Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft merilis pembaruan darurat untuk masalah pembaruan Windows Januari

by

Microsoft telah merilis pembaruan darurat out-of-band (OOB) untuk mengatasi beberapa masalah yang disebabkan oleh Pembaruan Windows yang dikeluarkan selama Patch Tuesday Januari 2021.

Semua pembaruan OOB yang dirilis hari ini tersedia untuk diunduh di Microsoft Update Catalog, dan beberapa di antaranya juga dapat diinstal langsung melalui Windows Update sebagai pembaruan opsional.

Anda harus memeriksa pembaruan secara manual jika Anda ingin menginstal perbaikan darurat melalui Windows Update karena itu adalah pembaruan opsional dan tidak akan diinstal secara otomatis.

Seperti yang dilaporkan BleepingComputer setelah Patch Tuesday bulan ini, pembaruan Windows Server terbaru menyebabkan serangkaian masalah parah bagi administrator.

Menurut laporan admin, Windows domain controllers diganggu oleh reboot yang spontan, Hyper-V tidak lagi dimulai di server Windows, dan volume Windows Resilient File System (ReFS) tidak lagi dapat diakses setelah menerapkan pembaruan Januari 2021.

Pengguna dan administrator Windows 10 juga melaporkan masalah dengan koneksi VPN L2TP setelah menginstal pembaruan kumulatif Windows 10 dan Windows 11 terbaru dan melihat error “Tidak dapat terhubung ke VPN”.

Mereka yang tidak dapat segera menginstal pembaruan out-of-band hari ini dapat menghapus pembaruan KB5009624, KB5009557, KB5009555, KB5009566, dan KB5009543 yang menyebabkan masalah ini dari Command Prompt dengan perintah berikut:

Windows Server 2012 R2: wusa /uninstall /kb:KB5009624
Windows Server 2019: wusa /uninstall /kb:KB5009557
Windows Server 2022: wusa /uninstall /kb:KB5009555
Windows 10: wusa /uninstall /kb:5009543
Windows 11: wusa /uninstall /kb:5009566

Selengkapnya: Bleeping Computer

Nintendo Memperingatkan Situs Palsu yang Mendorong Diskon Switch Palsu

by

Nintendo telah memperingatkan pelanggan dari beberapa situs yang meniru situs web resmi perusahaan video game Jepang dan berpura-pura menjual konsol Nintendo Switch dengan diskon yang signifikan.

Peringatan langka ini dikeluarkan minggu lalu melalui situs perusahaan multinasional game, yang juga mengisyaratkan tingkat keparahan masalah ini.

“Situs palsu menggunakan logo perusahaan kami secara ilegal, membuatnya terlihat seolah-olah dioperasikan oleh kami, dan menampilkan produk kami, seperti Nintendo Switch, untuk dibeli jika dengan harga diskon yang signifikan,” kata Nintendo.

“Tautan ke situs web resmi Nintendo adalah sebagai berikut: https://www.nintendo.co.jp/.”

“Membeli produk di situs palsu dapat mengakibatkan kerusakan penipuan seperti akuisisi informasi pribadi yang tidak sah. Harap berhati-hatilah untuk tidak salah mengiranya sebagai situs web kami, dan jangan membeli produk dari situs web palsu,” tambah Nintendo.

Raksasa video game itu juga memperingatkan bahwa mereka akan segera memperingatkan polisi dan lembaga penegak hukum terkait ketika menemukan situs palsu yang menargetkan pelanggannya.

Peringatan ini muncul setelah pelanggaran data yang diungkapkan dua tahun lalu ketika aktor ancaman yang tidak diketahui masuk ke akun lebih dari 300.000 pengguna Nintendo tanpa otorisasi.

Para penyerang menggunakan ID Nintendo Network dan mendapatkan akses ke nama pengguna, negara, alamat email, dan tanggal lahir.

Setelah menemukan insiden tersebut, Nintendo memperingatkan pengguna untuk mengaktifkan autentikasi dua faktor (2FA) di akun mereka dan mengatur ulang kata sandi untuk NNID dan akun Nintendo yang terkena dampak.

Sumber: Bleepingcomputer

Microsoft: Edge akan mengurangi bug zero day ‘aktif tak terduga’

by

Microsoft Edge telah menambahkan fitur baru ke saluran Beta yang akan mengurangi eksploitasi di masa depan dari kerentanan zero-day yang tidak diketahui.

Kemampuan baru ini merupakan bagian dari mode penjelajahan baru yang dirancang untuk fokus pada keamanan Microsoft Edge saat menavigasi web.

“Fitur ini merupakan langkah maju yang besar karena memungkinkan kami mengurangi zero-day aktif yang tidak terduga (berdasarkan tren historis),” Microsoft menjelaskan.

“Saat diaktifkan, fitur ini menghadirkan Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG), dan Content Flow Guard (CFG) sebagai pendukung mitigasi keamanan untuk meningkatkan keamanan pengguna di web.”

Microsoft telah menyertakan lapisan perlindungan ekstra ini terhadap bug zero-day yang dieksploitasi di alam liar dengan merilis versi 98.0.1108.23 ke Microsoft Edge Beta Channel.

Untuk membantu melindungi pengguna akhir dari eksploitasi zero-day, administrator dapat menerapkan EnhanceSecurityMode, EnhanceSecurityModeBypassListDomains, EnhanceSecurityModeEnforceListDomains ke desktop Windows, macOS, dan Linux.

“Kebijakan ini juga membuat situs penting dan aplikasi lini bisnis terus bekerja seperti yang diharapkan,” tambah Microsoft.

Dalam catatan rilis untuk versi Beta Microsoft Edge terbaru, Microsoft juga menyebutkan penambahan kata sandi utama khusus yang akan memungkinkan pengguna untuk menambahkan langkah otentikasi tambahan sebelum kata sandi yang disimpan diisi secara otomatis dalam formulir web.

Selengkapnya: Bleeping Computer

Bug Safari membocorkan info akun Google Anda serta riwayat penelusuran

by

Ada masalah dengan penerapan API IndexedDB di mesin WebKit Safari, yang dapat mengakibatkan kebocoran aktivitas penjelajahan secara real-time dan bahkan kebocoran identitas pengguna kepada siapa pun yang mengeksploitasi kelemahan ini.

IndexedDB adalah API browser yang banyak digunakan yang merupakan client-side storage system serbaguna tanpa batas kapasitas.

Ini biasanya digunakan untuk menyimpan data aplikasi web untuk dilihat secara offline, sementara modul, alat pengembang, dan ekstensi browser juga dapat menggunakannya untuk menyimpan informasi sensitif.

Untuk mencegah kebocoran data dari serangan skrip lintas situs, IndexedDB mengikuti kebijakan “same-origin”, mengontrol sumber daya mana yang dapat mengakses setiap bagian data.

Namun, analis FingerprintJS menemukan bahwa API IndexedDB tidak mengikuti kebijakan same-origin implementasi WebKit yang digunakan oleh Safari 15 di macOS, yang mengarah pada pengungkapan data sensitif.

Bug pelanggaran privasi ini juga memengaruhi browser web yang menggunakan mesin browser yang sama di versi iOS dan iPadOS terbaru.

Menurut para analis, mengidentifikasi seseorang melalui kelemahan ini memerlukan login dan mengunjungi situs web populer seperti YouTube dan Facebook, atau layanan seperti Google Kalender, dan Google Keep.

Kerentanan dilaporkan ke WebKit Bug Tracker pada 28 November 2021, dan pada saat penulisan ini, masih belum terselesaikan.

Salah satu cara untuk memitigasi masalah ini hingga pembaruan keamanan tersedia adalah dengan memblokir semua JavaScript, tetapi ini adalah tindakan drastis yang pasti akan menyebabkan masalah fungsionalitas di banyak halaman web.

Beralih ke browser web non-WebKit adalah satu-satunya solusi yang layak, tetapi itu hanya berlaku untuk macOS. Di iOS dan iPadOS, semua browser web terpengaruh.

Selengkapnya: Bleeping Computer

Rusia Tuntut 8 Tersangka Anggota Geng Ransomware REvil

by

Delapan anggota operasi ransomware REvil yang telah ditahan oleh petugas Rusia saat ini menghadapi tuntutan pidana atas aktivitas ilegal mereka.

Pada hari Jumat, Dinas Keamanan Federal (FSB) Federasi Rusia – dinas intelijen domestik negara itu, mengumumkan penggerebekan di rumah 14 orang yang diduga menjadi bagian dari geng ransomware REvil.

Operasi itu dilakukan bekerja sama dengan Kementerian Dalam Negeri Rusia setelah pihak berwenang AS melaporkan pemimpin kelompok itu dan menuntut tindakan terhadap penjahat dunia maya yang tinggal di Rusia.

Nama-nama para tersangka tidak diketahui sampai hari ini ketika Pengadilan Tverskoi Moskow mengidentifikasi delapan orang dari dokumen penangkapan mereka:

  • Muromsky Romawi
  • Bessonov Andrey
  • Golovachuk Mikhail A.
  • Zayets Artem N.
  • Khansvyarov Ruslan A.
  • Korotayev Dmitry V.
  • Puzyrevsky D.D.
  • Malozemov Alexei V.

Para tersangka telah dipenjara selama dua bulan sebagai tindakan pencegahan dan semuanya diselidiki karena peredaran ilegal alat pembayaran (kartu kredit palsu dan dokumen pembayaran lainnya, cryptocurrency).

Yelisey Boguslavskiy, kepala penelitian di advIntel threat prevention, mengatakan bahwa individu yang ditangkap kemungkinan adalah afiliasi tingkat rendah dan bukan inti dari operasi REvil, yang mengembangkan malware dan mempertahankan operasi ransomware-as-a-service (RaaS).

Semua orang yang ditangkap dituduh melakukan kejahatan berdasarkan Bagian 2 dari Pasal 187 KUHP Federasi Rusia, kata Kantor Berita Rusia TASS, yang membawa hukuman antara lima dan delapan tahun penjara.

Menurut Martin Matishak dari The Record, seorang pejabat senior pemerintahan Biden mengatakan bahwa salah satu dari 14 tersangka yang digerebek juga bertanggung jawab atas serangan ransomware yang mengganggu operasi Colonial Pipeline. Malware ini digunakan oleh geng ransomware DarkSide, kemudian berganti nama menjadi BlackMatter.

Selengkapnya: Bleepingcomputer

Apple memperbaiki bug DoorLock yang dapat menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan (DoS) yang dijuluki doorLock yang akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari Rabu lalu, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan merusak perangkat iOS dan iPadOS yang terpengaruh saat memproses nama aksesori HomeKit yang telah dicustom untuk tujuan kejahatan.

Apple telah mengatasi masalah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang ditingkatkan yang tidak lagi memungkinkan penyerang menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan kali ini termasuk iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan mengelabui target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan menyetel ulang pabrik perangkat yang dinonaktifkan, mengingat perangkat itu akan crash sekali lagi setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Selengkanya: Bleeping Computer

Apple Perbaiki Bug doorLock yang Dapat Menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan yang terus-menerus (DoS) yang dijuluki doorLock yang sama sekali akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS untuk menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari ini, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan menabrak perangkat iOS dan iPadOS yang terkena dampak ketika memproses nama aksesori HomeKit yang dibuat dengan jahat.

Apple telah mengatasi masalah kelelahan sumber daya yang parah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang lebih baik yang tidak lagi memungkinkan penyerang untuk menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan hari ini termasuk iPhone 6s dan yang lebih baru, iPad Pro (semua model), iPad Air 2 dan yang lebih baru, iPad generasi ke-5 dan yang lebih baru, iPad mini 4 dan yang lebih baru, dan iPod touch (generasi ke-7).

“Empat bulan lalu saya menemukan dan melaporkan penolakan serius terhadap bug layanan di iOS yang masih tetap dalam rilis terbaru. Ini berlanjut melalui reboot dan dapat memicu setelah pemulihan dalam kondisi tertentu, “Trevor Spiniolas, programmer dan “peneliti keamanan awal” yang melihat dan melaporkan bug.

“Semua persyaratan adalah pengaturan default. Ketika seseorang mengatur perangkat iOS mereka, semuanya sudah agar bug berfungsi. Jika mereka menerima undangan rumah berbahaya dari sana, perangkat mereka berhenti bekerja. ”

Perbaikan tertunda sejak Agustus

Menurut Spiniolas, Apple telah mengetahui tentang doorlock sejak Agustus 2021, tetapi mendorong pembaruan keamanan beberapa kali meskipun berulang kali berjanji untuk memperbaikinya.

“Saya percaya bug ini ditangani secara tidak tepat karena menimbulkan risiko serius bagi pengguna dan berbulan-bulan telah berlalu tanpa perbaikan yang komprehensif,” kata Spinolas.

“Masyarakat harus menyadari kerentanan ini dan bagaimana mencegahnya dieksploitasi, daripada disimpan dalam kegelapan.”

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan menipu target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan mengatur ulang perangkat yang dinonaktifkan, mengingat bahwa itu akan sekali lagi macet setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Patch zero-day juga tertunda

Pada bulan September, pengembang perangkat lunak Denis Tokarev juga menjatuhkan kode eksploitasi proof-of-concept untuk tiga kekurangan zero-day iOS di GitHub setelah Apple menunda patching dan gagal mengkreditnya ketika menambal yang keempat pada bulan Juli.

Satu bulan kemudian, dengan merilis iOS 15.0.2, Apple memperbaiki salah satu kerentanan ‘gamed’ zero-day yang dilaporkan oleh Tokarev.

Namun, Apple tidak mengakui atau memujinya atas penemuan itu dan juga memintanya untuk tetap diam dan tidak mengungkapkan kepada orang lain bahwa perusahaan gagal memberinya kredit untuk bug tersebut.

Peneliti keamanan lainnya dan pemburu hadiah bug juga telah melalui pengalaman serupa yang mengatakan bahwa mereka telah disimpan dalam kegelapan selama berbulan-bulan dengan Apple menolak untuk membalas pesan mereka.

Sumber: Bleepingcomputer

Peretas OceanLotus Beralih ke File Arsip Web untuk Menyebarkan Backdoors

by

Kelompok OceanLotus dari hacker yang disponsori negara sekarang menggunakan format file arsip web (. MHT dan . MHTML) untuk menyebarkan backdoors ke sistem yang dikompromikan.

Tujuannya adalah untuk menghindari deteksi oleh alat solusi antivirus yang lebih mungkin untuk menangkap format dokumen yang umum disalahgunakan dan menghentikan korban dari membukanya di Microsoft Office.

Juga dilacak sebagai APT32 dan SeaLotus, para peretas telah menunjukkan kecenderungan di masa lalu untuk mencoba metode yang kurang umum untuk menyebarkan malware.

Sebuah laporan dari Netskope Threat Labs yang dibagikan dengan Bleeping Computer sebelumnya mencatat bahwa kampanye OceanLotus menggunakan file arsip web masih aktif, meskipun ruang lingkup penargetan sempit dan meskipun server command and control (C2) terganggu.

Dari RAR ke word macros

Rantai serangan dimulai dengan kompresi RAR dari file arsip web besar 35-65MB yang berisi dokumen Word berbahaya.

Untuk melewati perlindungan Microsoft Office, para aktor telah mengatur properti ZoneID dalam metadata file ke “2”, membuatnya tampak seolah-olah diunduh dari sumber yang dapat dipercaya.

Saat membuka file arsip web dengan Microsoft Word, dokumen yang terinfeksi meminta korban untuk “Mengaktifkan Konten”, yang membuka jalan untuk mengeksekusi kode makro VBA berbahaya.

Skrip melakukan tugas-tugas berikut pada mesin yang terinfeksi:

  • Menjatuhkan payload ke “C:ProgramDataMicrosoftUser Account Picturesguest.bmp”;
  • Menyalin payload ke “C:ProgramDataMicrosoft Outlook Syncguest.bmp”;
  • Membuat dan menampilkan dokumen umpan bernama “Dokumen.doc”;
  • Mengganti nama muatan dari “tamu.bmp” menjadi “latar belakang.dll”;
  • Menjalankan DLL dengan memanggil fungsi ekspor “SaveProfile” atau “OpenProfile”

Setelah payload dieksekusi, kode VBA menghapus file Word asli dan membuka dokumen umpan yang melayani korban kesalahan palsu.

Backdoor menggunakan layanan hosting Glitch

Payload yang dijatuhkan dalam sistem adalah DLL 64-bit yang mengeksekusi setiap 10 menit berkat tugas terjadwal yang meniru cek pembaruan WinRAR.

Backdoor disuntikkan ke dalam proses rundll32.exe berjalan tanpa batas waktu dalam memori sistem untuk menghindari deteksi, netskope mencatat dalam laporan teknisnya.

Malware mengumpulkan informasi adaptor jaringan, nama komputer, nama pengguna, menyebutkan direktori dan file sistem, memeriksa daftar proses yang berjalan.

Setelah data dasar dikumpulkan, backdoor mengkompilasi semuanya menjadi satu paket dan mengenkripsi konten sebelum dikirim ke server C2.

Server ini di-host di Glitch, hosting cloud dan layanan kolaborasi pengembangan web yang sering disalahgunakan untuk tujuan jahat.

Dengan menggunakan layanan cloud hosting yang sah untuk komunikasi C2, para aktor semakin mengurangi kemungkinan terdeteksi bahkan ketika alat pemantauan lalu lintas jaringan dikerahkan.

Meskipun Glitch menurunkan URL C2 yang diidentifikasi dan dilaporkan oleh para peneliti Netskope, tidak mungkin ini akan menghentikan APT32 dari membuat yang baru menggunakan akun yang berbeda.

Untuk daftar lengkap indikator kompromi dari kampanye ini, Anda dapat memeriksa repositori GitHub ini.

Sumber: Bleepingcomputer