Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

Akun Facebook internasional palsu di balik protes Konvoi ke Canberra

by

Minggu lalu ribuan orang dari seluruh Australia turun ke Canberra dalam protes anti-pemerintah, yang disebut protes kebebasan. Mengambil inspirasi dari protes serupa di Ottawa, protes tersebut seolah-olah tentang mandat vaksin tetapi juga menampilkan berbagai keluhan anti-vaksin, konspirasi, dan pinggiran.

Dalam kasus konvoi Canberra, platform seperti Facebook dan Telegram telah digunakan untuk mengiklankan protes dan mengoordinasikan peserta, sedangkan platform crowdfunding seperti GoFundMe dan GiveSendGo telah digunakan untuk mengumpulkan uang (dalam beberapa kasus gagal).

Grup Facebook terbesar untuk protes yang tumbuh hingga memiliki lebih dari 177.000 anggota dimatikan pada hari Rabu. Mantan anggota mengklaim telah dihapus oleh Facebook. Meta, perusahaan induk Facebook, telah dimintai komentar.

Sementara itu, ribuan peserta dan pendukung mulai bergabung dengan beberapa kelompok alternatif bernama sama yang dibentuk sebelum dan sesudah kelompok utama dibubarkan. Namun, ada bukti yang menunjukkan bahwa akun di balik grup Facebook Konvoi baru ke Canberra ini mungkin bukan orang Australia atau bahkan orang sungguhan.

Satu-satunya grup Facebook alternatif yang tersisa untuk protes memiliki satu administrator: James Rhondes, dari Ottawa, menurut akun Facebook-nya. Akun ini juga diposting di grup Facebook yang sekarang dihapus untuk protes Kanada, hasil pencarian Google menunjukkan.

Pencarian menggunakan mesin pencari utama dan platform media sosial tidak menunjukkan bukti lain dari seseorang dengan nama itu yang tinggal di Ottawa. Akun Facebook, yang tampaknya telah ada setidaknya sejak Maret 2021, hampir tidak memiliki posting atau keterlibatan pada posting tersebut.

Foto profil akun tersebut tampak seperti foto seorang pria bule paruh baya. Tetapi sejumlah distorsi dan artefak digital menunjukkan bahwa itu adalah gambar yang dibuat secara artifisial dari seseorang yang tidak ada, menurut analis intelijen sumber terbuka Institute for Strategic Dialogue Elise Thomas.

sumber : MSN

Google Project Zero menghasilkan percepatan dramatis dalam perbaikan bug keamanan

by

Kerentanan keamanan yang dilaporkan oleh Project Zero pada tahun 2021 ditambal rata-rata 28 hari lebih cepat daripada tahun 2019, tim peneliti keamanan nol hari Google telah mengungkapkan.

Vendor perangkat keras dan perangkat lunak membutuhkan waktu rata-rata 52 hari untuk memperbaiki kelemahan keamanan tahun lalu, jauh di bawah tenggat waktu 90 hari dan turun dari rata-rata waktu rata-rata 80 hari dua tahun sebelumnya.

Hanya satu bug yang melebihi tenggat waktu perbaikannya, meskipun 14% memerlukan masa tenggang 14 hari tambahan sebelum perbaikan yang berfungsi dirilis.

“Kami menduga bahwa tren ini mungkin disebabkan oleh fakta bahwa kebijakan pengungkapan yang bertanggung jawab telah menjadi standar de-facto di industri, dan vendor lebih siap untuk bereaksi cepat terhadap laporan dengan tenggat waktu yang berbeda,” kata Ryan Schoen dari Project Zero dalam sebuah posting blog.

“Kami juga menduga bahwa vendor telah belajar praktik terbaik dari satu sama lain, karena ada peningkatan transparansi dalam industri ini.”

Namun, Schoen memperingatkan bahwa laporan Project Zero mungkin merupakan outlier “karena mereka dapat menerima tindakan lebih cepat karena ada risiko nyata pengungkapan publik (seperti yang akan diungkapkan tim jika kondisi tenggat waktu tidak terpenuhi) dan Project Zero adalah sumber tepercaya dari sumber yang dapat diandalkan. laporan bug”.

Sepanjang 2019, 2020, dan 2021, Project Zero melaporkan 376 masalah kepada vendor di bawah tenggat waktu perbaikan standar 90 hari, 351 (93,4%) di antaranya telah diperbaiki, sementara vendor menolak untuk memperbaiki 14 (3,7%) bug.

Pada 25 hari, Linux memiliki waktu rata-rata tercepat untuk perbaikan, diikuti oleh Google (44) dan Mozilla (46). Yang paling lambat adalah Oracle (109) tetapi dari sampel kecil tujuh bug, diikuti oleh Microsoft (83) dan Samsung (72).

Selengkapnya: Port Swigger

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

by

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Gerakan lateral Qbot
Sumber: DFIR

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5010386 dirilis dengan perbaikan kinerja

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5010386 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug LDAP.

KB5010386 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Februari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan hari ini dengan membuka Mulai > Pengaturan > Pembaruan Windows dan mengeklik ‘Periksa Pembaruan’.

Pembaruan KB5010386 ditawarkan di Pembaruan Windows

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5010386 dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5010386, Windows 11 akan mengubah nomor build menjadi 22000.493.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft belum memberikan informasi terperinci tentang apa yang telah diperbaiki.

Microsoft menyatakan bahwa satu-satunya perbaikan non-keamanan dalam pembaruan KB5010386 adalah untuk masalah LDAP, yang menyebabkan operasi gagal.

“Pesan kesalahannya adalah, “Kesalahan: 0x20EF. Layanan direktori mengalami kegagalan yang tidak diketahui”.

Minggu lalu, Microsoft merilis pembaruan pratinjau Windows 11 yang menyelesaikan masalah kinerja Windows 11 File Explorer saat beralih di antara, menelusuri, atau memilih file. Meskipun Microsoft tidak mencantumkannya di changelog, perbaikan ini juga disertakan dengan pembaruan kumulatif Windows 11 hari ini.

Terakhir, Microsoft memperbarui tumpukan layanan untuk mengatasi bug atau masalah yang mencegah Pembaruan Windows menginstal pembaruan di masa mendatang dengan benar.

Sumber : Bleeping Computer

Microsoft memblokir makro Office VBA secara default

by

Microsoft akhirnya berencana untuk memblokir makro Visual Basic for Applications (VBA) secara default di berbagai aplikasi Office. Perubahan akan berlaku untuk file Office yang diunduh dari internet dan menyertakan makro, sehingga pengguna Office tidak lagi dapat mengaktifkan konten tertentu hanya dengan mengklik tombol.

Peretas telah menargetkan dokumen Office dengan makro berbahaya selama bertahun-tahun, dan meskipun Office telah lama meminta pengguna untuk mengklik untuk mengaktifkan makro berjalan, tombol sederhana ini dapat menyebabkan “termasuk malware yang parah, identitas yang disusupi, kehilangan data, dan akses jarak jauh.” Alih-alih tombol, spanduk risiko keamanan akan muncul dengan tautan ke artikel dukungan Microsoft, tetapi tidak ada cara mudah untuk mengaktifkan makro.

Microsoft berencana untuk melihat pratinjau perubahan dengan pengguna Saluran Saat Ini (Pratinjau) pada awal April, sebelum diluncurkan ke pelanggan reguler Microsoft 365. Perubahan untuk memblokir makro VBA dari web akan memengaruhi Access, Excel, PowerPoint, Visio, dan Word di Windows. Microsoft juga berencana untuk memperbarui Office LTSC, Office 2021, Office 2019, Office 2016, dan bahkan Office 2013 untuk memblokir makro VBA internet.

Ini adalah perubahan besar yang dapat memengaruhi banyak kasus penggunaan asli untuk makro VBA, dan itu berarti bahwa pengguna Office hanya akan dapat mengaktifkan makro dengan secara khusus mencentang opsi buka blokir pada properti file. Itu lebih banyak langkah dari biasanya, dan yang diharapkan Microsoft akan membantu mencegah masalah keamanan di masa mendatang.

“Makro menyumbang sekitar 25 persen dari semua entri ransomware,” jelas peneliti keamanan dan mantan karyawan Microsoft Kevin Beaumont. “Terus mengabaikan fungsi makro dan makro. Ini sangat penting. Terima kasih semua orang di belakang layar yang melakukan ini.” Marcus Hutchins, seorang peneliti keamanan yang terkenal karena menghentikan serangan malware WannaCry global, juga merayakan perubahan Microsoft tetapi mencatat bahwa perusahaan telah “memutuskan untuk melakukan yang minimal” setelah bertahun-tahun terinfeksi malware.

Sumber : The Verge

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

by

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer