Berkat durasi empat minggu yang tepat di bulan Februari tahun ini, kebetulan pembaruan Firefox dan Microsoft bulan lalu telah terjadi sekali lagi.
Bulan lalu, Microsoft ditangani tiga hari nol, yang kami maksud adalah lubang keamanan yang ditemukan penjahat dunia maya terlebih dahulu, dan menemukan cara untuk menyalahgunakan dalam serangan kehidupan nyata sebelum tambalan apa pun tersedia.
(Nama zero-day, atau hanya 0-hari, adalah pengingat akan fakta bahwa bahkan patcher yang paling progresif dan proaktif di antara kita menikmati hari nol tepat di mana kita bisa berada di depan para penjahat.)
Pada Maret 2023, ada dua perbaikan zero-day, satu masuk Outlook, dan yang lainnya di Windows SmartScreen.
Menariknya untuk bug yang ditemukan di alam liar, meskipun dilaporkan dengan agak lunak oleh Microsoft sebagai Eksploitasi Terdeteksi, cacat Outlook dikreditkan bersama CERT-UA (Tim Tanggap Darurat Komputer Ukraina), Tanggapan Insiden Microsoft, dan Intelijen Ancaman Microsoft.
Anda dapat membuatnya sesuai keinginan Anda.
Pandangan EoP
Bug ini, dijuluki CVE-2023-23397: Peningkatan Kerentanan Privilege Microsoft Outlook (EOP), adalah dijelaskan sebagai berikut:
Penyerang yang berhasil mengeksploitasi kerentanan ini dapat mengakses hash Net-NTLMv2 pengguna yang dapat digunakan sebagai dasar serangan Relai NTLM terhadap layanan lain untuk mengautentikasi sebagai pengguna. […]
Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan email yang dibuat khusus yang terpicu secara otomatis saat diambil dan diproses oleh klien Outlook. Ini dapat menyebabkan eksploitasi SEBELUM email dilihat di Panel Pratinjau. […]
Penyerang eksternal dapat mengirim email yang dibuat khusus yang akan menyebabkan koneksi dari korban ke lokasi eksternal UNC dari kontrol penyerang. Ini akan membocorkan hash Net-NTLMv2 korban ke penyerang yang kemudian dapat menyampaikan ini ke layanan lain dan mengautentikasi sebagai korban.
Untuk menjelaskan (sejauh yang bisa kami tebak, mengingat kami tidak memiliki spesifik tentang serangan yang akan dilakukan).
Otentikasi Net-NTLMv2, yang akan kita sebut NTLM2 singkatnya, bekerja sangat kasar seperti ini,:
- Lokasi tempat Anda terhubung mengirimkan lebih dari 8 byte acak dikenal sebagai a menantang.
- Komputer Anda menghasilkan 8 byte acaknya sendiri.
- Kamu hitung hash kunci HMAC-MD5 dari dua string tantangan menggunakan hash kata sandi Anda yang disimpan dengan aman sebagai kuncinya.
- Kamu kirimkan hash yang dikunci dan tantangan 8-byte Anda.
- Ujung lainnya sekarang memiliki tantangan 8-byte dan balasan satu kali Anda, sehingga bisa hitung ulang hash yang dikunci, dan verifikasi respons Anda.
Sebenarnya, ada sedikit lebih dari itu, karena sebenarnya ada dua hash kunci, satu mencampurkan dua nomor tantangan acak 8-byte dan yang lainnya mencampurkan data tambahan termasuk nama pengguna, nama domain, dan waktu saat ini.
Tapi prinsip dasarnya sama.
Baik kata sandi Anda yang sebenarnya atau hash yang disimpan dari kata sandi Anda (misalnya dari Active Directory) tidak pernah dikirimkan, sehingga tidak dapat bocor saat transit.
Juga, kedua belah pihak dapat menyuntikkan 8 byte keacakan mereka sendiri setiap saat, yang mencegah salah satu pihak untuk secara diam-diam menggunakan kembali string tantangan lama dengan harapan berakhir dengan hash kunci yang sama seperti di sesi sebelumnya.
(Membungkus waktu dan data khusus logon lainnya menambah perlindungan ekstra terhadap apa yang disebut serangan replay, tetapi kami akan mengabaikan detail tersebut di sini.)
Duduk di tengah
Seperti yang dapat Anda bayangkan, mengingat penyerang dapat menipu Anda untuk mencoba "masuk" ke server palsu mereka (baik ketika Anda membaca email jebakan atau, lebih buruk lagi, ketika Outlook mulai memprosesnya atas nama Anda, bahkan sebelum Anda mendapatkan sekilas tentang betapa palsu tampilannya), Anda akhirnya membocorkan satu respons NTLM2 yang valid.
Tanggapan itu dimaksudkan untuk membuktikan kepada pihak lain tidak hanya bahwa Anda benar-benar mengetahui kata sandi akun yang Anda klaim sebagai milik Anda, tetapi juga (karena data tantangan tercampur) bahwa Anda tidak hanya menggunakan kembali jawaban sebelumnya .
Jadi, seperti yang diperingatkan Microsoft, penyerang yang dapat mengatur waktu dengan benar mungkin dapat mulai mengautentikasi ke server asli seperti Anda, tanpa mengetahui kata sandi atau hashnya, hanya untuk mendapatkan tantangan awal 8-byte dari server sebenarnya…
…dan kemudian berikan kembali tantangan itu kepada Anda saat Anda tertipu untuk mencoba masuk ke server palsu mereka.
Jika Anda kemudian menghitung hash yang dikunci dan mengirimkannya kembali sebagai "bukti saya tahu kata sandi saya sendiri sekarang", para penjahat mungkin dapat menyampaikan balasan yang dihitung dengan benar itu kembali ke server asli yang mereka coba infiltrasi, dan dengan demikian untuk mengelabui server tersebut agar menerima mereka seolah-olah mereka adalah Anda.
Singkatnya, Anda pasti ingin menambal yang satu ini, karena meskipun serangan itu membutuhkan banyak percobaan, waktu dan keberuntungan, dan sepertinya tidak akan berhasil, kami sudah tahu bahwa ini adalah kasus “Eksploitasi Terdeteksi”.
Dengan kata lain, serangan itu dapat berhasil, dan telah berhasil setidaknya sekali terhadap korban yang tidak curiga yang tidak melakukan kesalahan atau risiko apa pun.
Pintasan keamanan SmartScreen
Hari nol kedua adalah CVE-2023-24880, dan yang ini cukup banyak menjelaskan diri: Kerentanan Bypass Fitur Keamanan Windows SmartScreen.
Sederhananya, Windows biasanya memberi tag pada file yang datang melalui internet dengan bendera yang bertuliskan, “File ini berasal dari luar; perlakukan dengan sarung tangan anak-anak dan jangan terlalu mempercayainya.
Bendera dari mana asalnya ini dulu dikenal sebagai file Zona Internet identifier, dan ini mengingatkan Windows seberapa besar (atau seberapa kecil) kepercayaan yang harus dimasukkan ke dalam konten file tersebut saat nanti digunakan.
Hari-hari ini, para ID Zona (untuk apa nilainya, ID 3 menunjukkan "dari internet") biasanya disebut dengan nama yang lebih dramatis dan mudah diingat Tanda Web, atau MotW Singkatnya.
Secara teknis, ID Zona ini disimpan bersama dengan file yang disebut sebagai Aliran Data Alternatif, atau ADS, tetapi file hanya dapat memiliki data ADS jika disimpan di disk Wiindows berformat NTFS. Jika Anda menyimpan file ke volume FAT, misalnya, atau menyalinnya ke drive non-NTFS, ID Zona akan hilang, jadi label pelindung ini agak terbatas.
Bug ini berarti bahwa beberapa file yang masuk dari luar – misalnya, unduhan atau lampiran email – tidak ditandai dengan pengenal MotW yang tepat, sehingga secara diam-diam menghindari pemeriksaan keamanan resmi Microsoft.
Microsoft buletin publik tidak mengatakan dengan tepat jenis file apa (gambar? Dokumen Office? PDF? semuanya?) yang dapat disusupi ke jaringan Anda dengan cara ini, tetapi memperingatkan secara luas bahwa “fitur keamanan seperti Tampilan Terproteksi di Microsoft Office” bisa dilewati dengan trik ini.
Kami menduga ini berarti bahwa file berbahaya yang biasanya dianggap tidak berbahaya, misalnya dengan menekan kode makro bawaan, mungkin dapat muncul secara tidak terduga saat dilihat atau dibuka.
Sekali lagi, pembaruan akan membawa Anda kembali setara dengan para penyerang, jadi Jangan tunda/tambal hari ini.
Apa yang harus dilakukan?
- Patch sesegera mungkin, seperti yang baru saja kami katakan di atas.
- Baca ulasan lengkap analisis SophosLabs bug ini dan lebih dari 70 tambalan lainnya, jika Anda masih belum yakin.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/
- :adalah
- $NAIK
- 1
- 2023
- 70
- 8
- a
- Sanggup
- Tentang Kami
- atas
- Mutlak
- penyalahgunaan
- mengakses
- Akun
- aktif
- sebenarnya
- Tambahan
- Menambahkan
- iklan
- terhadap
- di depan
- Semua
- sudah
- diantara
- dan
- Lain
- menjawab
- ADALAH
- AS
- At
- menyerang
- Serangan
- mengotentikasi
- Otentikasi
- penulis
- mobil
- secara otomatis
- tersedia
- kembali
- background-image
- dasar
- BE
- karena
- sebelum
- Bit
- batas
- Kedua sisi
- Bawah
- membawa
- secara luas
- Bug
- bug
- built-in
- by
- panggilan
- CAN
- kasus
- Menyebabkan
- pusat
- menantang
- tantangan
- Cek
- klaim
- klien
- kode
- kebetulan
- warna
- bagaimana
- menghitung
- komputer
- Menghubungkan
- koneksi
- Konten
- kontrol
- bisa
- menutupi
- terbaru
- penjahat cyber
- data
- Hari
- pastinya
- rincian
- MELAKUKAN
- ditemukan
- Display
- dokumen
- Tidak
- domain
- Nama domain
- Dont
- download
- dramatis
- mendorong
- dijuluki
- selama
- antara
- keadaan darurat
- Bahkan
- pERNAH
- Setiap
- persis
- contoh
- ada
- Menjelaskan
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- luar
- tambahan
- adil
- gadungan
- Lemak
- Fitur
- Fitur
- Februari
- pikir
- File
- File
- Firefox
- Pertama
- cacat
- berikut
- Untuk
- ditemukan
- dari
- penuh
- mendapatkan
- diberikan
- Melihat sekilas
- Go
- terjadi
- hash
- Memiliki
- memiliki
- tinggi
- di sini
- Lubang
- berharap
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- i
- ID
- identifier
- gambar
- in
- insiden
- respon insiden
- Termasuk
- Intelijen
- Internet
- IT
- NYA
- Diri
- kunci
- Anak
- Tahu
- Mengetahui
- dikenal
- label
- Terakhir
- memimpin
- bocor
- Panjang
- Hidup
- 'like'
- Mungkin
- Terbatas
- sedikit
- tempat
- melihat
- keberuntungan
- Makro
- terbuat
- membuat
- March
- Margin
- max-width
- cara
- Microsoft
- mungkin
- campur aduk
- Percampuran
- saat
- Bulan
- lebih
- paling
- MOTW
- nama
- jaringan
- normal
- nomor
- of
- Office
- resmi
- Tua
- on
- ONE
- dibuka
- Lainnya
- Outlook
- di luar
- sendiri
- pane
- pihak
- Kata Sandi
- tambalan
- Patch Selasa
- Patch
- paul
- plato
- Kecerdasan Data Plato
- Data Plato
- posisi
- Posts
- perlu
- tepat
- cukup
- Preview
- sebelumnya
- prinsip
- Proaktif
- Diproses
- pengolahan
- progresif
- terlindung
- perlindungan
- Protektif
- Rasakan itu
- menempatkan
- acak
- keserampangan
- agak
- Baca
- nyata
- disebut
- balasan
- Dilaporkan
- membutuhkan
- tanggapan
- berisiko
- kira-kira
- Tersebut
- sama
- Save
- mengatakan
- Kedua
- keamanan
- mengirim
- layanan
- Sidang
- Pendek
- harus
- Sisi
- tunggal
- So
- padat
- beberapa
- agak
- khususnya
- musim semi
- awal
- Mulai
- dimulai
- Masih
- tersimpan
- Kemudian
- berhasil
- seperti itu
- SVG
- tim
- bahwa
- Grafik
- mereka
- Mereka
- Ini
- hal
- tahun ini
- ancaman
- waktu
- untuk
- terlalu
- puncak
- transit
- transisi
- jelas
- mengobati
- Kepercayaan
- Selasa
- jenis
- Ukraina
- pokok
- Memperbarui
- Pembaruan
- URL
- us
- Pengguna
- biasanya
- memeriksa
- melalui
- Korban
- View
- volume
- kerentanan
- Peringatkan
- Cara..
- Apa
- yang
- SIAPA
- lebar
- Liar
- akan
- Windows
- dengan
- tanpa
- kata
- Kerja
- bekerja
- bernilai
- akan
- Salah
- tahun
- Kamu
- Anda
- zephyrnet.dll
- nol