Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas negara Rusia menyerang Ukraina dengan varian malware baru

by

Analis ancaman melaporkan bahwa kelompok ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon (alias Armageddon/Shuckworm) meluncurkan serangan terhadap target di Ukraina menggunakan varian baru dari pintu belakang kustom Pteredo.

Gamaredon telah meluncurkan kampanye spionase dunia maya yang menargetkan pemerintah Ukraina dan entitas penting lainnya setidaknya sejak 2014.

Aktor ini dikenal karena fokusnya yang kuat di Ukraina, yang dikaitkan dengan lebih dari 5.000 serangan siber terhadap 1.500 entitas publik dan swasta di negara tersebut.

Menurut laporan Symantec, yang melacak grup tersebut sebagai Shuckworm, aktor tersebut saat ini menggunakan setidaknya empat varian malware “Pteredo”, yang juga dilacak sebagai Pteranodon.

Akar pintu belakang ada di forum peretas Rusia dari 2016 dari mana Shuckworm mengambilnya dan mulai mengembangkannya secara pribadi dengan modul dan fitur DLL khusus untuk mencuri data, akses jarak jauh, dan penghindaran analisis.

Analis Symantec melaporkan bahwa semua muatan berbeda yang dikerahkan terhadap target Ukraina baru-baru ini melakukan tugas serupa, tetapi masing-masing berkomunikasi dengan alamat server server perintah dan kontrol (C2) yang berbeda.

Ini menunjukkan bahwa aktor ancaman menggunakan beberapa muatan berbeda untuk mencapai redundansi dan membangun kegigihan yang tahan terhadap tindakan pembersihan malware.

Tugas terjadwal ditambahkan untuk ketekunan (Symantec)

Di keempat varian yang diamati, pelaku ancaman menggunakan dropper VBS yang dikaburkan yang menambahkan Tugas Terjadwal dan kemudian mengambil modul tambahan dari C2.

Pteredo.B – Arsip 7-Zip self-extracting yang dimodifikasi yang berisi beberapa VBScript yang berfokus pada pengumpulan data dan pembentukan kegigihan.
Pteredo.C – Varian yang menggunakan VBScript yang diluncurkan dengan proses hammering API untuk memastikannya tidak berjalan di sandbox analis. Bergantung pada pengambilan skrip PowerShell dari sumber eksternal dan menjalankannya.

PowerShell digunakan oleh Pteredo.C (Symantec)

Pteredo.D – Penetes VBScript lain yang dikaburkan yang menghapus DNS sebelum mengambil muatan, menjalankan perintah, dan menghapus jejak tahap infeksi awal.
Pteredo.E – Varian lain yang menampilkan campuran dari tiga fitur sebelumnya, seperti kebingungan berat dan palu API.

Alat lain yang digunakan dan disalahgunakan dalam serangan Shuckworm baru-baru ini termasuk alat akses jarak jauh UltraVNC, dan Microsoft Process Explorer untuk menangani proses modul DLL.

Dengan melihat aktivitas Shuckworm terhadap target Ukraina mulai Januari 2022, mudah untuk menyimpulkan bahwa taktik kelompok ancaman tidak berubah secara signifikan.

Dalam serangan sebelumnya, varian backdoor Pteredo dijatuhkan menggunakan file VBS yang bersembunyi di dalam lampiran file DOC pada email spear-phishing.

Binari self-extracting 7-Zip yang meminimalkan interaksi pengguna juga digunakan pada bulan Januari, sementara penyalahgunaan UltraVNC dan Process Explorer juga terlihat.

Meskipun Shuckworm/Gamaredon adalah grup yang cukup canggih, perangkat dan taktik infeksinya belum membaik dalam beberapa bulan terakhir, memungkinkan pendeteksian yang lebih mudah dan taktik pertahanan yang lebih sederhana.

Sumber : Bleeping Computer

VPN populer memiliki risiko keamanan yang berbahaya

by

Sebuah laporan baru menunjukkan beberapa jaringan pribadi virtual (VPN) populer mungkin membuat pengguna terkena risiko keamanan yang signifikan.

VPN adalah opsi populer untuk bisnis dan konsumen, memberikan ukuran keamanan dan privasi saat menjelajahi web. Sayangnya, sebuah laporan baru oleh AppEsteem menemukan bahwa sejumlah opsi populer termasuk Surfshark, Turbo VPN, Atlas VPN, VyprVPN, VPN Proxy Master, dan Sumrando VPN menempatkan penggunanya pada risiko dengan praktik yang meragukan.

AppEsteem menemukan bahwa keenam VPN yang terdaftar memasang sertifikat root mereka sendiri. Sertifikat root adalah komponen penting dalam kriptografi dan enkripsi, yang pada dasarnya membuktikan validitas kunci enkripsi. Karena sertifikat root ditandatangani sendiri, yang paling tepercaya dikeluarkan oleh otoritas sertifikat (CA) yang mapan.

Daripada menggunakan sertifikat root dari CA tepercaya, masing-masing dari enam VPN menginstal sertifikat root yang ditandatangani sendiri. Meskipun ini mungkin tidak tampak seperti masalah, ini membuat pengguna VPN tersebut rentan terhadap serangan karena sertifikat root memberi penerbit kemampuan untuk menangkap hampir semua data yang dikirim dan diterima komputer. Risiko itulah mengapa sangat penting untuk memercayai CA secara implisit dan mencoba membatasi jumlah sertifikat root yang diinstal pada perangkat.

Selain implikasi privasi, sertifikat root yang ditandatangani sendiri juga mewakili titik kemungkinan serangan oleh aktor jahat, peretas, dan pemerintah jahat. Daripada menyerang CA profil tinggi, entitas yang bermusuhan hanya perlu berkompromi dengan penyedia VPN dan sertifikat yang ditandatangani sendiri untuk kemudian membahayakan perangkat apa pun dengan sertifikat yang diinstal. Akibatnya, merupakan praktik yang sangat dipertanyakan bagi penyedia VPN untuk menggunakan sertifikat mereka sendiri, bukan sertifikat dari CA tepercaya.

Sayangnya, setidaknya dalam kasus Surfshark, memasang Sertifikat Root Tepercaya bukanlah satu-satunya praktik yang dipertanyakan. Surfshark juga menginstal aplikasi Surfshark TAP Driver Windows, Avira, dan Open VPN, semuanya tanpa meminta izin.

Lebih buruk lagi, Surfshark melanjutkan penginstalan Sertifikat Root Tepercaya bahkan jika pengguna membatalkan proses penginstalan. Aplikasi ini juga menjalankan banyak proses di latar belakang dan gagal menghapus proses tersebut sepenuhnya saat dicopot pemasangannya.

Surfshark menghubungi TechRadar untuk memberi tahu mereka bahwa itu bekerja dengan AppEsteem untuk mengatasi masalah yang diangkat. Perusahaan mempertahankan penggunaan sertifikat root terlepas dari kenyataan bahwa penyedia tingkat atas tidak melakukan ini meskipun dikatakan sedang berupaya untuk menghentikan protokol IKEv2, yang “akan menghilangkan kebutuhan untuk menginstal sertifikat.”

Terlepas dari perubahan yang telah dilakukan Surfshark, pengguna sebaiknya menunggu konfirmasi pihak ketiga bahwa keenam penyedia ini telah membuat perubahan yang diperlukan agar sesuai dengan praktik terbaik industri. Konsumen yang tertarik dengan keamanan VPN terbaik sebaiknya melihat Mullvad atau NordVPN sebagai gantinya.

Sumber : Android Authority

Cacat keamanan kriptografik Java telah ditambal

by

Java versi 15 hingga 18 mengandung cacat dalam validasi tanda tangan ECDSA-nya yang membuatnya sepele bagi penjahat untuk menandatangani file dan data lain secara digital seolah-olah mereka adalah organisasi yang sah.

Oleh karena itu, penjahat dunia maya dapat menyebarkan unduhan berbahaya yang ditandatangani secara kriptografis dan informasi palsu seolah-olah itu nyata, dan aplikasi serta layanan Java yang terpengaruh tidak akan mengetahui perbedaannya.

Cakupan kerusakan yang dapat terjadi sangat luas: komunikasi terenkripsi, token otentikasi, pembaruan kode, dan banyak lagi, yang dibangun di atas kode cacat Oracle dapat ditumbangkan, dan sejauh menyangkut program yang ditulis dengan Java, data terlihat sah dan dapat dipercaya.

Kesalahan itu ditambal bulan ini oleh Oracle di antara lebih dari 500 kerentanan yang ditangani oleh raksasa basis data kuartal ini – jadi, seperti biasa, perbarui lebih awal dan perbarui sesering mungkin.

ECDSA adalah singkatan dari Elliptic Curve Digital Signature Algorithm. Ini menggunakan kriptografi kurva eliptik, yang implementasinya telah mengalami berbagai masalah selama bertahun-tahun.

Meskipun Oracle hanya memberikan kelemahan keamanan terbaru ini (CVE-2022-21449) peringkat keparahan 7,5 dari 10, konsultan keamanan ForgeRock yang mengatakan telah mengetahuinya, dan mengungkapkannya secara pribadi, pada bulan November menilai kerentanan sepuluh.

Yang sangat menarik tentang masalah ini adalah sangat mudah untuk dieksploitasi, dan kesalahan pemrograman yang jelas. Bug tersebut diperkenalkan ketika bagian dari kode verifikasi tanda tangan Java 15 ditulis ulang dari C++ asli ke dalam Java itu sendiri termasuk kode verifikasi ECDSA.

Untuk menyederhanakan apa yang terjadi, tanda tangan ECDSA terdiri dari sepasang angka, disebut sebagai (r, s). Untuk memverifikasi tanda tangan, kode melakukan beberapa matematika yang melibatkan hash (sidik jari, jika Anda mau) dari data, kunci publik dari organisasi atau orang mana pun yang menandatangani data secara digital, r, dan s; satu sisi persamaan menggunakan r, sisi lain r dan s.

Kedua sisi perhitungan ini harus sama agar pemeriksaan tanda tangan lolos. Itu berarti data ditandatangani secara digital oleh kunci pribadi penandatangan, yang menunjukkan bahwa data berasal dari atau disetujui oleh penandatangan. Jika pemeriksaan tanda tangan gagal, itu kemungkinan berarti siapa pun yang menandatangani data bukanlah seperti yang mereka katakan (karena mereka tidak memiliki akses ke rahasia, kunci pribadi yang sesuai dengan kunci publik yang diberikan) dan data tidak boleh tepercaya.

Secara teori, agar tanda tangan valid, (r, s) tidak boleh (0, 0) karena beberapa matematika melibatkan perkalian angka-angka ini dengan nilai lain. Bug muncul karena kode C++ asli memeriksa bahwa r dan s bukan nol, dan tidak akan menerima tanda tangan jika memang demikian. Kode Java baru tidak memeriksa, itu hanya melanjutkan dan dihitung dengan nilai-nilai.

Hasilnya adalah bahwa dalam versi kode yang terpengaruh, siapa pun yang menunjukkan tanda tangan kosong akan diterima. Jalur verifikasi normal masih berfungsi dengan baik, itulah sebabnya hal ini tidak diperhatikan dua tahun lalu. Itu baru saja menerima (0,0), dan berhasil memvalidasinya.

Dan ini adalah di atas kelemahan eksekusi kode jarak jauh gazillon, tanpa otentikasi yang diperlukan untuk mengeksploitasi, di produk Oracle lainnya. ®

Cacat ini telah dijelaskan oleh Neil Madden dari ForgeRock sebagai kerentanan kertas psikis, setelah perangkat plot dari episode Doctor Who 2007. Hering kutu buku Anda yang rendah hati menganggapnya lebih seperti kartu imp dari novel 1987 A A Attanasio In Other Worlds:

Anda akan menerima artefak ketiga dan terakhir, pelat magnet penghubung imp. Kelihatannya identik dengan kartu charge, hanya saja warnanya putih bersih. Masukkan ke dalam sistem komputer bank mana pun dan Anda akan dikreditkan dengan sejumlah besar modal nyata.

Sumber : The Register

Hot Patch Log4Shell AWS Rentan Terhadap Pelarian Kontainer dan Eskalasi Hak Istimewa

by

Setelah Log4Shell, AWS merilis beberapa solusi hot patch yang memantau aplikasi Java yang rentan dan kontainer Java dan menambalnya dengan cepat. Setiap solusi sesuai dengan lingkungan yang berbeda, meliputi server mandiri, kluster Kubernetes, kluster Elastic Container Service (ECS) dan Fargate. Hot patch tidak eksklusif untuk lingkungan AWS dan dapat diinstal ke cloud atau lingkungan lokal apa pun.

Peneliti Unit 42 mengidentifikasi masalah keamanan yang parah dalam solusi patching ini dan bermitra dengan AWS untuk memulihkannya. Setelah menginstal layanan patch ke server atau cluster, setiap kontainer di lingkungan itu dapat memanfaatkannya untuk mengambil alih host yang mendasarinya. Misalnya, jika Anda menginstal hot patch ke kluster Kubernetes, setiap kontainer di kluster Anda sekarang dapat melarikan diri sampai Anda menonaktifkan hot patch-nya atau meningkatkan ke versi tetap. Selain kontainer, proses yang unprivilege juga dapat mengeksploitasi patch untuk meningkatkan hak istimewa dan mendapatkan eksekusi kode root.

Kontainer dapat lolos terlepas mereka menjalankan aplikasi Java atau host menjalankan Bottlerocket, distribusi Linux AWS yang mengeras untuk kontainer. Kontainer yang berjalan dengan nama pengguna atau sebagai pengguna non-root juga terpengaruh. Unit 42 menugaskan CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 dan CVE-2022-0071 untuk melacak kerentanan.

AWS merilis versi tetap untuk setiap solusi patch panas pada 19 April:

  • Versi 1.1-16 dari paket log4j-cve-2021-44228-hotpatch, yang menggabungkan layanan hot patch.
  • Versi 1.1-16 dari kubernetes-log4j-cve-2021-44228-node-agent Daemonset, yang menginstal paket yang diperbarui.
  • Versi 1.02 dari Hotdog, solusi hot patch untuk host Bottlerocket berdasarkan kait Open Container Initiative (OCI).

Unit 42 menyarankan siapa saja yang menginstal salah satu hot patch ini untuk meningkatkan ke versi tetap. Perhatikan bahwa mulai dari 17 Desember 2021, paket JDK (instalasi Java) di Amazon Linux secara otomatis menginstal paket log4j-cve-2021-44228-hotpatch. Atau, pengguna yang yakin aplikasi mereka ditambal terhadap Log4Shell dapat menonaktifkan layanan hot patch mengikuti instruksi di bagian mitigasi di bawah ini.

Prisma Cloud mendeteksi paket patch panas dan akan memperingatkan host yang menjalankan versi rentan.

Selengkapnya: Paloalto Networks

CISA memperingatkan penyerang yang sekarang mengeksploitasi bug Windows Print Spooler

by

Cybersecurity and Infrastructure Security Agency (CISA) telah menambahkan tiga kelemahan keamanan baru ke daftar bug yang dieksploitasi secara aktif, termasuk bug eskalasi hak istimewa lokal di Windows Print Spooler.

Kerentanan tingkat keparahan tinggi ini (dilacak sebagai CVE-2022-22718) berdampak pada semua versi Windows sesuai dengan saran Microsoft dan telah ditambal selama Patch Februari 2022 pada hari Selasa.

Satu-satunya informasi yang dibagikan Microsoft tentang kelemahan keamanan ini adalah bahwa pelaku ancaman dapat mengeksploitasinya secara lokal dalam serangan dengan kompleksitas rendah tanpa interaksi pengguna.

Redmond menambal beberapa bug Windows Print Spooler lainnya dalam 12 bulan terakhir, termasuk kerentanan eksekusi kode jarak jauh PrintNightmare yang kritis.

Setelah detail teknis dan eksploitasi proof-of-concept (POC) untuk PrintNightmare secara tidak sengaja bocor, CISA memperingatkan admin untuk menonaktifkan layanan Windows Print Spooler pada Pengontrol Domain dan sistem yang tidak digunakan untuk mencetak untuk memblokir kemungkinan serangan masuk.

Minggu lalu, CISA menambahkan bug eskalasi hak istimewa lainnya di Driver Sistem File Log Umum Windows ke daftar kelemahan yang dieksploitasi di alam liar, bug yang dilaporkan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA) dan ditambal oleh Microsoft selama Patch Selasa bulan ini. .

Menurut arahan operasional yang mengikat November (BOD 22-01), semua lembaga Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan Tereksploitasi yang Diketahui (KEV).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 10 Mei, untuk menambal kerentanan CVE-2022-22718 yang sekarang aktif dieksploitasi dan memblokir upaya eksploitasi yang sedang berlangsung.

Meskipun arahan ini hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi AS untuk memperbaiki elevasi bug hak istimewa Windows Print Spooler ini untuk menggagalkan upaya untuk meningkatkan hak istimewa pada sistem Windows mereka.

Badan keamanan siber AS menambahkan dua kerentanan keamanan lama ke katalog KEV-nya hari ini, juga disalahgunakan dalam serangan yang sedang berlangsung.

Nama Kerentanan CVE Tanggal Ditambahkan

  • CVE-2022-22718 Microsoft Windows Print Spooler Privilege Eskalasi Kerentanan 2022-04-19
  • CVE-2018-6882 Zimbra Collaboration Suite (ZCS) Skrip Lintas Situs (XSS) 2022-04-19
  • CVE-2019-3568 WhatsApp VOIP Stack Buffer Overflow Kerentanan 2022-04-19

Sejak BOD 22-01 binding directive dikeluarkan, CISA telah menambahkan ratusan bug keamanan ke dalam daftar kerentanan yang dieksploitasi secara aktif, memerintahkan agen federal AS untuk menambalnya sesegera mungkin untuk mencegah pelanggaran.

Sumber : Bleeping Computer

Botnet emotet beralih ke modul 64-bit, meningkatkan aktivitas

by

Malware Emotet mengalami ledakan distribusi dan kemungkinan akan segera beralih ke muatan baru yang saat ini terdeteksi oleh lebih sedikit mesin antivirus.

Peneliti keamanan yang memantau botnet mengamati bahwa email yang membawa muatan berbahaya bulan lalu telah meningkat sepuluh kali lipat.

Emotet adalah trojan modular yang menyebar sendiri yang dapat mempertahankan kegigihan pada host. Ini digunakan untuk mencuri data pengguna, melakukan pengintaian jaringan, bergerak secara lateral, atau menjatuhkan muatan tambahan seperti Cobalt Strike dan ransomware pada khususnya.

Menurut laporan yang dirilis Kaspersky hari ini, aktivitas Emotet mengalami peningkatan tajam dari Februari hingga Maret, dari 3.000 menjadi 30.000 email.

Bahasa yang digunakan dalam pesan ini termasuk Inggris, Prancis, Hongaria, Italia, Norwegia, Polandia, Rusia, Slovenia, Spanyol, dan Cina.

Untuk tema, distributor Emotet dikenal sering mengganti topik untuk memanfaatkan kecepatan minat musiman. Kali ini perayaan Paskah yang mereka manfaatkan.

Check Point juga merilis sebuah laporan, yang menempatkan Emotet sebagai malware nomor satu paling umum dan aktif pada Maret 2022.

Email emotet menggunakan umpan Paskah dalam banyak bahasa
(Check Point)

Kaspersky menyebutkan bahwa kampanye distribusi email Emotet yang sedang berlangsung juga menggunakan trik pembajakan utas diskusi, terlihat dalam kampanye Qbot yang ditautkan ke operator yang sama.

Karena pelaku ancaman memiliki akses ke korespondensi sebelumnya, cukup mudah bagi mereka untuk menunjukkan lampiran sebagai sesuatu yang diharapkan penerima sebagai kelanjutan dari diskusi dengan rekan kerja.

Kelompok peneliti keamanan Cryptolaemus, yang mengawasi aktivitas botnet Emotet, mengatakan bahwa operator malware juga telah beralih ke modul pemuat dan pencuri 64-bit pada Epoch 4, salah satu subkelompok botnet yang berjalan pada infrastruktur terpisah. Sebelumnya, itu mengandalkan kode 32-bit.

#Emotet Update – Sekitar pukul 14:00 UTC hari ini 2022/04/18 – Emotet di Epoch 4 telah beralih menggunakan modul pemuat dan pencuri 64-bit. Sebelumnya semuanya 32-bit kecuali untuk kesalahan loader sesekali. 1/x— Cryptolaemus (@Cryptolaemus1) 19 April 2022
Peralihan tidak terlihat pada Epoch 5 tetapi penundaan diperkirakan terjadi, karena Epoch 4 biasanya berfungsi sebagai test-bed pengembangan untuk operator Emotet, kata peneliti dari Cryptolaemus.

Sumber : Bleeping Computer

Microsoft menonaktifkan SMB1 secara default untuk Windows 11 Home Insiders

by

Microsoft hari ini mengumumkan bahwa protokol berbagi file SMBv1 yang berusia 30 tahun sekarang dinonaktifkan secara default pada sistem Windows yang menjalankan build saluran Windows 11 Home Dev terbaru, edisi terakhir Windows atau Windows Server yang masih datang dengan SMBv1 diaktifkan.

Redmond pertama kali mengumumkan rencana untuk menonaktifkan SMBv1 di sebagian besar versi sistem operasi Windows pada Juni 2017 setelah terlebih dahulu menonaktifkannya untuk build internal Windows 10 Enterprise dan Windows Server 2016.

SMBv1 tidak lagi diinstal di OS Microsoft secara default sejak Windows 10 versi 1709 dan Windows Server versi 1709, dengan versi Windows yang lebih baru menggunakan SMBv3.

SMBv1 dinonaktifkan di Windows 11 Home edition Dev build
“Saya memiliki pengumuman yang cukup besar: kami telah memulai fase terakhir penonaktifan SMB1 di Windows,” kata Ned Pyle, Manajer Program Utama di grup Ketersediaan dan Penyimpanan Tinggi Microsoft Windows Server.

Ini juga akan menjadi perilaku default di rilis utama Windows 11 berikutnya setelah Windows Insiders dapat menguji dan memberikan umpan balik tentang perubahan baru,

Namun, seperti yang dijelaskan lebih lanjut oleh pakar Microsoft, perubahan ini tidak akan memengaruhi perangkat yang menggunakan SMBv1 setelah pemutakhiran di tempat, dengan admin masih diizinkan untuk menginstalnya kembali.

Pyle juga membagikan daftar vendor dan produk yang memerlukan SMBv1 sehingga pengguna dapat menghindarinya dan tidak terhalang untuk beralih ke versi protokol SMB yang lebih baru dan lebih aman.

Mereka yang tertarik untuk menonaktifkan SMBv1 di server mereka dapat memeriksa halaman dukungan Microsoft ini untuk instruksi terperinci.

Microsoft telah merekomendasikan admin untuk menghapus dukungan untuk SMBv1 di jaringan mereka sejak 2016 karena tidak menampilkan peningkatan keamanan tambahan yang ditambahkan ke versi protokol SMB yang lebih baru.

Penyempurnaan ini mencakup pemeriksaan integritas pra-otentikasi untuk mencegah serangan man-in-the-middle (MiTM), enkripsi, pemblokiran otentikasi tamu yang tidak aman, perlindungan terhadap serangan penurunan versi keamanan, dan banyak lagi.

Dua tahun lalu, Tim Microsoft Exchange juga mendesak admin untuk menonaktifkan SMBv1 untuk melindungi server dari serangan malware.

Peringatan ini muncul setelah kebocoran beberapa eksploitasi NSA tahun 2017 yang dirancang untuk mengeksploitasi kelemahan dalam protokol SMBv1 untuk menjalankan perintah pada server yang rentan dengan hak administratif.

Beberapa dari eksploitasi ini, seperti EternalBlue dan EternalRomance, kemudian disebarkan secara liar oleh malware TrickBot, Emotet, WannaCry, Retefe, NotPetya, dan Olympic Destroyer untuk menginfeksi lebih banyak perangkat dan meluncurkan serangan yang merusak atau mencuri kredensial pengguna.

Sumber : Bleeping Computer

Bug driver firmware Lenovo UEFI memengaruhi lebih dari 100 model laptop

by

Lenovo telah menerbitkan nasihat keamanan tentang kerentanan yang berdampak pada Unified Extensible Firmware Interface (UEFI) yang dimuat pada setidaknya 100 model laptopnya.

Total tiga masalah keamanan ditemukan, dua di antaranya memungkinkan penyerang untuk menonaktifkan perlindungan untuk chip memori flash SPI tempat firmware UEFI disimpan dan untuk mematikan fitur UEFI Secure Boot, yang memastikan sistem dimuat hanya saat boot. kode yang dipercaya oleh Original Equipment Manufacturer (OEM).

Eksploitasi yang berhasil dari yang ketiga, yang diidentifikasi sebagai CVE-2021-3970, dapat memungkinkan penyerang lokal untuk mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi.

Ketiga kerentanan ditemukan oleh peneliti ESET dan dilaporkan secara bertanggung jawab kepada Lenovo pada Oktober tahun lalu. Mereka memengaruhi lebih dari 100 model laptop konsumen, termasuk IdeaPad 3, Legion 5 Pro-16ACH6 H, dan Yoga Slim 9-14ITL05, yang kemungkinan berarti jutaan pengguna dengan perangkat yang rentan.

Para peneliti di ESET memperingatkan bahwa dua kerentanan terkait UEFI (CVE-2021-3971 dan CVE-2021-3972) dapat digunakan oleh penyerang untuk “menyebarkan dan berhasil mengeksekusi flash SPI atau implan ESP.”

Kedua masalah keamanan terkait UEFI dalam produk Lenovo dihasilkan dari pengenalan dua driver firmware UEFI ke dalam produksi bernama SecureBackDoor dan SecureBackDoorPeim – yang hanya digunakan selama proses manufaktur. Penasihat keamanan dari Lenovo menjelaskan kerentanan seperti ini:

  • CVE-2021-3971: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur lama pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru disertakan dalam gambar BIOS dapat memungkinkan penyerang dengan hak yang lebih tinggi untuk memodifikasi wilayah perlindungan firmware dengan memodifikasi variabel NVRAM.
  • CVE-2021-3972: Potensi kerentanan oleh driver yang digunakan selama proses manufaktur pada beberapa perangkat Notebook Lenovo konsumen yang secara keliru tidak dinonaktifkan dapat memungkinkan penyerang dengan hak istimewa yang lebih tinggi untuk memodifikasi pengaturan boot aman dengan memodifikasi variabel NVRAM.

ESET telah memberikan analisis teknis terperinci dari tiga kerentanan yang ditemukan dengan mencatat bahwa “ancaman UEFI bisa sangat tersembunyi dan berbahaya” karena mereka mengeksekusi “di awal proses boot, sebelum mentransfer kontrol ke sistem operasi.”

Ini berarti bahwa sebagian besar mitigasi dan solusi keamanan yang aktif di tingkat OS tidak berguna dan eksekusi muatan hampir tidak dapat dihindari dan tidak terdeteksi.

Perusahaan keamanan siber telah menemukan dua implan seperti itu di masa lalu, keduanya digunakan di alam liar oleh pelaku ancaman:

  • Lojax – ditemukan pada tahun 2018 dan digunakan oleh aktor yang didukung negara Rusia dilacak sebagai APT28, Fancy Bear, Sednit, Strontium, dan Sofacy
  • ESPecter – diidentifikasi pada tahun 2021 dan aktif sejak 2012 (sebagai bootkit untuk sistem berbasis BIOS) untuk kegigihan pada Partisi Sistem EFI (ESP)

Ini bukan satu-satunya ancaman UEFI yang ditemukan. Kaspersky menerbitkan laporan tentang MosaicRegressor pada tahun 2020, tentang FinSpy pada tahun 2021, dan MoonBounce pada bulan Januari tahun ini.

Untuk melindungi dari serangan yang berasal dari kerentanan di atas, Lenovo merekomendasikan pengguna perangkat yang terpengaruh untuk memperbarui versi firmware sistem ke versi terbaru yang tersedia.

Ini dapat dilakukan dengan menginstal pembaruan secara manual dari halaman dukungan perangkat atau dengan bantuan utilitas untuk memperbarui driver sistem yang disediakan oleh perusahaan.