Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Chrome

Chrome

Pembaruan darurat Google Chrome memperbaiki serangan zero-day yang dieksploitasi

by

Google telah merilis Chrome 98.0.4758.102 untuk Windows, Mac, dan Linux, untuk memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang digunakan oleh pelaku ancaman dalam serangan.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2022-0609 ada di alam liar,” kata Google dalam penasihat keamanan yang dirilis hari ini.

Google menyatakan bahwa pembaruan Chrome akan diluncurkan dalam beberapa minggu mendatang. Namun, dimungkinkan untuk segera menginstal pembaruan hanya dengan masuk ke menu Chrome > Bantuan > Tentang Google Chrome.

Peramban juga akan secara otomatis memeriksa pembaruan baru dan memasangnya saat berikutnya Anda menutup dan meluncurkan kembali Google Chrome.

Google Chrome 98 update

Bug zero-day diperbaiki hari ini, dilacak sebagai CVE-2022-0609, digambarkan sebagai “Gunakan setelah gratis di Animasi” dan diberi tingkat keparahan tinggi.

Kerentanan ini ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google.

Penyerang biasanya mengeksploitasi penggunaan setelah bug gratis untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari kotak pasir keamanan browser.

Sementara Google mengatakan mereka telah mendeteksi serangan yang mengeksploitasi zero-day ini, itu tidak membagikan info tambahan apa pun mengenai insiden ini atau detail teknis tentang kerentanan.

Selain zero-day, pembaruan Google Chrome ini memperbaiki tujuh kerentanan keamanan lainnya, semuanya kecuali satu yang diklasifikasikan sebagai tingkat keparahan ‘Tinggi’.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, sangat disarankan agar semua orang menginstal pembaruan Google Chrome hari ini sesegera mungkin.

Selengkapnya : Bleeping Computer

Trojan Perbankan Chaes Membajak Chrome dengan Ekstensi Berbahaya

by

Kampanye berskala besar yang melibatkan lebih dari 800 situs wordpress yang dikompromikan menyebarkan trojan perbankan yang menargetkan kredensial pengguna e-banking Brasil.

Trojan yang digunakan dalam kampanye ini disebut ‘Chaes,’ dan menurut para peneliti dari Avast, telah aktif menyebar sejak akhir 2021.

Meskipun perusahaan keamanan memberi tahu CERT Brasil, kampanye sedang berlangsung dengan ratusan situs web masih dikompromikan dengan skrip berbahaya yang mendorong malware.

Rantai serangan

Ketika korban mengunjungi salah satu situs web yang dikompromikan, mereka disajikan dengan pop-up yang meminta mereka untuk menginstal aplikasi Java Runtime palsu.

Penginstal MSI berisi tiga file JavaScript berbahaya (install.js, sched.js, sucesso.js) yang mempersiapkan lingkungan Python untuk loader tahap berikutnya.

Skrip sched.js menambahkan kegigihan dengan membuat Tugas Terjadwal dan tautan Startup, dan sucesso.js bertanggung jawab untuk melaporkan status ke C2.

Sementara itu, skrip .js instalasi melakukan tugas-tugas berikut:

  • Periksa koneksi internet (menggunakan google.com)
  • Membuat folder %APPDATA%extensions
  • Unduh arsip yang dilindungi kata sandi seperti python32.rar/python64.rar dan unrar.exe ke folder ekstensi tersebut
  • Tulis jalur folder ekstensi yang baru dibuat ke HKEY_CURRENT_USERSoftwarePythonConfigPath
  • Melakukan beberapa profil sistem dasar
  • Jalankan perintah unrar.exe dengan kata sandi yang ditentukan sebagai argumen untuk membongkar python32.rar/python64.rar
  • Terhubung ke C2 dan unduh skrip __init__.py 32bit dan 64bit bersama dengan dua muatan terenkripsi. Setiap payload memiliki nama pseudo-random.

Rantai loader Python terbentang dalam memori dan melibatkan pemuatan beberapa skrip, shellcode, dan Delphi DLL sampai semuanya ada untuk mengeksekusi muatan akhir dalam proses Python.

Tahap akhir dilakukan dengan instruksi.js, yang mengambil ekstensi Chrome dan menginstalnya pada sistem korban. Akhirnya, semua ekstensi diluncurkan dengan argumen yang tepat.

Ekstensi Chrome

Avast mengatakan mereka telah melihat lima ekstensi browser Chrome berbahaya yang berbeda diinstal pada perangkat korban, termasuk:

  • Online – Sidik jari korban dan menulis kunci registri.
  • Mtps4 – Terhubung ke C2 dan menunggu PascalScripts yang masuk. Juga mampu menangkap tangkapan layar dan menampilkannya di layar penuh untuk menyembunyikan tugas-tugas berbahaya yang berjalan di latar belakang.
  • Chrolog – Mencuri kata sandi dari Google Chrome dengan exfiltrating database ke C2 melalui HTTP.
  • Chronodx – Trojan perbankan loader dan JS yang berjalan diam-diam di latar belakang dan menunggu peluncuran Chrome. Jika browser dibuka, ia akan segera menutupnya dan membuka kembali instance Chrome sendiri yang memungkinkan pengumpulan info perbankan.
  • Chremows – Target kredensial pasar online Mercado Libre.

Pada saat ini, kampanye Chaes masih berlangsung, dan mereka yang telah dikompromikan akan tetap berisiko bahkan jika situs web dibersihkan.

Avast mengklaim bahwa beberapa situs web yang dikompromikan disalahgunakan karena menjatuhkan muatan sangat populer di Brasil, sehingga jumlah sistem yang terinfeksi kemungkinan besar.

Sumber: Bleepingcomputer

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

by

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Google Mengeluarkan Peringatan Untuk 2 Miliar Pengguna Chrome

by

Google mengungkapkan 25 kerentanan baru telah ditemukan dalam dua minggu terakhir. Ini menilai tujuh di antaranya sebagai ancaman tingkat ‘Tinggi’. Pengguna Linux, macOS, dan Windows semuanya terpengaruh dan perlu mengambil tindakan segera.

Chrome mengalami masalah lebih lanjut setelah banyak laporan dari pengguna bahwa versi baru (96) memutus akses ke situs-situs utama seperti Instagram, Twitter, Discord, dan lainnya. Pengguna menerima pesan: “Ada yang tidak beres. Coba muat ulang.” Saat halaman dimuat ulang, elemen kunci seperti gambar, video yang disematkan, dan halaman yang dirender dengan warna yang salah sering kali hilang.

Beberapa solusi telah dicoba dan menonaktifkan fitur penyematan baru yang diperkenalkan di Chrome 96. Pada tahap ini, tidak diketahui apakah Google dapat menerapkan perbaikan dari jarak jauh tanpa harus merilis Chrome versi baru. Hal tersebut membuat pengguna Chrome dalam posisi yang sulit dengan pilihan menunggu dan meninggalkan kerentanan keamanan yang diketahui di browser (detail di bawah) atau memperbarui dan berpotensi merusak pengalaman menjelajah mereka.

Google saat ini membatasi informasi tentang peretasan ini untuk mengulur waktu bagi pengguna Chrome untuk meningkatkan versi. Akibatnya, melihat ancaman tingkat tinggi baru, kami hanya memiliki informasi berikut untuk melanjutkan:

  • High – CVE-2021-38007: ype Kebingungan di V8. Dilaporkan oleh Polaris Feng dan SGFvamll di Singular Security Lab pada 2021-09-29
  • High – CVE-2021-38008: Gunakan setelah gratis di media. Dilaporkan oleh Marcin Towalski dari Cisco Talos pada 2021-10-26
  • High – CVE-2021-38009: Implementasi yang tidak tepat dalam cache. Dilaporkan oleh Luan Herrera (@lbherrera_) pada 2021-10-16

    • Selengkapnya : Bleeping Computer

Peretasan ini mengikuti pola yang sudah dikenal, dengan eksploitasi ‘Use-After-Free’ (UAF). Eksploitasi UAF yang berhasil mencapai 10x pada bulan September dan Oktober dan telah menjadi penyebab beberapa peretasan ‘zero-day’ juga. Kerentanan UAF adalah eksploitasi memori yang dibuat saat program gagal menghapus penunjuk ke memori setelah dibebaskan.

Eksploitasi Chrome V8 juga marak pada tahun 2021 bersama dengan kekurangan buffer overflow Heap. V8 adalah mesin JavaScript open-source yang digunakan oleh Google Chrome dan browser web berbasis Chromium seperti Microsoft Edge, Opera, Amazon Silk, Brave, Yandex dan Vivaldi.

Untuk memeriksa apakah Anda dilindungi, navigasikan ke Pengaturan > Bantuan > Tentang Google Chrome. Jika browser Chrome Anda terdaftar sebagai 96.0.4664.45 atau lebih tinggi, Anda aman. Jika pembaruan belum tersedia untuk browser Anda, pastikan Anda memeriksa versi baru secara teratur.

Ingat: setelah memperbarui, Anda harus me-restart browser Anda untuk dilindungi. Langkah ini sering diabaikan. Merupakan penghargaan bagi Google bahwa perbaikan untuk serangan tingkat tinggi secara konsisten dirilis dalam beberapa hari setelah penemuan mereka, tetapi mereka hanya efektif jika miliaran pengguna kemudian memulai ulang browser mereka.

Selengkapnya : Forbes

Google Chrome 96 merusak Twitter, Discord, rendering video, dan lainnya

by

Google Chrome 96 dirilis kemarin, dan pengguna melaporkan masalah dengan Twitter, Discord, dan Instagram yang disebabkan oleh versi baru chrome ini.

Setelah memperbarui ke Chrome 96, pengguna melaporkan kesalahan dalam pemberitahuan Twitter mereka, dengan peringatan situs web bahwa “Ada yang tidak beres. Coba muat ulang,” seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Pengguna Twitter lainnya melaporkan GIF menjadi hitam, gambar tidak ditampilkan, atau video tidak dapat diputar. Sebagai gantinya, Twitter menunjukkan pesan kesalahan yang sama yang berbunyi, “Ada kesahalan.”

Masalah telah dilaporkan ke Google dalam posting bug Chromium di mana karyawan Google telah mulai menyelidiki masalah tersebut.

“Kami terus melihat laporan pengguna tentang perilaku ini, termasuk laporan dari tim sosial kami,” kata manajer produk Google, Craig Tumblison.

“Satu pengguna telah membagikan bahwa menonaktifkan flag “chrome://flags/#cross-origin-embedder-policy-credentialless” menyelesaikan permasalahan tersebut. Laporan lain membagikan pesan kesalahan khusus: “Koneksi ditolak di https://cards -frame.twitter.com”. Tim penguji, bisakah Anda mencoba mengaktifkan tanda itu untuk melihat apakah perilaku itu muncul?”

Flag ‘chrome://flags/#cross-Origin-embedder-policy-credentialles’ terkait dengan fitur Cross-Origin-Embedder-Policy baru yang dirilis dengan Chrome 96.

Google menyatakan bahwa Anda dapat memperbaiki bug ini dalam beberapa kasus dengan menyetel “chrome://flags/#cross-Origin-embedder-policy-credentialless” ke nonaktif.

Jika Anda mengalami kendala yang sama, Anda dapat menyalin dan menempelkan alamat chrome:// di atas ke bilah alamat Google Chrome dan tekan enter. Ketika flag eksperimental muncul, harap setel ke Dinonaktifkan dan luncurkan kembali browser saat diminta.

Selengkapnya: Bleeping Computer

Google Chrome Disalahgunakan untuk Mengirimkan Malware sebagai Aplikasi Win 10 ‘Legit’

by

Muncul kampanye malware baru yang dikirimkan melalui situs web yang disusupi di browser Chrome dapat melewati Kontrol Akun Pengguna untuk menginfeksi sistem dan mencuri data sensitif, seperti kredensial dan mata uang kripto.

Peneliti dari Rapid7 baru-baru ini mengidentifikasi kampanye dan memperingatkan bahwa tujuan penyerang adalah untuk mencuri data sensitif dancryptocurrency dari PC yang terinfeksi yang ditargetkan.

Andrew Iwamaye, analis riset Rapid7, mengatakan bahwa malware mempertahankan kegigihan pada PC “dengan menyalahgunakan variabel lingkungan Windows dan tugas terjadwal asli untuk memastikannya terus-menerus dijalankan dengan hak istimewa yang lebih tinggi.”

Iwamaye menulis dalam blog posting blog yang diterbitkan Kamis (28/10/2021), rantai serangan dimulai ketika pengguna browser Chrome mengunjungi situs web jahat dan “layanan iklan browser” meminta pengguna untuk mengambil tindakan. Pertanyaan tentang apa yang peneliti identifikasi sebagai “layanan iklan browser” belum dikembalikan pada tulisan ini.

Selengkapnya: Threat Post

Windows 10, iOS 15, Ubuntu, Chrome jatuh di kontes peretasan Tianfu China

by

Peneliti keamanan China membawa pulang $ 1,88 juta setelah meretas beberapa perangkat lunak paling populer di dunia di Piala Tianfu, kompetisi peretasan terbesar dan paling bergengsi di negara itu.

Kontes, yang berlangsung selama akhir pekan 16 dan 17 Oktober di kota Chengdu, dimenangkan oleh peneliti dari perusahaan keamanan China Kunlun Lab, yang membawa pulang $654.500, sepertiga dari total dompet.

Kompetisi, sekarang pada edisi keempat, berlangsung menggunakan aturan klasik yang ditetapkan oleh kontes peretasan Pwn2Own.

Pada bulan Juli, penyelenggara mengumumkan serangkaian target, dan peserta memiliki waktu tiga hingga empat bulan untuk mempersiapkan eksploitasi yang akan mereka lakukan pada perangkat yang disediakan oleh penyelenggara di panggung kontes.

Para peneliti memiliki tiga upaya 5 menit untuk menjalankan eksploitasi mereka, dan mereka dapat mendaftar untuk meretas beberapa perangkat jika mereka ingin meningkatkan kemenangan mereka.

Edisi tahun ini mencakup daftar 16 kemungkinan target dan merupakan salah satu edisi Piala Tianfu yang paling sukses, dengan 11 peserta memasang eksploitasi yang berhasil terhadap 13 target.

Satu-satunya yang tidak berhasil diretas termasuk Synology DS220j NAS, smartphone Xiaomi Mi 11, dan kendaraan listrik China yang mereknya tidak pernah diungkapkan — yang bahkan tidak ada peserta yang mendaftar untuk mencoba mengeksploitasinya.

Di sisi lain, eksploitasi berhasil dipasang terhadap hampir semua hal lainnya, berikut list nya:

  • Windows 10 – diretas 5 kali
  • Adobe PDF Reader – 4 kali
  • Ubuntu 20 – 4 kali
  • Paralel VM – 3 kali
  • iOS 15 – 3 kali
  • Apple Safari – 2 kali
  • Google Chrome – 2 kali
  • Router ASUS AX56U – 2 kali
  • Docker CE – 1 kali
  • VMWare ESXi – 1 kali
  • VMWare Workstation – 1 kali
  • qemu VM – 1 kali
  • Microsoft Exchange – 1 kali

Selengkapnya: The Record

Ad Blocker Chrome Berbahaya Menyuntikkan Iklan Di Belakang Layar

by

Ekstensi pemblokiran iklan AllBlock Chromium telah ditemukan menyuntikkan tautan afiliasi tersembunyi yang menghasilkan komisi untuk pengembang.

Ekstensi ini masih tersedia di Toko Web Chrome dan mempromosikan dirinya sebagai pemblokir iklan yang berfokus pada YouTube dan Facebook untuk mencegah pop-up dan mempercepat penjelajahan.

Namun, menurut peneliti di Imperva, ekstensi tersebut sebenarnya melakukan kampanye injeksi iklan yang menipu yang menyebabkan URL yang sah dialihkan ke tautan afiliasi yang dikendalikan oleh pengembang ekstensi.

Injeksi iklan adalah proses memasukkan iklan atau tautan ke halaman web yang biasanya tidak menghostingnya, memungkinkan penipu menghasilkan uang dari iklan atau mengarahkan orang ke situs afiliasi untuk mendapatkan komisi.

Skrip injection iklan bahkan menampilkan teknik evasion (pengelakan) seperti mengecualikan mesin pencari Rusia yang besar, membersihkan konsol debug setiap 100 md, dan deteksi aktif variabel Firebug yang diinisialisasi.

Dengan melihat lebih dalam pada AllBlock, tim Imperva menemukan skrip yang mereka cari di “bg.js,” yang menyuntikkan kode ke setiap tab baru yang dibuka di browser.

Pengembang ekstensi telah menambahkan beberapa objek dan variabel yang tidak berbahaya ke dalam cuplikan JavaScript berbahaya dalam upaya untuk mengaburkan eksekusi kode.

Namun, beberapa bukti IP dan domain mengaitkan ekstensi ini dengan kampanye Pbot, yang telah aktif setidaknya sejak 2018.

Selengkapnya: Bleeping Computer