Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft Defender menandai pembaruan Google Chrome sebagai mencurigakan

by

Microsoft Defender for Endpoint telah menandai pembaruan Google Chrome yang dikirimkan melalui Google Update sebagai aktivitas mencurigakan karena masalah positif palsu.

Menurut laporan admin sistem Windows [1, 2, 3, 4], solusi keamanan (sebelumnya dikenal sebagai Microsoft Defender ATP) mulai menandai pembaruan Chrome sebagai mencurigakan mulai tadi malam.

Mereka yang mengalami masalah ini melaporkan melihat peringatan “Insiden multi-tahap yang melibatkan penghindaran Eksekusi & Pertahanan” pada titik akhir Windows yang terpengaruh yang dipantau menggunakan Defender untuk Titik Akhir.

Dalam penasihat layanan Microsoft 365 Defender yang dikeluarkan setelah laporan peringatan yang mengkhawatirkan ini mulai muncul secara online, Microsoft mengungkapkan bahwa peringatan tersebut salah dipicu oleh positif palsu dan bukan karena aktivitas jahat.

Kira-kira satu setengah jam kemudian, saran diperbarui, dengan Redmond mengatakan masalah positif palsu telah diatasi dan layanan dipulihkan.

Pembela untuk peringatan positif palsu Endpoint (Kevin Gray)

Admin Windows harus berurusan dengan beberapa masalah positif palsu Defender for Endpoint lainnya selama dua tahun terakhir.

Misalnya, mereka terkena gelombang peringatan Defender for Endpoint di mana pembaruan Office ditandai sebagai berbahaya dalam peringatan yang menunjukkan perilaku ransomware yang terdeteksi di titik akhir Windows.

Pada bulan November, Defender ATP memblokir dokumen Office dan beberapa executable Office agar tidak dibuka atau diluncurkan karena tag positif palsu lainnya pada file muatan malware Emotet.

Satu bulan kemudian, itu secara keliru menampilkan peringatan “gangguan sensor” yang ditautkan ke pemindai Microsoft 365 Defender untuk proses Log4j.

Masalah Defender for Endpoint serupa lainnya termasuk peringatan perangkat jaringan yang terinfeksi Cobalt Strike dan pembaruan Chrome sebagai backdoor PHP, keduanya disebabkan oleh deteksi positif palsu.

Sumber :Bleeping Computer

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

by

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

  • Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
  • Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
  • Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks

Microsoft menonaktifkan SMB1 secara default untuk Windows 11 Home Insiders

by

Microsoft hari ini mengumumkan bahwa protokol berbagi file SMBv1 yang berusia 30 tahun sekarang dinonaktifkan secara default pada sistem Windows yang menjalankan build saluran Windows 11 Home Dev terbaru, edisi terakhir Windows atau Windows Server yang masih datang dengan SMBv1 diaktifkan.

Redmond pertama kali mengumumkan rencana untuk menonaktifkan SMBv1 di sebagian besar versi sistem operasi Windows pada Juni 2017 setelah terlebih dahulu menonaktifkannya untuk build internal Windows 10 Enterprise dan Windows Server 2016.

SMBv1 tidak lagi diinstal di OS Microsoft secara default sejak Windows 10 versi 1709 dan Windows Server versi 1709, dengan versi Windows yang lebih baru menggunakan SMBv3.

SMBv1 dinonaktifkan di Windows 11 Home edition Dev build
“Saya memiliki pengumuman yang cukup besar: kami telah memulai fase terakhir penonaktifan SMB1 di Windows,” kata Ned Pyle, Manajer Program Utama di grup Ketersediaan dan Penyimpanan Tinggi Microsoft Windows Server.

Ini juga akan menjadi perilaku default di rilis utama Windows 11 berikutnya setelah Windows Insiders dapat menguji dan memberikan umpan balik tentang perubahan baru,

Namun, seperti yang dijelaskan lebih lanjut oleh pakar Microsoft, perubahan ini tidak akan memengaruhi perangkat yang menggunakan SMBv1 setelah pemutakhiran di tempat, dengan admin masih diizinkan untuk menginstalnya kembali.

Pyle juga membagikan daftar vendor dan produk yang memerlukan SMBv1 sehingga pengguna dapat menghindarinya dan tidak terhalang untuk beralih ke versi protokol SMB yang lebih baru dan lebih aman.

Mereka yang tertarik untuk menonaktifkan SMBv1 di server mereka dapat memeriksa halaman dukungan Microsoft ini untuk instruksi terperinci.

Microsoft telah merekomendasikan admin untuk menghapus dukungan untuk SMBv1 di jaringan mereka sejak 2016 karena tidak menampilkan peningkatan keamanan tambahan yang ditambahkan ke versi protokol SMB yang lebih baru.

Penyempurnaan ini mencakup pemeriksaan integritas pra-otentikasi untuk mencegah serangan man-in-the-middle (MiTM), enkripsi, pemblokiran otentikasi tamu yang tidak aman, perlindungan terhadap serangan penurunan versi keamanan, dan banyak lagi.

Dua tahun lalu, Tim Microsoft Exchange juga mendesak admin untuk menonaktifkan SMBv1 untuk melindungi server dari serangan malware.

Peringatan ini muncul setelah kebocoran beberapa eksploitasi NSA tahun 2017 yang dirancang untuk mengeksploitasi kelemahan dalam protokol SMBv1 untuk menjalankan perintah pada server yang rentan dengan hak administratif.

Beberapa dari eksploitasi ini, seperti EternalBlue dan EternalRomance, kemudian disebarkan secara liar oleh malware TrickBot, Emotet, WannaCry, Retefe, NotPetya, dan Olympic Destroyer untuk menginfeksi lebih banyak perangkat dan meluncurkan serangan yang merusak atau mencuri kredensial pengguna.

Sumber : Bleeping Computer

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

by

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer

Microsoft mengganggu malware Zloader dalam operasi global

by

Operasi global selama berbulan-bulan yang dipimpin oleh Unit Kejahatan Digital (DCU) Microsoft telah menghapus lusinan domain yang digunakan sebagai server perintah-dan-kontrol (C2) oleh botnet ZLoader yang terkenal kejam.

Perintah pengadilan yang diperoleh Microsoft mengizinkannya untuk menenggelamkan 65 domain hardcode yang digunakan oleh geng kejahatan dunia maya ZLoader untuk mengontrol botnet dan 319 domain lainnya yang terdaftar menggunakan algoritme pembuatan domain yang digunakan untuk membuat saluran komunikasi cadangan dan cadangan.

“Selama penyelidikan kami, kami mengidentifikasi salah satu pelaku di balik pembuatan komponen yang digunakan dalam botnet ZLoader untuk mendistribusikan ransomware sebagai Denis Malikov, yang tinggal di kota Simferopol di Semenanjung Krimea,” jelas Amy Hogan-Burney, DCU Manajer umum.

Beberapa penyedia telekomunikasi dan perusahaan keamanan siber di seluruh dunia bermitra dengan intel ancaman dan peneliti keamanan Microsoft selama upaya investigasi, termasuk ESET, Black Lotus Labs (lengan intelijen ancaman Lumen), Unit 42 Jaringan Palo Alto, dan Avast.

Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC) dan Pusat Berbagi dan Analisis Informasi Kesehatan (H-ISAC) juga menyumbangkan data dan wawasan untuk membantu memperkuat kasus hukum.

ZLoader menyerang peta panas (Microsoft)

Zloader (alias Terdot dan DELoader) adalah trojan perbankan terkenal yang pertama kali terlihat pada Agustus 2015 ketika digunakan dalam serangan terhadap beberapa pelanggan perusahaan keuangan Inggris.

“Kemampuannya termasuk menangkap tangkapan layar, mengumpulkan cookie, mencuri kredensial dan data perbankan, melakukan pengintaian, meluncurkan mekanisme persistensi, menyalahgunakan alat keamanan yang sah, dan menyediakan akses jarak jauh ke penyerang,” kata Tim Intelijen Ancaman Pembela Microsoft 365 hari ini.

Seperti Zeus Panda dan Floki Bot, malware ini hampir seluruhnya didasarkan pada kode sumber trojan Zeus v2 yang bocor secara online lebih dari satu dekade lalu.

Malware telah digunakan untuk menargetkan bank di seluruh dunia, dari Australia dan Brasil hingga Amerika Utara, dengan tujuan akhir mengumpulkan data keuangan melalui injeksi web yang menggunakan rekayasa sosial untuk mengelabui pelanggan bank yang terinfeksi agar membagikan kode otentikasi dan kredensial.

Zloader juga memiliki fitur pintu belakang dan kemampuan akses jarak jauh, dan dapat digunakan sebagai pemuat malware untuk menjatuhkan muatan tambahan pada perangkat yang terinfeksi.

Baru-baru ini, operator dari beberapa geng ransomware juga telah menggunakannya untuk menyebarkan muatan berbahaya seperti Ryuk dan Egregor, serta DarkSide dan BlackMatter per Microsoft.

Sumber : Bleeping Computer