Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Bug privasi Windows 11 Snipping Tool memperlihatkan konten gambar yang dipangkas

by

Sebuah cacat privasi serius bernama ‘acropalypse’ telah ditemukan mempengaruhi Snipping tool Windows dan Alat Markup Google Pixel.

Cacat ini memungkinkan pemulihan sebagian konten yang telah diedit dari gambar, yang dapat menimbulkan masalah privasi yang signifikan jika gambar tersebut memuat informasi sensitif seperti nomor kartu kredit atau wajah yang dihapus.

Para peneliti telah meluncurkan utilitas pemulihan tangkapan layar online untuk memulihkan gambar yang telah diedit dengan Google Pixel. Selain itu, Software engineer Chris Blume telah mengonfirmasi bahwa kelemahan privasi ‘acropalypse’ juga memengaruhi Alat Snipping Windows 11.

Ketika memotong atau mengedit file dalam Alat Snipping Windows 11, data yang tidak terpakai tidak dipotong dan dapat dipulihkan sebagian. Hal ini telah dikonfirmasi oleh pakar kerentanan.

Meskipun gambar yang dipotong sekarang berisi data yang jauh lebih sedikit daripada aslinya, ukuran file untuk file gambar asli (office-screenshot-original.png) dan file gambar yang dipotong (office-screenshot.png) sama, seperti yang terlihat di bawah.

Original and cropped images have the same file size
Source: BleepingComputer

Spesifikasi format file PNG mempersyaratkan agar file gambar PNG selalu diakhiri dengan potongan data ‘IEND’. Data apa pun yang ditambahkan setelah itu akan diabaikan oleh editor gambar dan penampil.

Sebagai contoh, di bawah ini adalah tangkapan layar asli yang saya ambil dari situs Microsoft. Seperti yang terlihat, file tersebut diakhiri dengan ‘IEND’ dan tidak mengandung data apapun setelah itu.

Potongan IEND di akhir gambar PNG asli
Sumber: BleepingComputer

Namun, menggunakan Snipping tool Windows 11 untuk menimpa gambar asli dengan versi yang dipotong, program tidak memotong data yang tidak digunakan dengan benar, dan tetap ada setelah potongan data IEND.

Data tidak terpotong setelah potongan data IEND
Sumber: BleepingComputer

Dalam penampil gambar, membuka file hanya akan menampilkan gambar yang dipotong, karena apapun setelah IEND pertama akan diabaikan. Namun, data yang tidak dipotong dapat digunakan untuk memulihkan bagian dari gambar asli yang berpotensi mengungkapkan informasi sensitif.

Saat ini, aplikasi pemulihan tangkapan layar acropalypse online tidak berfungsi dengan file Windows. Namun, Buchanan membagikan skrip Python yang dapat digunakan untuk memulihkan file Windows.

Perlu dicatat bahwa tidak semua file PNG terpengaruh oleh kelemahan ini, misalnya PNG yang dioptimalkan. Buchanan menjelaskan bahwa PNG asli disimpan dengan satu blok zlib, sedangkan tangkapan layar sebenarnya disimpan dengan beberapa blok zlib yang diperlukan untuk dieksploitasi.

Jika Anda membuka file PNG yang tidak terpotong di editor gambar seperti Photoshop dan menyimpannya ke file lain, data yang tidak digunakan akan dihapus sehingga tidak dapat dipulihkan lagi.

Alat Snipping di Windows 11 juga melakukan perilaku yang sama dengan file JPG, membiarkan data tidak terpotong jika ditimpa. Buchanan menegaskan bahwa saat ini eksploitasi tidak berfungsi pada file JPG, tetapi masih memungkinkan untuk dilakukan.

Sumber: Bleeping Computer

Pengguna Windows Perlu Segera Memperbarui Outlook

by

Menurut Microsoft, peretas secara aktif mengeksploitasi kerentanan kritis eskalasi hak istimewa (EoP) di Outlook. Pengguna Outlook di Windows perlu memperbarui klien email hari ini untuk menambal kerentanan kritis. Organisasi besar harus berkonsultasi dengan instruksi Microsoft untuk mengurangi ancaman ini dengan cepat.

Kerentanan zero-day CVE-2023-23397 ini diberi peringkat 9,8 dari 10 pada skala CVSS, menandakan bahwa berbahaya dan mudah dieksploitasi. Menurut Microsoft, email yang dibuat khusus secara otomatis memicu eksploit saat diterima oleh Outlook, tanpa interaksi apa pun dari korban.

Peretas dapat memperoleh akses ke jaringan korban untuk serangan atau observasi lebih lanjut melalui hash Net-NTLMv2 korban. Aktor ancaman berbasis di Rusia telah memanfaatkan eksploitasi ini untuk menargetkan organisasi di sektor pemerintahan, transportasi, energi, dan militer di Eropa.

Cara memperbarui Outlook yaitu tekan tab “File”, pilih “Microsoft Account” dari menu pop-out, klik “Update Options”, dan pilih “Update Now”.

Microsoft mencantumkan beberapa metode mitigasi pada daftar CVE-nya untuk mengantisipasi sebagian besar organisasi yang mengalami kesulitan memperbarui semua contoh Outlook. Ditawarkan juga skrip PowerShell yang memungkinkan organisasi melihat apakah mereka telah menjadi sasaran kerentanan ini.

Selengkapnya: reviewgeek

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

by

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

  • Pemerintah
  • Militer
  • Energi
  • Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

  • CVE ID: CVE-2023-23397
  • Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
  • Dampak: Peningkatan Hak Istimewa
  • Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
  • Keparahan: Kritis
  • Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

  • Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
  • Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
  • Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
  • Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
  • Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Peretas dapat mengambil alih beberapa ponsel Samsung atau Pixel hanya dengan nomor telepon Anda

by

mereka mengaktifkan eksekusi kode jarak jauh hanya dengan nomor telepon korban. Hanya satu dari eksploitasi paling serius yang memiliki nomor Common Vulnerabilities and Exposures (CVE) yang ditetapkan secara publik, dengan Google menahan sejumlah CVE yang terkait dengan kerentanan ini dalam pengecualian yang jarang terjadi pada protokol pengungkapan bug normal.

Perangkat berikut terpengaruh, menurut Project Zero Google.

  • Samsung; S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 and A04 series;
  • Vivo; S16, S15, S6, X70, X60 and X30 series;
  • Seri perangkat Pixel 6 dan Pixel 7 dari Google; Dan
  • kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.

Bug ini telah diperbaiki dalam pembaruan keamanan bulan Maret, yang sudah dimiliki oleh seri Pixel 7. Namun, seri Pixel 6 belum memilikinya, dan Google mengatakan bahwa pengguna yang menggunakan perangkat yang belum ditambal harus menonaktifkan Panggilan VoLTE dan Wi-Fi.

Adapun eksploitasi utama yang kami miliki informasinya, CVE-2023-24033, deskripsinya hanya mengatakan bahwa chipset modem baseband yang terpengaruh

Empat belas kerentanan lainnya (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, dan sembilan lainnya menunggu CVE) tidak begitu kritis tetapi masih membawa risiko kepada pengguna akhir. Agar eksploitasi berhasil, mereka membutuhkan “operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat.”

Untuk pengguna yang menunggu pembaruan dan menggunakan perangkat yang terpengaruh, pastikan untuk menonaktifkan Panggilan VoLTE dan Wi-Fi untuk saat ini. Jika Anda memiliki pembaruan keamanan bulan Maret yang tersedia tetapi belum diperbarui, mungkin sudah waktunya untuk melakukannya.

selengkapnya : xda-developers.com

Google memperingatkan pengguna untuk mengambil tindakan guna melindungi dari kelemahan yang dapat dieksploitasi dari jarak jauh di ponsel Android populer

by

Unit riset keamanan Google membunyikan alarm pada serangkaian kerentanan yang ditemukan di chip Samsung tertentu yang disertakan dalam lusinan model Android, perangkat yang dapat dikenakan, dan kendaraan, karena khawatir kelemahan tersebut dapat segera ditemukan dan dieksploitasi.

Dengan mendapatkan kemampuan untuk menjalankan kode dari jarak jauh pada tingkat baseband perangkat — pada dasarnya modem Exynos yang mengonversi sinyal sel menjadi data digital — penyerang akan dapat memperoleh akses yang hampir tak terbatas ke data yang mengalir masuk dan keluar dari perangkat yang terpengaruh, termasuk panggilan seluler, pesan teks, dan data seluler, tanpa memberi tahu korban.

Saat pengungkapan berlangsung, jarang melihat Google — atau firma riset keamanan mana pun — membunyikan alarm pada kerentanan dengan tingkat keparahan tinggi sebelum ditambal. Google mencatat risikonya kepada publik, menyatakan bahwa penyerang yang terampil “akan dapat dengan cepat membuat eksploitasi operasional” dengan penelitian dan upaya yang terbatas.

Peneliti Project Zero Maddie Stone menulis di Twitter bahwa Samsung memiliki waktu 90 hari untuk menambal bug, tetapi belum.

Samsung mengonfirmasi dalam daftar keamanan Maret 2023 bahwa beberapa modem Exynos rentan, memengaruhi beberapa produsen perangkat Android, tetapi memberikan sedikit detail lainnya.

Menurut Project Zero, perangkat yang terpengaruh mencakup hampir selusin model Samsung, perangkat Vivo, dan handset Pixel 6 dan Pixel 7 milik Google. Perangkat yang terpengaruh juga termasuk perangkat yang dapat dikenakan dan kendaraan yang mengandalkan chip Exynos untuk terhubung ke jaringan seluler.

Google mengatakan bahwa tambalan akan bervariasi tergantung pabrikannya, tetapi mencatat bahwa perangkat Pixel-nya sudah ditambal dengan pembaruan keamanan bulan Maret.

Sampai produsen yang terkena dampak mendorong pembaruan perangkat lunak kepada pelanggan mereka, Google mengatakan pengguna yang ingin melindungi diri mereka sendiri dapat mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) di pengaturan perangkat mereka, yang akan “menghilangkan risiko eksploitasi dari kerentanan ini. ”

Google mengatakan 14 kerentanan yang tersisa tidak terlalu parah karena memerlukan akses ke perangkat atau memiliki akses orang dalam atau akses istimewa ke sistem operator seluler.

selengkapnya : techcrunch.com

LockBit Membual: Kami akan Membocorkan Ribuan Blueprint SpaceX yang Dicuri dari Pemasok

by

Geng Ransomware Lockbit telah menyombongkannya masuk ke Industri Maksimum, yang membuat suku cadang untuk SpaceX, dan mencuri 3.000 skema berpemilik yang dikembangkan oleh pembuat roket Elon Musk.

Kru kejahatan siber yang produktif juga mengejek supremo SpaceX dan mengancam akan membocorkan atau menjual blueprint mulai 20 Maret jika tuntutan geng untuk membayar tidak dipenuhi. Ini mungkin tagihan yang tidak dapat dihindari Musk.

Klaim SpaceX mengikuti beberapa lainnya oleh penjahat yang berafiliasi dengan LockBit, yang tidak selalu merupakan kelompok paling jujur ​​tentang apa yang telah mereka curi.

Bulan lalu, kelompok penjahat yang sama mengklaim telah menyusup ke perusahaan teknologi keuangan ION dan mengancam akan menerbitkan data curian pada 4 Februari jika penyedia perangkat lunak tidak membayar.

LockBit mengkonfirmasi jika uang tebusan telah dibayarkan, namun mereka tidak memberikan bukti apa pun dan ION menolak berkomentar.

Royal Mail di Inggris, tersangka korban LockBit lainnya, melanjutkan pengiriman internasional pada bulan Februari setelah mengkonfirmasi “insiden siber” sebulan sebelumnya.

Pada akhirnya, pembuat malware tampak menyerah untuk mendapatkan uang tebusan yang mereka minta dari Royal Mail sebelum menerbitkan beberapa file yang mereka klaim berasal dari jarahan yang dicuri.

Selengkapnya: The Register

Grup Ransomware Mengklaim Peretasan Cincin Amazon

by

Geng ransomware mengklaim telah melanggar cincin perusahaan kamera keamanan yang sangat populer, yang dimiliki oleh Amazon. Geng ransomware mengancam akan merilis data Ring. Ring memberi tahu Motherboard bahwa ia tidak memiliki bukti pelanggaran sistemnya sendiri, tetapi mengatakan vendor pihak ketiga telah terkena ransomware.
ALPHV lebih dari sekadar mengunci file korban, dan memiliki situs web yang menamai dan mempermalukan korbannya dalam upaya untuk memeras mereka. Jika target tersebut tidak membayar, ALPHV mengancam akan merilis data yang dicuri dari mereka secara publik. Situs ALPHV menonjol karena bagian situsnya yang menerbitkan data yang diretas, yang disebut “Koleksi”, lebih mudah dicari daripada beberapa situs grup peretasan lainnya.

Motherboard memverifikasi bahwa daftar penamaan Cincin saat ini ada di situs pembuangan data ALPHV. Kolektif keamanan siber VX Underground men-tweet tangkapan layar dari daftar tersebut sebelumnya pada hari Senin.

Setelah publikasi, satu orang membagikan tautan ke artikel ini di saluran internal Amazon Slack, dan menulis “Jangan membahas apa pun tentang ini. Tim keamanan yang tepat dilibatkan.”

Tidak jelas data spesifik apa yang dapat diakses oleh ALPHV. Dalam sebuah pernyataan, Ring memberi tahu Motherboard, “Saat ini kami tidak memiliki indikasi bahwa Ring telah mengalami peristiwa ransomware.” Tetapi perusahaan menambahkan bahwa mereka mengetahui vendor pihak ketiga yang telah mengalami peristiwa ransomware, dan Ring bekerja sama dengan perusahaan tersebut untuk mempelajari lebih lanjut. Ring mengatakan vendor ini tidak memiliki akses ke catatan pelanggan.

Amazon telah bermitra dengan setidaknya dua ribu departemen kepolisian di seluruh negeri untuk memudahkan pengguna berbagi rekaman dengan penegak hukum. Kamera — dan rekaman yang mereka ambil, yang sering diposting online — telah menjadi sangat populer sehingga Amazon meluncurkan acara televisi yang disebut “Ring Nation”, yang merupakan acara ragam yang sebagian besar terdiri dari blooper yang diambil oleh kamera Ring.

Meskipun Ring sendiri tidak dikompromikan selama insiden tersebut, para peretas memang memanfaatkan kelemahan dalam pengaturan keamanan default Ring. Sejak peretasan tersebut, Ring telah mengubah beberapa praktik keamanannya untuk mempermudah dan memperjelas bagi pengguna untuk memeriksa pengaturan keamanan mereka.

selengkapnya : vice

The Huawei Card appeared to have a tracking chip in it.

by

Menurut Lightreading, laporan keluar tentang Huawei memasang perangkat pelacakan di “Huawei Card” yang diberikan perusahaan kepada para peserta yang mengunjungi pamerannya. Organisasi yang menjalankan MWC – Asosiasi GSM (GSMA) – dilaporkan menyelidiki situasinya.

Untuk konteks, pengunjung yang ingin memasuki stan Huawei diberi “kartu Huawei,” yang terdiri dari lencana, lanyard, dan wadah plastik kecil. Pengunjung ini diminta untuk membawa barang -barang itu saat berada di dalam pameran dan diharapkan untuk mengembalikannya saat pergi.

Tampaknya beberapa peserta lupa untuk mengembalikan kartu Huawei mereka. Para peserta yang sama ini kemudian memperhatikan beberapa cetakan halus di bagian belakang lencana yang menyatakan:

Rolf Werner, wakil presiden senior Nokia Eropa, menunjukkan outlet kartu Huawei dengan wadah plastik dibuka. Tampaknya berisi papan sirkuit kecil yang menurut Werner dapat digunakan sebagai pelacak.

Meskipun Huawei mulai berlaku di MWC 2023, mengesankan banyak orang di lantai pertunjukan, ini bukan tampilan yang baik untuk perusahaan yang telah dilarang di beberapa negara untuk masalah keamanan.\

sumber : lightreading