6.1 pada iPhone Anda! Berikut Alasannya

 


Sebuah tim peneliti dari University of Wisconsin-Madison telah mengembangkan dan mempublikasikan ekstensi konsep di Chrome Web Store yang memiliki kemampuan untuk mengekstrak password teks biasa dari kode sumber website.


Pemeriksaan terhadap kolom input teks di browser web mengungkapkan bahwa model izin yang digunakan oleh ekstensi Chrome melanggar prinsip hak istimewa terendah dan mediasi yang sepenuhnya memadai.


Selain itu, para peneliti juga menemukan bahwa banyak website yang dikunjungi oleh jutaan orang, termasuk beberapa portal milik Google dan Cloudflare, menyimpan password dalam bentuk teks biasa di dalam kode sumber HTML halaman web mereka. Hal ini memberikan peluang bagi ekstensi untuk mengambil password tersebut.



Sumber Masalah


Para peneliti menjelaskan bahwa permasalahannya terkait dengan praktik sistemik yang memberikan ekstensi browser akses tak terbatas ke DOM tree situs yang mereka muat, sehingga memungkinkan akses terhadap elemen-elemen yang bisa jadi sensitif seperti kolom input pengguna.


Karena kurangnya pembatasan keamanan antara ekstensi dan elemen-elemen situs, ekstensi memiliki akses tanpa batasan terhadap data yang terlihat dalam kode sumber dan dapat mengekstraksi konten apapun.


Selain itu, ekstensi juga dapat mengeksploitasi DOM API untuk secara langsung mengambil data input ketika pengguna memasukkannya, bahkan melewati tindakan perlindungan yang mungkin diterapkan oleh website untuk menjaga input yang sensitif, dan mencuri data tersebut dengan cara yang terprogram.


Protokol Manifest V3 yang diperkenalkan oleh Google Chrome dan diadopsi oleh sebagian besar browser tahun ini, memiliki batasan yang bertujuan untuk mencegah penyalahgunaan API. Ini mencakup larangan terhadap ekstensi untuk mengambil kode yang di-hosting dari jarak jauh, yang dapat membantu menghindari deteksi, serta melarang penggunaan eval statements yang dapat mengakibatkan eksekusi kode arbitrary.


Meskipun demikian, sebagaimana dijelaskan oleh para peneliti, Manifest V3 tidak memperkenalkan pembatasan keamanan yang memisahkan ekstensi dari halaman web, sehingga masalah dengan skrip konten tetap ada.




Mengupload PoC di Web Store


Dalam rangka menguji proses peninjauan di Web Store Google, para peneliti memutuskan untuk mengembangkan ekstensi Chrome yang dapat melaksanakan serangan pengambilan password dan mencoba menguploadnya ke platform tersebut.


Para peneliti menciptakan ekstensi yang berpura-pura menjadi asisten berbasis GPT yang memiliki kemampuan:

  • Mencapture kode sumber HTML ketika pengguna mencoba masuk ke halaman melalui regex.
  • Menyalahgunakan CSS selector untuk memilih kolom input target dan mengekstrak input pengguna menggunakan fungsi '.value.'
  • Melakukan substitusi elemen untuk mengganti bidang yang dikaburkan berbasis JS dengan bidang password yang tidak aman.



Ekstensi ini tidak mengandung kode berbahaya yang terlihat dengan jelas, sehingga berhasil menghindari deteksi statis dan tidak mengambil kode dari sumber eksternal (injeksi dinamis), sehingga sesuai dengan Manifest V3.


Akibatnya, ekstensi tersebut berhasil melewati proses peninjauan dan diterima di Chrome Web Store Google, sehingga pemeriksaan keamanan tidak berhasil mendeteksi potensi ancaman.


Tim mengikuti standar etika untuk memastikan bahwa tidak ada data aktual yang dikumpulkan atau disalahgunakan. Mereka menonaktifkan server penerima data dan hanya menjaga server penargetan elemen agar tetap aktif.


Selain itu, ekstensi tersebut selalu diatur dalam status "tidak dipublikasikan" sehingga tidak mendapatkan banyak download dan segera dihapus dari store setelah mendapatkan persetujuan.



Potensi untuk dieksploitasi


Hasil pengukuran berikutnya menunjukkan bahwa dari 10 ribu website teratas (berdasarkan peringkat Tranco), sekitar 1.100 di antaranya menyimpan password pengguna dalam bentuk teks biasa di dalam DOM HTML.


Sebanyak 7.300 website lainnya dari kelompok yang sama dianggap rentan terhadap potensi akses DOM API dan kemampuan untuk mengekstrak data input pengguna secara langsung.



Dalam makalah teknis yang baru diterbitkan oleh para peneliti dari University of Wisconsin-Madison awal pekan ini, disebutkan bahwa sekitar 17.300 ekstensi di Chrome Web Store, yang setara dengan 12,5% dari totalnya, memiliki izin yang diperlukan untuk mengekstrak informasi sensitif dari website.


Beberapa diantaranya, termasuk pemblokir iklan dan aplikasi belanja yang sangat populer, telah didownload oleh jutaan pengguna.


Beberapa contoh website penting yang mencerminkan kurangnya perlindungan yang dibahas dalam laporan ini termasuk:

  • gmail.com – Password teks biasa pada kode sumber HTML.
  • cloudflare.com – Password teks biasa pada kode sumber HTML.
  • facebook.com – Input Password teks biasa pada kode sumber HTML.
  • citibank.com – Input Password teks biasa pada kode sumber HTML.
  • irs.gov – SSN terlihat dalam bentuk teks biasa pada kode sumber halaman web.
  • capitalone.com – SSN terlihat dalam bentuk teks biasa pada kode sumber halaman web.
  • usenix.org – SSN terlihat dalam bentuk teks biasa pada kode sumber halaman web.
  • amazon.com – Rincian kartu kredit (termasuk kode keamanan) dan kode pos terlihat dalam bentuk teks biasa pada kode sumber halaman.



Analisis mengungkapkan bahwa 190 ekstensi, beberapa diantaranya telah didownload lebih dari 100 ribu kali, secara langsung mengakses kolom password dan menyimpan data tersebut dalam sebuah variabel. Hal ini menunjukkan bahwa beberapa publisher mungkin telah mencoba mengeksploitasi celah keamanan.


Seorang juru bicara dari Google telah mengkonfirmasi bahwa mereka sedang melakukan penyelidikan terkait masalah ini. Mereka juga merujuk pada Extensions Security FAQ Chrome yang tidak menganggap akses ke bidang password sebagai masalah keamanan selama izin yang relevan diperoleh dengan benar.

Ekstensi Chrome dapat Mencuri Password Teks Biasa dari Website

 


Malware perbankan Android baru bernama MMRat menggunakan metode komunikasi yang jarang digunakan, serialisasi data protobuf, untuk mencuri data dari perangkat yang disusupi dengan lebih efisien.


MMRat pertama kali teridentifikasi oleh Trend Micro pada akhir Juni 2023, dengan fokus utama pada pengguna di wilayah Asia Tenggara dan berhasil menghindari deteksi oleh layanan pemindaian antivirus seperti VirusTotal.


Meskipun para peneliti tidak memiliki informasi tentang metode awal distribusi malware tersebut kepada korban, mereka berhasil mengidentifikasi bahwa MMRat disebarkan melalui situs web yang menyamar sebagai toko aplikasi resmi.


Para korban ini mendownload dan menginstal aplikasi berbahaya yang membawa MMRat, sering kali aplikasi ini meniru aplikasi resmi pemerintah atau aplikasi kencan dan selama proses instalasi, memberikan izin yang berisiko seperti akses ke layanan Aksesibilitas Android.


Malware dengan otomatis memanfaatkan fitur Aksesibilitas untuk memberikan izin tambahan, yang kemudian memungkinkannya melakukan berbagai tindakan jahat pada perangkat yang telah terinfeksi.



Kemampuan MMRat


Setelah perangkat Android terinfeksi oleh MMRat, malware ini membentuk saluran komunikasi dengan server C2 dan mengawasi aktivitas perangkat untuk mengidentifikasi periode ketidakaktifan.


Pada periode tersebut, para pelaku ancaman menyalahgunakan Layanan Aksesibilitas untuk menghidupkan perangkat dari jarak jauh, membuka kunci layar dan melakukan penipuan bank secara real-time.


Fungsi utama MMRat dapat diringkas sebagai berikut:

  • Mengumpulkan informasi jaringan, layar dan baterai.
  • Mengekstrak daftar kontak pengguna dan daftar aplikasi yang diinstal.
  • Mencapture input pengguna melalui keylogging.
  • Mencapture konten layar secara real-time dari perangkat dengan menyalahgunakan API MediaProjection.
  • Merekam dan live-streaming data kamera.
  • Merekam dan menyalin data layar dalam bentuk teks dump yang dieksfiltrasi ke C2.
  • Menguninstal dirinya sendiri dari perangkat untuk menghapus semua bukti infeksi.



Kemampuan MMRat untuk mengambil konten layar secara real-time, bahkan dengan menggunakan metode yang lebih sederhana seperti 'status terminal pengguna' yang mengekstraksi data teks yang memerlukan rekonstruksi, mengharuskan transmisi data yang efisien.


Dengan efisiensi seperti itu, kinerja malware ini akan menghambat kemampuan pelaku ancaman untuk melakukan penipuan bank dengan efektif. Oleh karena itu, penulis MMRat memutuskan untuk mengembangkan protokol Protobuf yang khusus untuk mengirimkan data yang diekstraksi secara efisien.




Keunggulan Protobuf


MMRat memanfaatkan protokol server perintah dan kontrol (C2) yang unik, didasarkan pada protokol buffering (Protobuf) untuk melakukan transfer data dengan efisiensi yang jarang terdapat pada trojan Android.


Protobuf adalah metode serialisasi data terstruktur yang dikembangkan oleh Google, yang serupa dengan XML dan JSON dalam bentuknya, namun lebih ringkas dan memiliki kinerja yang lebih cepat.


MMRat memanfaatkan port dan protokol yang berbeda untuk berkomunikasi dengan C2, contohnya HTTP di port 8080 untuk eksfiltrasi data, RTSP di port 8554 untuk streaming video, dan menggunakan Protobuf khusus di port 8887 untuk perintah dan kontrol.


Menurut laporan Trend Micro, Protokol C&C, khususnya, memiliki keunikan karena telah disesuaikan dengan menggunakan framework aplikasi jaringan Netty dan memanfaatkan Protobuf seperti yang telah dijelaskan sebelumnya, lengkap dengan struktur pesan yang dirancang dengan baik.


Dalam komunikasi C&C, para pelaku ancaman menggunakan struktur yang terorganisir dengan baik untuk mewakili berbagai jenis pesan, dan mereka menggunakan kata kunci "oneof" untuk merepresentasikan berbagai jenis data yang berbeda.



Selain efisiensi Protobuf, penggunaan protokol khusus juga membantu para pelaku ancaman menghindari deteksi oleh alat keamanan jaringan yang mencari pola anomali umum yang sudah dikenali.


Fleksibilitas Protobuf memungkinkan penulis MMRat untuk mendefinisikan struktur pesan mereka dan mengatur cara data dikirimkan. Sementara itu, sifat terstrukturnya memastikan bahwa data yang dikirim mematuhi skema yang telah ditentukan sebelumnya dan memiliki kemungkinan lebih rendah untuk rusak di pihak penerima.


Secara keseluruhan, MMRat adalah contoh yang menunjukkan kemajuan yang signifikan dalam trojan perbankan Android, yang mampu menggabungkan keahlian dalam penyamaran dengan ekstraksi data yang efisien.


Pengguna Android sebaiknya hanya mendownload aplikasi dari Google Play Store, mengecek ulasan pengguna, hanya mempercayai penerbit yang memiliki reputasi baik dan harus berhati-hati saat melakukan instalasi, terutama ketika diminta untuk memberikan izin akses.

Malware Android Baru MMRat Menggunakan Protokol Protobuf untuk Mencuri Data Anda

 


Google menambahkan lapisan keamanan tambahan ke akun Gmail pribadi guna mencegah peretasan dan melindungi pengaturan sensitif.


Perusahaan telah secara otomatis mendaftarkan akun Google dalam sistem autentikasi multi-faktor (MFA), yang memerlukan anda untuk melakukan login dengan menggunakan kata sandi dan langkah tambahan kedua, seperti memasukkan kode dari aplikasi autentikator, mengakui perintah Google atau menggunakan kunci keamanan fisik.


Perusahaan sekarang akan mengharuskan autentikasi multi-faktor (MFA) ketika seseorang mencoba mengubah pengaturan akun Gmail terkait pemfilteran email, forward dan akses IMAP. Ini bertujuan untuk mengamankan akses dan mencegah klien pihak ketiga dari mengambil email dari kotak masuk tanpa izin.


Di tangan yang salah, semua fitur ini dapat disalahgunakan untuk mengatur ulang akun Gmail sehingga email anda dapat dikirim kepada pihak lain. Oleh karena itu, mulai sekarang, ketika tindakan semacam itu diambil, Google akan mengevaluasi sesi yang mencoba tindakan tersebut. Jika sesi tersebut dianggap berisiko, maka akan diminta verifikasi melalui perintah 'Verify it’s you,' demikian seperti yang diungkapkan Google dalam sebuah postingan blog pada hari Rabu.



Perintah tersebut akan mengharuskan pengguna yang melakukan perubahan untuk melakukan proses masuk ulang melalui metode autentikasi kedua, seperti notifikasi yang dikirimkan oleh Google ke smartphone pemegang akun. Seperti yang dijelaskan oleh perusahaan tersebut, jika upaya verifikasi gagal atau tidak berhasil diselesaikan, pengguna akan menerima pemberitahuan 'Critical security alert' di perangkat yang dapat dipercayai.



Perlindungan keamanan ini bisa mencegah peretas dari merusak akun Gmail anda jika mereka berhasil mengaksesnya satu kali. Selain itu, langkah-langkah perlindungan serupa juga dapat mencegah kesalahan konfigurasi akun Gmail anda oleh orang terdekat jika anda sedang jauh dari komputer yang tidak terkunci. Tetapi di sisi lain, peningkatan keamanan ini juga dapat menyebabkan ketidaknyamanan bagi pengguna jika proses tantangan autentikasi multi-faktor (MFA) menjadi merepotkan.


Perusahaan menerapkan perubahan ini satu tahun setelah memulai menerapkan tantangan autentikasi multi-faktor (MFA) untuk perubahan yang dilakukan oleh pengguna Google Workspace. Saat ini, Google telah meluncurkan perlindungan MFA untuk semua pengguna yang memiliki akun Google pribadi.


Cara kerja bagi pengguna yang belum menghubungkan smartphone mereka tidak sepenuhnya jelas. Belum ada informasi lebih lanjut tentang kal ini, namun, dugaan awal bahwa perusahaan hanya akan menerapkan tantangan autentikasi multi-faktor (MFA) untuk akun yang mengaktifkan fitur ini.

Google Meningkatkan Keamanan Akun Gmail Pribadi dengan Autentikasi Multi-Faktor

 


Peneliti keamanan telah mempublikasikan tool bernama NoFilter yang dapat disalahgunakan untuk memanfaatkan Windows Filtering Platform guna meningkatkan hak istimewa pengguna, dengan tujuan untuk mencapai tingkat izin tertinggi ke system Windows.


Utilitas ini bermanfaat dalam situasi pasca-eksploitasi, ketika seorang penyerang perlu mengeksekusi kode berbahaya dengan tingkat izin yang lebih tinggi atau melakukan perpindahan lateral di jaringan korban. Ini terjadi ketika pengguna lain sudah memiliki akses ke perangkat yang telah terinfeksi.



Akses Duplikasi Token


Microsoft mendeskripsikan Windows Filtering Platform (WFP) sebagai "sebuah pengaturan API dan layanan system yang menyediakan platform untuk pembuatan aplikasi pemfilteran jaringan."


Pengembang dapat memanfaatkan API WFP untuk mengembangkan kode yang mampu melakukan pemfilteran atau modifikasi data jaringan sebelum mencapai tujuannya. Ini adalah kemampuan yang sering digunakan dalam tool pemantauan jaringan, system deteksi intrusi atau firewall.


Para peneliti di perusahaan keamanan siber Deep Instinct berhasil mengembangkan tiga serangan baru yang memungkinkan peningkatan hak istimewa pada system Windows, semuanya dengan usaha minimal untuk tidak meninggalkan jejak yang dapat terdeteksi oleh berbagai produk keamanan.


Metode pertama memungkinkan penggunaan Windows Filtering Platform (WFP) untuk menggandakan token akses, yaitu fragmen kode yang mengidentifikasi pengguna dan izin yang mereka miliki dalam konteks keamanan thread dan proses.


Ketika sebuah thread menjalankan tugas yang memerlukan hak istimewa, pengidentifikasi keamanan memeriksa apakah token yang terkait memiliki tingkat akses yang diperlukan.


Ron Ben Yizhak, seorang peneliti keamanan di Deep Instinct, menjelaskan bahwa pemanggilan fungsi NtQueryInformationProcess memungkinkan mendapatkan tabel handle yang berisi semua token yang dimiliki oleh suatu proses.


"Handle token ini dapat direplikasi untuk proses lain agar dapat meningkatkan hak istimewa ke tingkat SYSTEM," tulis Yizhak dalam postingan blog teknisnya.


Peneliti menjelaskan bahwa dalam system operasi Windows, ada driver penting yang disebut tcpip.sys yang memiliki beberapa fungsi yang dapat dieksekusi melalui permintaan IO perangkat ke lapisan mode kernel WPF ALE (Application Layer Enforcement) untuk melakukan pemfilteran stateful.


Ron Ben Yizhak mengatakan, "Permintaan IO perangkat dikirim untuk menjalankan WfpAleProcessTokenReference. Ini akan dilampirkan pada ruang alamat layanan, melakukan duplikasi token layanan yang dimiliki oleh SYSTEM, dan kemudian menyimpannya di dalam tabel hash."


Tool NoFilter mengeksploitasi WPF dengan cara ini untuk menggandakan token, sehingga berhasil mencapai tingkatan hak istimewa.



Dengan menghindari penggunaan panggilan DuplicateHandle, peneliti mengungkapkan bahwa hal ini dapat meningkatkan tingkat kerahasiaan. Selain itu, banyak solusi deteksi dan respons endpoint mungkin akan gagal mendeteksi tindakan jahat tersebut.



Mendapatkan Token Akses SYSTEM dan Admin


Metode kedua melibatkan trigger koneksi IPSec dan penyalahgunaan service Print Spooler untuk menyuntikkan token SYSTEM ke dalam tabel.


Dengan menggunakan fungsi RpcOpenPrinter, handle diambil untuk printer berdasarkan namanya. Dengan mengubah nama menjadi "\127.0.0.1," service terhubung ke host lokal.


Setelah panggilan RPC, beberapa permintaan IO perangkat ke WfpAleQueryTokenById diperlukan untuk mengakses token SYSTEM.



Menurut Yizhak, metode ini cenderung lebih tersembunyi dibandingkan dengan yang pertama karena mengkonfigurasi kebijakan IPSec yang biasanya merupakan tindakan yang dilakukan oleh pengguna yang memiliki hak istimewa yang sah, seperti administrator jaringan.


“Selain itu, kebijakan tersebut tidak mengubah komunikasi; tidak ada layanan yang terpengaruh olehnya dan solusi EDR yang memantau aktivitas jaringan kemungkinan besar akan mengabaikan koneksi ke host lokal.”


Metode ketiga yang diuraikan dalam postingan Yizhak memungkinkan perolehan token dari pengguna lain yang telah login ke system yang telah diinfiltrasi, dengan tujuan melakukan perpindahan lateral.


Peneliti mengatakan bahwa memungkinkan untuk memulai proses dengan izin dari pengguna yang telah login jika token akses dapat ditambahkan ke dalam tabel hash.


Peneliti mencari server Remote Procedural Call (RPC) yang beroperasi dengan hak akses dari pengguna yang telah login, kemudian menjalankan skrip untuk mengidentifikasi proses yang berjalan sebagai administrator domain dan mengekspos antarmuka RPC.


Untuk memperoleh token dan menjalankan proses tanpa batasan dengan hak akses pengguna yang telah login, peneliti memanfaatkan service OneSyncSvc dan SyncController.dll, yang merupakan komponen baru dalam ffensive tool.



Saran Deteksi


Peretas dan penguji penetrasi keamanan mungkin akan mengadopsi ketiga teknik tersebut karena melaporkannya ke Microsoft Security Response Center, perusahaan akan mengatakan bahwa perilaku tersebut sesuai dengan desain. Ini umumnya berarti tidak akan ada perbaikan atau langkah mitigasi yang diambil.


Meskipun lebih tersembunyi daripada metode lainnya, Deep Instinct tetap menyediakan beberapa metode untuk mendeteksi ketiga serangan tersebut dan merekomendasikan untuk mencari event berikut ini:

  • Mengkonfigurasi kebijakan IPSec baru yang tidak cocok dengan konfigurasi jaringan yang diketahui.
  • RPC memanggil Spooler/OneSyncSvc saat kebijakan IPSec aktif.
  • Memaksa LUID token melalui beberapa panggilan ke WfpAleQueryTokenById.
  • Permintaan IO perangkat ke perangkat WfpAle dengan proses selain service BFE.


Yizhak mempresentasikan tiga teknik baru ini dalam konferensi hacker DEF CON awal bulan ini. Semua detail teknis lengkap dapat ditemukan dalam postingan Deep Instinct.

Teknik Baru yang Memungkinkan Peretas Mendapatkan Hak Istimewa di System Windows

 


Cacat serius di WinRAR telah diperbaiki. Sebelumnya dilaporkan bahwa utilitas pengarsipan file yang populer di Windows yang digunakan oleh jutaan pengguna ini, dapat memungkinkan pelaku kejahatan untuk menjalankan perintah di komputer hanya dengan membuka arsip.


Cacat tersebut diidentifikasi sebagai CVE-2023-40477 yang dapat memungkinkan penyerang untuk menjalankan kode arbitrer pada sistem target dari jarak jauh setelah membuka file RAR yang telah dibuat secara khusus.


Cacat ini pertama kali ditemukan oleh peneliti dengan nama "goodbyeselene" dari Zero Day Initiative. Peneliti ini melaporkan kerentanan ini kepada vendor, RARLAB, pada tanggal 8 Juni 2023.


Kerentanan ini terkait dengan proses pemulihan volume dalam WinRAR, yang biasanya digunakan untuk memperbaiki file arsip yang rusak sebagian. Menurut Zero Day Initiative, masalah ini terjadi karena kurangnya validasi yang memadai terhadap data yang diberikan oleh pengguna, yang dapat menyebabkan akses ke memori melewati batas buffer yang telah dialokasikan. Hal ini dapat dimanfaatkan oleh seorang penyerang untuk menjalankan kode dalam konteks proses saat ini.


Akibatnya dari ini menyebabkan komputer dapat dimanipulasi untuk menjalankan kode komputer berbahaya, seperti malware. Untungnya, kerentanan ini memiliki batasan utama. Menurut Zero Day Initiative, batasan utama dari masalah ini adalah diperlukan interaksi pengguna untuk mengeksploitasi kerentanan ini karena target harus mengunjungi halaman berbahaya atau membuka file berbahaya.


Meskipun demikian, kerentanan ini masih dapat menjadi ancaman serius bagi banyak pengguna. Dengan lebih dari 500 juta pengguna di seluruh dunia, WinRAR adalah pilihan umum untuk membuka berbagai jenis file arsip, termasuk format .RAR. Oleh karena itu, tidak sulit membayangkan bahwa cybercriminal dapat menciptakan website atau file jebakan, kemudian menyebarkannya di internet untuk mengecoh pengguna yang tidak curiga.


Berita baiknya adalah WinRAR telah bertindak cepat untuk mengatasi kerentanan ini dengan merilis pembaruan software pada awal bulan ini, setelah seorang peneliti keamanan dari Zero Day Initiative menemukan kerentanan tersebut pada bulan Juni. Tim WinRAR sekarang mengimbau pengguna untuk segera melakukan pembaruan ke versi 6.23 sebagai tindakan perlindungan terhadap komputer mereka.


Menurut laporan dari Zero Day Initiative, tampaknya belum ada kelompok hacker yang telah mengeksploitasi atau mengetahui kerentanan tersebut. Namun, kerentanan ini mendapatkan peringkat tinggi dengan nilai CVSS sebesar 7,8, yang menunjukkan tingkat keparahan yang signifikan. Ini disebabkan oleh kompleksitas serangannya yang dinilai "rendah." Dengan kata lain, meskipun serangan mungkin sulit dilakukan, ada kemungkinan bahwa hacker pada akhirnya dapat mengungkap rincian kerentanan ini untuk menargetkan pengguna yang masih menjalankan versi WinRAR yang belum diperbarui.

Cacat WinRAR: Memungkinkan Hacker Menjalankan Malware saat Membuka Arsip RAR

Subscribe to: Posts (Atom)