Halaman

    Social Items

Visit WPN
Showing posts with label Windows 10. Show all posts
Showing posts with label Windows 10. Show all posts

 


Microsoft akhirnya mengucapkan selamat tinggal pada WordPad yang telah menemani Windows selama 28 tahun.


Perusahaan mengumumkan pada hari Jumat bahwa mereka berencana untuk menghentikan penggunaan WordPad dengan update Windows di masa yang akan datang. Walaupun perusahaan tidak mengumumkan waktu spesifik untuk perubahan tersebut, namun laporan dari Bleeping Computer telah menyampaikan informasi ini.


Sejak diluncurkan bersama Windows 95, WordPad telah diinstal secara default pada komputer Windows. Program ini memberikan pengguna akses ke pengolah kata dasar dan editor dokumen.


Microsoft merekomendasikan pengguna untuk beralih ke Microsoft Word untuk mengedit dokumen rich text seperti .doc dan .rtf, sementara untuk dokumen teks biasa seperti .txt, Windows Notepad tetap menjadi pilihan yang tersedia. Penting untuk dicatat bahwa untuk mengakses Microsoft Word, pengguna diharuskan berlangganan Microsoft 365 dengan opsi berlangganan bulanan atau tahunan.


WordPad telah menjadi fitur opsional dalam Windows sejak Windows 10 Insider Build 19551, yang diluncurkan pada Februari 2020. Meskipun program ini awalnya diinstal secara default pada komputer, pengguna memiliki opsi untuk menghapus instalasinya melalui pengaturan Optional features pada control panel Windows.


Pada bulan lalu, Microsoft mengumumkan rencana untuk menghentikan pengembangan Cortana, salah satu produk utama Windows. Awalnya, perusahaan merencanakan untuk menghapus dukungan untuk Cortana di Windows pada bulan Juni, namun kemudian menggeser tanggal tersebut menjadi akhir 2023 sebelum akhirnya secara resmi menghentikan layanan tersebut pada awal Agustus.


Saat Cortana dihentikan, Microsoft mengumumkan bahwa Cortana akan tetap tersedia di Outlook mobile, Teams mobile, display Microsoft Teams dan room Microsoft Teams.


Microsoft belum mengumumkan rencana apapun yang memungkinkan pengguna untuk terus mengakses WordPad. Sebaliknya, perusahaan hanya menyatakan bahwa software tersebut tidak akan menerima update lebih lanjut.

Microsoft Akan Menghentikan WordPad

 


Dalam sebuah postingan blog Windows Insider, Microsoft mengumumkan peluncuran pembaruan terbaru untuk Canary channel (tempat munculnya beta paling mutakhir) dan Dev channel (saluran paling stabil berikutnya), yang akan membawa perubahan signifikan bagi pengguna. Salah satu fitur utama yang diperkenalkan adalah penyimpanan otomatis, yang akan menghilangkan kebutuhan untuk menyimpan pekerjaan secara manual. Ini merupakan perubahan yang sangat dinantikan, terutama bagi pengguna aplikasi note tersinkronisasi Microsoft seperti OneNote. Meskipun dalam Word dan software lainnya anda masih harus melakukan penyimpanan manual, pembaruan ini menunjukkan langkah positif dalam memudahkan penggunaan aplikasi Microsoft.



Selain penyimpanan otomatis, pembaruan ini juga membawa perubahan pada antarmuka untuk merekam aktivitas layar dengan Snipping Tool. Antarmuka yang lebih mudah diakses akan memudahkan pengguna untuk mengambil tangkapan layar atau merekam aktivitas layar dengan lebih cepat dan efisien.


Editor teks di Windows 11 telah menerima beberapa perubahan positif, dengan salah satu pembaruan sebelumnya yang memperkenalkan fitur tab. Fitur terbaru ini memungkinkan anda untuk mengucapkan selamat tinggal pada kotak pesan mengganggu yang biasanya muncul dan menanyakan apakah anda ingin menyimpan dokumen terbuka anda sebelum menutupnya. Sekarang, ketika anda membuka kembali Notepad, semuanya akan kembali seperti yang anda tinggalkan sebelumnya.


Namun, penting untuk diingat bahwa meskipun penyimpanan otomatis telah diperbarui untuk tab, anda masih harus memberi nama dan menyimpan file secara eksplisit saat anda memutuskan untuk menutup tab tersebut. Fitur ini memberikan pengguna fleksibilitas karena bersifat opsional. Anda dapat mematikannya jika anda lebih suka menggunakan cara kerja yang tidak melibatkan penyimpanan otomatis, sesuai dengan preferensi anda.



Snipping Tool Movie yang Lebih Mudah


Pada pembaruan terbaru, utilitas screenshot Snipping Tool yang disertakan dalam Windows telah diperbarui dengan peningkatan yang signifikan. Kini, Snipping Tool tidak hanya memungkinkan anda untuk mengambil gambar diam, tetapi juga memberikan kemampuan untuk merekam video aksi di layar dengan pilihan waktu terhenti.



Sebelumnya, saat anda mengetik tombol Windows+Ctrl+S, toolbar yang muncul hanya menawarkan opsi screenshot. Namun, dengan pembaruan ini, anda akan mendapatkan kedua opsi, yaitu screenshot dan screen recording di toolbar tersebut. Ini akan memberikan lebih banyak fleksibilitas dalam mengambil konten layar sesuai kebutuhan anda.


Selain itu, pembaruan ini juga memungkinkan anda untuk memutuskan apakah anda ingin merekam audio voiceover dengan menggunakan mikrofon PC anda saat anda sedang merekam layar. Ini adalah tambahan yang sangat berguna untuk memastikan bahwa anda dapat menjelaskan dengan audio bersamaan dengan tindakan visual di layar.

Penyimpanan Otomatis untuk Notepad dan Perubahan Antarmuka Snipping Tool Akan Segera Hadir

 


Peneliti keamanan telah mempublikasikan tool bernama NoFilter yang dapat disalahgunakan untuk memanfaatkan Windows Filtering Platform guna meningkatkan hak istimewa pengguna, dengan tujuan untuk mencapai tingkat izin tertinggi ke system Windows.


Utilitas ini bermanfaat dalam situasi pasca-eksploitasi, ketika seorang penyerang perlu mengeksekusi kode berbahaya dengan tingkat izin yang lebih tinggi atau melakukan perpindahan lateral di jaringan korban. Ini terjadi ketika pengguna lain sudah memiliki akses ke perangkat yang telah terinfeksi.



Akses Duplikasi Token


Microsoft mendeskripsikan Windows Filtering Platform (WFP) sebagai "sebuah pengaturan API dan layanan system yang menyediakan platform untuk pembuatan aplikasi pemfilteran jaringan."


Pengembang dapat memanfaatkan API WFP untuk mengembangkan kode yang mampu melakukan pemfilteran atau modifikasi data jaringan sebelum mencapai tujuannya. Ini adalah kemampuan yang sering digunakan dalam tool pemantauan jaringan, system deteksi intrusi atau firewall.


Para peneliti di perusahaan keamanan siber Deep Instinct berhasil mengembangkan tiga serangan baru yang memungkinkan peningkatan hak istimewa pada system Windows, semuanya dengan usaha minimal untuk tidak meninggalkan jejak yang dapat terdeteksi oleh berbagai produk keamanan.


Metode pertama memungkinkan penggunaan Windows Filtering Platform (WFP) untuk menggandakan token akses, yaitu fragmen kode yang mengidentifikasi pengguna dan izin yang mereka miliki dalam konteks keamanan thread dan proses.


Ketika sebuah thread menjalankan tugas yang memerlukan hak istimewa, pengidentifikasi keamanan memeriksa apakah token yang terkait memiliki tingkat akses yang diperlukan.


Ron Ben Yizhak, seorang peneliti keamanan di Deep Instinct, menjelaskan bahwa pemanggilan fungsi NtQueryInformationProcess memungkinkan mendapatkan tabel handle yang berisi semua token yang dimiliki oleh suatu proses.


"Handle token ini dapat direplikasi untuk proses lain agar dapat meningkatkan hak istimewa ke tingkat SYSTEM," tulis Yizhak dalam postingan blog teknisnya.


Peneliti menjelaskan bahwa dalam system operasi Windows, ada driver penting yang disebut tcpip.sys yang memiliki beberapa fungsi yang dapat dieksekusi melalui permintaan IO perangkat ke lapisan mode kernel WPF ALE (Application Layer Enforcement) untuk melakukan pemfilteran stateful.


Ron Ben Yizhak mengatakan, "Permintaan IO perangkat dikirim untuk menjalankan WfpAleProcessTokenReference. Ini akan dilampirkan pada ruang alamat layanan, melakukan duplikasi token layanan yang dimiliki oleh SYSTEM, dan kemudian menyimpannya di dalam tabel hash."


Tool NoFilter mengeksploitasi WPF dengan cara ini untuk menggandakan token, sehingga berhasil mencapai tingkatan hak istimewa.



Dengan menghindari penggunaan panggilan DuplicateHandle, peneliti mengungkapkan bahwa hal ini dapat meningkatkan tingkat kerahasiaan. Selain itu, banyak solusi deteksi dan respons endpoint mungkin akan gagal mendeteksi tindakan jahat tersebut.



Mendapatkan Token Akses SYSTEM dan Admin


Metode kedua melibatkan trigger koneksi IPSec dan penyalahgunaan service Print Spooler untuk menyuntikkan token SYSTEM ke dalam tabel.


Dengan menggunakan fungsi RpcOpenPrinter, handle diambil untuk printer berdasarkan namanya. Dengan mengubah nama menjadi "\127.0.0.1," service terhubung ke host lokal.


Setelah panggilan RPC, beberapa permintaan IO perangkat ke WfpAleQueryTokenById diperlukan untuk mengakses token SYSTEM.



Menurut Yizhak, metode ini cenderung lebih tersembunyi dibandingkan dengan yang pertama karena mengkonfigurasi kebijakan IPSec yang biasanya merupakan tindakan yang dilakukan oleh pengguna yang memiliki hak istimewa yang sah, seperti administrator jaringan.


“Selain itu, kebijakan tersebut tidak mengubah komunikasi; tidak ada layanan yang terpengaruh olehnya dan solusi EDR yang memantau aktivitas jaringan kemungkinan besar akan mengabaikan koneksi ke host lokal.”


Metode ketiga yang diuraikan dalam postingan Yizhak memungkinkan perolehan token dari pengguna lain yang telah login ke system yang telah diinfiltrasi, dengan tujuan melakukan perpindahan lateral.


Peneliti mengatakan bahwa memungkinkan untuk memulai proses dengan izin dari pengguna yang telah login jika token akses dapat ditambahkan ke dalam tabel hash.


Peneliti mencari server Remote Procedural Call (RPC) yang beroperasi dengan hak akses dari pengguna yang telah login, kemudian menjalankan skrip untuk mengidentifikasi proses yang berjalan sebagai administrator domain dan mengekspos antarmuka RPC.


Untuk memperoleh token dan menjalankan proses tanpa batasan dengan hak akses pengguna yang telah login, peneliti memanfaatkan service OneSyncSvc dan SyncController.dll, yang merupakan komponen baru dalam ffensive tool.



Saran Deteksi


Peretas dan penguji penetrasi keamanan mungkin akan mengadopsi ketiga teknik tersebut karena melaporkannya ke Microsoft Security Response Center, perusahaan akan mengatakan bahwa perilaku tersebut sesuai dengan desain. Ini umumnya berarti tidak akan ada perbaikan atau langkah mitigasi yang diambil.


Meskipun lebih tersembunyi daripada metode lainnya, Deep Instinct tetap menyediakan beberapa metode untuk mendeteksi ketiga serangan tersebut dan merekomendasikan untuk mencari event berikut ini:

  • Mengkonfigurasi kebijakan IPSec baru yang tidak cocok dengan konfigurasi jaringan yang diketahui.
  • RPC memanggil Spooler/OneSyncSvc saat kebijakan IPSec aktif.
  • Memaksa LUID token melalui beberapa panggilan ke WfpAleQueryTokenById.
  • Permintaan IO perangkat ke perangkat WfpAle dengan proses selain service BFE.


Yizhak mempresentasikan tiga teknik baru ini dalam konferensi hacker DEF CON awal bulan ini. Semua detail teknis lengkap dapat ditemukan dalam postingan Deep Instinct.

Teknik Baru yang Memungkinkan Peretas Mendapatkan Hak Istimewa di System Windows

 


Microsoft telah secara default mengaktifkan perbaikan untuk kerentanan pengungkapan informasi Kernel kepada semua pengguna, setelah sebelumnya menonaktifkannya karena adanya kekhawatiran bahwa tindakan tersebut dapat mengakibatkan perubahan yang merusak pada sistem operasi Windows.


Kerentanan yang diidentifikasi dengan kode CVE-2023-32019 telah diberi perhatian dan tingkat keparahannya dinilai sebesar 4,7/10 dalam kategori sedang. Meskipun demikian, Microsoft telah mengevaluasi kecacatan ini dengan tingkat keparahan yang lebih tinggi, yakni sebagai 'penting'.


Bug ini berhasil diidentifikasi oleh seorang peneliti keamanan bernama Mateusz Jurczyk dari tim Google Project Zero. Kehadiran bug ini memungkinkan seorang penyerang yang telah diautentikasi untuk dapat mengakses memori dari proses yang memiliki hak istimewa, sehingga memungkinkan mereka untuk mengekstraksi informasi dari sumber yang tidak seharusnya dapat diakses.


Walaupun belum terdapat bukti eksploitasi yang tersebar luas, Microsoft pada awalnya mengeluarkan pembaruan keamanan dengan perbaikan yang dinonaktifkan. Tindakan ini diambil sebagai langkah pencegahan, karena ada kekhawatiran bahwa perbaikan tersebut berpotensi menyebabkan perubahan yang merusak pada integritas sistem operasi.


Microsoft menjelaskan bahwa resolusi yang diuraikan dalam artikel ini membawa perubahan yang berpotensi memiliki dampak yang merusak. Oleh karena itu, perubahan ini awalnya diperkenalkan dalam keadaan dinonaktifkan secara bawaan, tetapi pengguna memiliki opsi untuk mengaktifkannya sesuai kebutuhan.


Sebagai alternatif, para pengguna Windows diharapkan untuk secara manual mengaktifkan pembaruan ini dengan menambahkan nilai registri berikut ke dalam key registry berikut ini.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides.


Di lokasi tersebut, pengguna kemudian perlu menambahkan DWORD baru dengan mengklik kanan pada keyreg Overrides, kemudian pilih New > DWORD (32-bit) Value dan beri nama DWORD seperti berikut ini sesuai edisi Windows yang anda gunakan. Setelah itu, edit value datanya. 

  • Windows 10 20H2, 21H2, 22H2: Tambahkan DWORD baru bernama 4103588492 dengan value data 1.
  • Windows 11 21H2: Tambahkan DWORD baru bernama 4204251788 dengan value data 1.
  • Windows 11 22H2: Tambahkan DWORD baru bernama 4237806220 dengan value data 1.
  • Windows Server 2022: Tambahkan DWORD baru bernama 4137142924 dengan value data 1.


Namun demikian, Microsoft tidak merinci potensi konflik yang mungkin timbul dari aktivasi pembaruan ini. Mereka hanya memberitahu bahwa pada saatnya, pembaruan ini akan diaktifkan secara default di masa yang akan datang.


Tingkat ketidakpastian ini menyebabkan banyak administrator Windows enggan untuk menerapkan perbaikan ini, karena mereka khawatir bahwa hal tersebut dapat mengakibatkan masalah saat menginstal Windows pada sistem mereka.


Seperti yang diungkapkan pertama kali oleh Neowin, Microsoft kini telah mengimplementasikan perbaikan untuk kerentanan CVE-2023-32019 secara otomatis dalam pembaruan Patch Tuesday Agustus 2023.

Microsoft Mengaktifkan Perbaikan Windows Kernel CVE-2023-32019

 


Pada akhir tahun, Microsoft akan menghentikan dukungan untuk aplikasi Windows Mail dan Calendar di Windows 10 dan Windows 11. Untuk memfasilitasi pengguna kedua aplikasi tersebut, pada bulan Agustus nanti, Microsoft akan secara otomatis melakukan migrasi pengguna kedua aplikasi ke aplikasi Outlook for Windows yang baru.


Pada awalnya, Windows Mail dan Calendar dikembangkan sebagai aplikasi bawaan untuk system operasi Windows 10. Kedua aplikasi ini bertujuan untuk menyediakan pengguna dengan antarmuka yang mudah digunakan untuk mengakses email dan mengatur jadwal acara, tugas dan janji temu.


Dengan peluncuran Windows 11, Microsoft tetap menyertakan aplikasi Mail dan Calendar sebagai bagian dari system operasi, meskipun beberapa menganggapnya bukan aplikasi email modern.


Microsoft telah mengonfirmasi rencananya untuk menghentikan aplikasi Mail dan Calendar pada Windows 10 dan Windows 11. Sebagai gantinya, mereka akan mentransisikan pengguna ke aplikasi Outlook for Windows yang baru, yang telah tersedia untuk pengujian. Dengan langkah ini, Microsoft berusaha untuk memberikan pengalaman yang lebih terintegrasi dan ditingkatkan kepada pengguna serta menghadirkan aplikasi email yang lebih modern dan canggih.



Mail dan Calendar dihentikan pada akhir tahun


Microsoft telah memulai memberitahu kepada konsumen dan pelanggan perusahaan tentang rencananya untuk menghentikan dukungan terhadap aplikasi Windows Mail dan Calendar pada tahun 2024. Sebagai rekomendasi, mereka mengajukan agar pengguna mulai melakukan pengujian aplikasi Outlook yang baru sebagai alternatif yang akan menggantikan aplikasi yang akan dihentikan tersebut. Dengan memberikan pemberitahuan ini, Microsoft berupaya untuk memberikan waktu yang cukup bagi pengguna untuk beradaptasi dengan perubahan ini dan menawarkan opsi yang lebih modern dan lebih canggih untuk mengelola email dan jadwal kegiatan mereka.


Untuk menguji aplikasi baru tersebut, pengguna Windows dapat mengaktifkan opsi "Try the new Outlook" yang terletak di pojok kanan atas  baik itu di aplikasi Windows Mail maupun Calendar. Saat anda mengaktifkan opsi tersebut, aplikasi Outlook baru akan diinstall secara otomatis, dan anda merlu mengikuti beberapa langkah termasuk mengimpor pengaturan dari aplikasi Mail lama ke aplikasi Outlook yang baru.



Pada saat yang sama, Microsoft akan memberikan peringatan kepada pelanggan melalui Microsoft 365 MC590123 advisory bahwa mereka akan melakukan penggantian otomatis aplikasi Email dan Calendar dengan aplikasi Outlook pada bulan September 2024.


Microsoft juga mengatakan bahwa mereka akan memberikan "tips" kepada pengguna untuk memberitahu tentang perubahan yang akan datang dan mendorong mereka untuk mencoba aplikasi Outlook yang baru.


Namun, sebagai respons atas protes dari pengguna, Microsoft mengumumkan bahwa mereka akan mengevaluasi kembali jadwal perubahan yang telah diumumkan sebelumnya. Mereka membuka peluang untuk meninjau ulang rencana penggantian aplikasi Email dan Calendar dengan aplikasi Outlook pada bulan September 2024. Langkah ini diambil untuk mempertimbangkan masukan dan umpan balik dari pengguna agar dapat mencari solusi yang lebih sesuai dan memenuhi kebutuhan para pengguna.


Terlepas dari apakah anda memutuskan untuk menguji aplikasi Outlook baru sekarang atau menunggu, pengguna akan dimigrasikan secara otomatis pada akhir tahun. Dalam hal ini, Microsoft akan mengotomatisasi proses migrasi dari aplikasi Windows Mail dan Calendar ke aplikasi Outlook yang baru.


Pada saat tersebut, Windows Mail dan Calendar tidak akan lagi mendapatkan dukungan dan tidak tersedia untuk didownload. Selain itu, semua perangkat Windows 11 baru akan menyertakan aplikasi Outlook for Windows sebagai aplikasi mail default yang disediakan secara gratis. Dengan demikian, Outlook akan menjadi aplikasi email bawaan yang dihadirkan secara default pada perangkat Windows 11, menggantikan Windows Mail dan Calendar yang sebelumnya menjadi aplikasi bawaan untuk mengelola email dan jadwal.


Microsoft kembali menegaskan bahwa perubahan ini tidak akan mempengaruhi pengguna aplikasi desktop Outlook biasa. Perubahan tersebut hanya berlaku bagi pengguna Windows Mail dan Calendar, yang akan dialihkan secara otomatis ke aplikasi Outlook for Windows yang baru. Jadi, pengguna yang menggunakan aplikasi desktop Outlook biasa tidak perlu khawatir tentang perubahan ini, karena aplikasi Outlook biasa tetap akan berfungsi seperti biasa dan tidak akan terpengaruh oleh penghentian dukungan untuk Windows Mail dan Calendar.


Bagi pengguna yang memutuskan untuk beralih ke aplikasi Outlook, mereka akan menemukan bahwa aplikasi ini dilengkapi dengan berbagai fitur tambahan. Beberapa fitur tersebut meliputi integrasi yang lebih baik dengan penyedia email lain, kemampuan untuk mempersonalisasi antarmuka sesuai preferensi pengguna, fitur kalender baru yang lebih canggih, serta dukungan otomatis untuk pengiriman paket dan pelacakan reservasi pesawat.

Aplikasi Mail dan Calendar Akan Dimigrasi ke Outlook Secara Otomatis pada Bulan Agustus

 


Microsoft telah mengambil langkah-langkah untuk memblokir sertifikat penandatanganan kode yang secara luas digunakan oleh peretas dan pengembang dari China. Sertifikat ini digunakan untuk menandatangani dan memuat driver mode kernel berbahaya ke dalam sistem yang terinfeksi, dengan memanfaatkan celah kebijakan Windows yang sudah diabaikan.


Driver mode kernel beroperasi pada tingkat hak istimewa tertinggi dalam sistem operasi Windows, yaitu Ring 0. Ini memberikan akses penuh ke mesin target, memungkinkan kegigihan yang tersembunyi, eksfiltrasi data yang tidak terdeteksi dan kemampuan untuk menghentikan hampir semua proses.


Meskipun software keamanan aktif pada perangkat yang telah disusupi, driver mode kernel tetap dapat mengganggu pengoperasian software tersebut. Hal ini dapat dilakukan dengan mematikan kemampuan perlindungan lanjutan yang dimilikinya atau melakukan modifikasi pada konfigurasi yang ditargetkan untuk menghindari deteksi.


Pada Windows Vista, Microsoft memperkenalkan kebijakan baru yang membatasi metode memuat driver mode kernel ke dalam sistem operasi. Kebijakan ini mewajibkan pengembang untuk mengirimkan driver mereka ke portal pengembang Microsoft untuk ditinjau dan ditandatangani sebelum dapat dimuat ke dalam sistem operasi.


Namun, untuk menghindari masalah dengan aplikasi lama, Microsoft memperkenalkan beberapa pengecualian khusus yang memungkinkan driver mode kernel lama untuk tetap dimuat.

  • PC diupgrade dari rilis Windows sebelumnya ke Windows 10, versi 1607.
  • Secure Boot dinonaktifkan di BIOS.
  • Driver [sic] ditandatangani dengan sertifikat entitas akhir yang dikeluarkan sebelum 29 Juli 2015 yang terhubung ke cross-signed CA yang didukung.


Baru-baru ini, Cisco Talos merilis laporan yang menjelaskan bahwa pelaku ancaman dari China telah memanfaatkan kebijakan yang disebut sebelumnya dengan menggunakan dua tool open-source yaitu HookSignTool dan FuckCertVerify untuk mengubah tanggal penandatanganan driver jahat sebelum 29 Juli 2015.


Dengan memodifikasi tanggal penandatanganan, para pelaku ancaman dapat memanfaatkan sertifikat yang lebih lama, bocor dan belum dicabut untuk menandatangani driver mereka dan mengimpornya ke Windows guna memperoleh hak istimewa yang lebih tinggi.



HookSignTool dan FuckCertVerify


HookSignTool adalah sebuah software yang memiliki banyak fitur dan dirilis pada tahun 2019 di sebuah forum software crack di China. Software ini menggunakan hook pada API Windows serta tool penandatanganan kode yang sah untuk melakukan penandatanganan pada driver yang berbahaya.



Tool tersebut memanfaatkan librari Microsoft Detours untuk mengintersep dan memonitor panggilan API Win32 serta melakukan implementasi khusus dari fungsi CertVerifyTimeValidity yang disebut NewCertVerifyTimeValidity. Fungsi tersebut bertujuan untuk memverifikasi waktu yang tidak valid pada sertifikat.



Untuk menggunakan HackSignTool dalam penandatanganan file driver dengan timestamp lama, diperlukan keberadaan sertifikat JemmyLoveJenny EV Root CA yang tersedia melalui website pembuat tool tersebut. Sertifikat ini akan digunakan dalam proses penandatanganan untuk menciptakan ilusi bahwa file driver telah ditandatangani pada waktu yang lebih awal.


Namun, penggunaan sertifikat tersebut meninggalkan jejak dalam tanda tangan palsu yang digunakan, sehingga memungkinkan untuk mengidentifikasi driver yang ditandatangani menggunakan HookSignTool. Artefak yang ada dalam tanda tangan tersebut memberikan petunjuk yang dapat digunakan untuk mendeteksi penggunaan tool tersebut.


Dalam laporan terpisah, Cisco Talos memberikan rincian tentang contoh nyata dari driver jahat yang dikenal sebagai RedDriver. Driver ini telah ditandatangani menggunakan HookSignTool. Laporan tersebut mengungkapkan kasus penggunaan tool tersebut dalam praktik di dunia nyata.


RedDriver merupakan software pembajak browser yang secara khusus ditujukan untuk mengintersep lalu lintas dari browser, terutama Chrome, Edge dan Firefox. Selain itu, RedDriver juga menargetkan sejumlah browser populer di China. Software ini berfungsi untuk mengakses dan memanipulasi aktivitas pengguna pada browser tersebut.


FuckCertVerify adalah sebuah tool lain yang dimanfaatkan oleh para pelaku ancaman untuk mengubah timestamp pada tanda tangan driver mode kernel yang berbahaya. Awalnya, tool ini tersedia di GitHub pada bulan Desember 2018 sebagai tool cheat game. Namun, tool tersebut kemudian digunakan dengan tujuan yang jauh lebih serius dalam mengubah tanda tangan driver dan mengelabui sistem keamanan.


Dalam penjelasan dari Cisco Talos, dikatakan bahwa FuckCertVerifyTimeValidity bekerja secara serupa dengan HookSignTool dengan menggunakan package Microsoft Detours untuk memodifikasi panggilan API CertVerifyTimeValidity dan mengubah timestamp ke tanggal yang ditentukan.


Namun, berbeda dengan HookSignTool, FuckCertVerifyTimeValidity tidak meninggalkan jejak atau artefak dalam biner yang ditandatanganinya, sehingga membuatnya sangat sulit untuk mengidentifikasi kapan tool ini telah digunakan. Dengan demikian, tool ini dapat mengoperasikan tanpa meninggalkan bukti forensik yang mudah terdeteksi.


Kedua tool tersebut membutuhkan sertifikat penandatanganan kode yang belum dicabut, yang diterbitkan sebelum 29 Juli 2015, seiring dengan private key dan password yang sesuai.



Tim peneliti dari Cisco telah menemukan lebih dari selusin sertifikat yang tersedia di repositori GitHub dan forum dengan bahasa Mandarin. Sertifikat-sertifikat ini dapat digunakan oleh tool-tool seperti yang telah disebutkan sebelumnya. Sertifikat-sertifikat tersebut banyak dimanfaatkan untuk meng-crack game yang dapat menghindari pemeriksaan DRM, serta untuk menandatangani driver kernel yang berbahaya.



Microsoft Mencabut Sertifikat


Microsoft mengungkapkan bahwa Sophos dan Trend Micro juga telah melaporkan aktivitas yang berbahaya ini dan setelah diungkapkan secara bertanggung jawab, Microsoft telah mencabut sertifikat terkait dan menangguhkan akun pengembang yang menyalahgunakan celah kebijakan Windows ini.


Microsoft advisory menjelaskan bahwa Microsoft telah merilis update Windows Security yang tidak mempercayai driver dan sertifikat penandatanganan driver untuk file yang terdampak, serta telah menangguhkan akun penjual mitra.


Selain itu, Microsoft telah menerapkan deteksi pemblokiran (Microsoft Defender 1.391.3822.0 dan yang lebih baru) untuk membantu melindungi pelanggan dari driver yang ditandatangani secara sah yang telah digunakan secara jahat dalam aktivitas pasca-eksploitasi.


Untuk informasi selengkapnya tentang bagaimana fitur Windows Code Integrity melindungi pelanggan Microsoft dari sertifikat yang dicabut, anda dapat melihat KB5029033: Notice of additions to the Windows Driver.STL revocation list.

Peretas Mengeksploitasi Kebijakan Windows untuk Memuat Driver Kernel Berbahaya


Sekarang Windows 10 Mobile terasa mati dan tidak berkembang. Microsoft lebih fokus pada pembuatan perangkat iPhone dan Android bekerja dengan PC desktop. Perusahaan ini mengumumkan aplikasi "Your Phone" untuk Windows 10 awal tahun ini dan berjanji untuk mengirim pemberitahuan dan pesan dari perangkat Android ke PC. Fungsionalitas itu akhirnya direalisasikan dalam Windows 10 Insider build.


Windows 10 build 17755 telah diluncurkan ke Insider selama beberapa hari terakhir, dan ini termasuk aplikasi "Your Phone" yang sudah lama ditunggu-tunggu. Setelah anda membukanya, anda akan diminta untuk menginstal "Microsoft Apps" di perangkat Android anda. Ketika PC dan ponsel anda masuk dengan akun Microsoft yang sama, dan anda akan menerima beberapa izin di Android, semuanya akan mulai berfungsi.

Dari aplikasi desktop, anda dapat mengirim dan menerima pesan SMS, serta mengunduh foto. Aplikasi ini cukup baik untuk dicoba di Insiders PC, namun dalam pengalaman penggunaannya hal itu masih terasa seperti beta. Tab Pesan mungkin tidak terlihat sampai anda me-restart aplikasi (atau menunggu pesan SMS disinkronisasi), anda tidak dapat membalas dari pemberitahuan desktop, dan mengirim / menerima lampiran media selalu error.


Aplikasi telepon juga membutuhkan pemberitahuan terus-menerus, yang pasti hal ini sangat menjengkelkan. Namun ini masih dalam tahap pengembangan yang berkelanjutan, jadi semoga beberapa masalah ini akan diselesaikan sebelum rilis publik di bulan Oktober mendatang.

Windows 10 Insider Preview Sekarang Menyinkronkan Foto Dan Pesan SMS Dengan Android


Hari ini, Microsoft meluncurkan preview build dari Update Windows 10 untuk bulan Oktober 2018 dengan serangkaian perbaikan fasilitas dan perbaikan bug. Windows 10 Build 17754 hadir dengan perbaikan untuk Action Center, integrasi Microsoft Edge PWA, dan masih banyak lagi.

Seperti semua pembaruan, build 17754 ini dapat diunduh dengan masuk ke Windows Update dan periksa pembaruan baru.

Seperti versi sebelumnya, Windows 10 Build 17754 tidak memiliki watermark build di sudut kanan bawah, tetapi itu tidak berarti bahwa pengembangan sepenuhnya selesai. Pembaruan Oktober 2018 masih dalam tahap terakhir, dimana Microsoft memperbaiki bug dan masalah yang ada sehingga siap untuk penyebaran sebagai pembaruan fitur berikutnya.

Salah satu masalah yang lebih besar yang diperbaiki pada rilis build ini termasuk perbaikan masalah yang menyebabkan keandalan Action Center berkurang. Bug lain dengan flyouts taskbar telah dibahas dalam rilis ini. Ada daftar panjang perbaikan dan peningkatan yang dapat anda temukan di bawah ini.

Pada hari Selasa, Microsoft merilis Gambar ISO baru dari preview build, dimana memungkinkan Insiders untuk membersihkan-menginstal pembaruan Windows 10 Oktober 2018 mendatang (versi 1809). Anda dapat mengunduh gambar ISO Windows 10 17744 dari halaman unduhan program Windows Insider Microsoft disini.

Menurut perkiraan, Microsoft akan mengirim final build ke Windows Insiders pada akhir September. Peluncuran publik untuk pembaruan Windows 10 Oktober 2018 kemudian diproyeksikan akan dimulai pada paruh pertama Oktober.

Di IFA 2018, Microsoft mengatakan bahwa timnya akan merinci rencana peluncuran dalam beberapa minggu mendatang.

Daftar perbaikan untuk Windows 10 build 17754:
  • Watermark build di sudut kanan bawah desktop tidak lagi ada dalam build ini. Ini tidak berarti ini adalah versi final karena belum selesai.
  • Perbaikan masalah yang mengakibatkan berkurangnya keandalan Action Center.
  • Perbaikan masalah ketika kita membuka salah satu flybar taskbar (seperti jaringan atau volume), dan kemudian dengan cepat mencoba membuka yang lain, itu tidak akan berhasil.
  • Perbaikan masalah bagi yang menggunakan beberapa monitor dimana jika Open atau Save Dialog dipindahkan di antara monitor, beberapa elemen mungkin menjadi sangat kecil.
  • Perbaikan masalah yang menyebabkan beberapa aplikasi tertentu crash.
  • Perbaikan masalah yang menghasilkan game tertentu, seperti League of Legends, tidak diluncurkan / dihubungkan dengan benar.
  • Perbaikan masalah saat mengeklik tautan web di PWA seperti Twitter tidak membuka peramban.
  • Perbaikan masalah yang mengakibatkan PWA tertentu tidak render dengan benar setelah aplikasi ditangguhkan, lalu dilanjutkan.
  • Perbaikan masalah dimana menempelkan teks multi-baris ke situs web tertentu menggunakan Microsoft Edge mungkin menambahkan garis kosong yang tidak diharapkan diantara setiap baris.
  • Perbaikan kemacetan saat menggunakan pena untuk tinta pada catatan web Microsoft Edge.
  • Perbaikan kesalahan pada Task Manager yang tinggi.
  • Perbaikan masalah yang menyebabkan Pengaturan mogok untuk Insiders dengan beberapa monitor ketika mengubah berbagai opsi di bawah Pengaturan Tampilan.
  • Perbaikan kerusakan saat mengklik tautan Verifikasi di halaman Pengaturan Akun.
  • Perbaikan masalah ketika konten laman Aplikasi & Fitur tidak dimuat sampai daftar aplikasi sudah siap, sehingga halaman tampak kosong untuk sementara waktu.
  • Perbaikan masalah dimana daftar pada Pengaturan frasa bawaan untuk IME Pinyin kosong.
  • Perbaikan masalah di Narrator tempat mengaktifkan item riwayat Microsoft Edge tidak dapat berfungsi dalam Scan mode.
  • Membuat beberapa perbaikan dalam Narrator Selection ketika bergerak maju di Microsoft Edge.

Preview Windows 10 Build 17754 Bulan Oktober 2018 Dirilis

Subscribe to: Posts (Atom)