Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft Oktober 2021 Patch Tuesday Memperbaiki 4 Zero-Days

by

Hari ini adalah Patch Tuesday Oktober 2021 Microsoft, dan dengan itu datang perbaikan untuk empat kerentanan zero-day dan total 74 kerentanan keamanan.

Microsoft telah memperbaiki 74 kerentanan (81 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, 70 sebagai Penting, dan satu sebagai Rendah.

81 kerentanan ini (termasuk Microsoft Edge) diklasifikasikan sebagai:

  • 21 Kerentanan Peningkatan Hak Istimewa
  • 6 Kerentanan Bypass Fitur Keamanan
  • 20 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 5 Kerentanan Denial of Service
  • 9 Kerentanan Spoofing

Patch Tuesday Oktober mencakup perbaikan untuk empat kerentanan zero-day, dengan kerentanan Win32k Elevation of Privilege Vulnerability yang diketahui telah dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan yang dieksploitasi secara aktif ditemukan oleh Boris Larin (oct0xor) Kaspersky dan memungkinkan malware atau aktor ancaman untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat Windows.

Kaspersky mengungkapkan bahwa kerentanan itu digunakan oleh aktor ancaman dalam “kampanye spionase luas terhadap perusahaan IT, kontraktor militer/pertahanan, dan entitas diplomatik.”

Sebagai bagian dari serangan, pelaku ancaman memasang trojan akses jarak jauh (RAT) yang ditingkatkan dengan izin yang lebih tinggi menggunakan kerentanan Windows zero-day.

Kaspersky menyebut kelompok aktivitas berbahaya ini sebagai MysterSnail dan dikaitkan dengan aktivitas IronHusky dan APT berbahasa Mandarin.

Microsoft juga memperbaiki tiga kerentanan lain yang diungkapkan kepada publik yang tidak diketahui apakah sedang dieksploitasi dalam serangan.

  • CVE-2021-40469 – Windows DNS Server Remote Code Execution Vulnerability
  • CVE-2021-41335 – Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2021-41338 – Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

Selengkapnya: Bleeping Computer

Bug LibreOffice, OpenOffice Memungkinkan Peretas Untuk Memalsukan Dokumen Yang Ditandatangani

by

LibreOffice dan OpenOffice telah mendorong pembaruan untuk mengatasi kerentanan yang memungkinkan penyerang memanipulasi dokumen agar tampak ditandatangani oleh sumber tepercaya.

Meskipun tingkat keparahan bug diklasifikasikan sebagai sedang, implikasinya bisa mengerikan. Tanda tangan digital yang digunakan dalam makro dokumen dimaksudkan untuk membantu pengguna memverifikasi bahwa dokumen tersebut belum diubah dan dapat dipercaya.

Penemuan bug, yang dilacak sebagai CVE-2021-41832 untuk OpenOffice, adalah karya empat peneliti di Ruhr University Bochum.

Bug yang sama berdampak pada LibreOffice, yang merupakan cabang dari OpenOffice yang muncul dari proyek utama lebih dari satu dekade lalu, dan untuk proyek mereka dilacak sebagai CVE-2021-25635.

Jika Anda menggunakan salah satu suite kantor sumber terbuka di atas, Anda disarankan untuk segera mememperbarui ke versi terbaru yang tersedia. Untuk OpenOffice, itu akan menjadi 4.1.10 dan yang lebih baru, dan untuk LibreOffice, 7.0.5 atau 7.1.1 dan yang lebih baru.

Karena tidak satu pun dari kedua aplikasi ini yang menawarkan pembaruan otomatis, Anda harus melakukannya secara manual dengan mengunduh versi terbaru dari masing-masing pusat unduhan – LibreOffice, OpenOffice.

Jika Anda menggunakan Linux dan versi yang disebutkan di atas belum tersedia di packet manager distribusi Anda, Anda disarankan untuk mengunduh paket “deb”, atau “rpm” dari pusat Unduhan atau buat LibreOffice dari sumber.

Selengkapnya: Bleeping Computer

Pembaruan Darurat Apple iOS 15.0.2 Memperbaiki Zero-Day

by

Apple telah merilis iOS 15.0.2 dan iPadOS 15.0.2 untuk memperbaiki kerentanan zero-day yang secara aktif dieksploitasi dalam serangan yang menargetkan Ponsel dan iPad.

Kerentanan ini, dilacak sebagai CVE-2021-30883, adalah bug korupsi memori kritis di IOMobileFrameBuffer yang memungkinkan aplikasi untuk menjalankan perintah pada perangkat yang rentan dengan hak istimewa kernel.

Karena hak istimewa kernel memungkinkan aplikasi untuk menjalankan perintah apa pun di perangkat, pelaku ancaman berpotensi menggunakannya untuk mencuri data atau menginstal malware lebih lanjut.

Sementara Apple belum memberikan perincian tentang bagaimana kerentanan ini digunakan dalam serangan, mereka menyatakan bahwa ada laporan bahwa itu digunakan secara aktif dalam serangan.

Namun, segera setelah kerentanan dirilis, peneliti keamanan Saar Amar menerbitkan penulisan teknis dan eksploitasi bukti konsep yang berasal dari rekayasa balik patch.

Daftar perangkat yang terpengaruh cukup luas, memengaruhi model lama dan baru, termasuk iPhone 6s dan lebih baru, iPad Pro (semua model), iPad Air 2 dan lebih baru, iPad generasi ke-5 dan lebih baru, iPad mini 4 dan lebih baru, dan iPod touch (generasi ke-7).

Meskipun ada kemungkinan bahwa kerentanan digunakan dalam serangan yang ditargetkan dan tidak digunakan secara luas, sangat disarankan untuk menginstal pembaruan sesegera mungkin mengingat tingkat keparahannya yang tinggi.

Selengkapnya: Bleeping Computer

Malware FontOnLake menginfeksi sistem Linux melalui utilitas trojan

by

Keluarga malware yang baru saja ditemukan telah menginfeksi sistem Linux yang bersembunyi di dalam binari yang sah. Dijuluki FontOnLake, malware ini memberikan komponen backdoor dan rootkit.

Malware ini memiliki prevalensi rendah di alam liar dan mendapat manfaat dari desain canggih yang memungkinkannya mempertahankan persistensi yang diperpanjang pada sistem yang terinfeksi.

FontOnLake memiliki beberapa modul yang berinteraksi satu sama lain dan memungkinkan komunikasi dengan operator malware, mencuri data sensitif, dan tetap tersembunyi di sistem.

Para peneliti di ESET menemukan beberapa sampel malware yang diunggah ke layanan pemindaian VirusTotal sepanjang tahun lalu, yang pertama muncul pada Mei 2020.

Ditandai dengan desain tersembunyi dan canggih, FontOnLake kemungkinan digunakan dalam serangan yang ditargetkan oleh operator yang cukup berhati-hati untuk menggunakan server perintah dan kontrol (C2) yang unik untuk “hampir semua sampel” dan berbagai port non-standar.

Di antara utilitas Linux yang diubah oleh aktor ancaman untuk mengirimkan FontOnLake adalah:

  • cat – digunakan untuk mencetak konten file
  • kill – daftar semua proses yang berjalan
  • sftp – secure FTP utility
  • sshd – the OpenSSH server process

Menurut para peneliti, utilitas trojan kemungkinan dimodifikasi pada tingkat kode sumber, menunjukkan bahwa aktor ancaman mengkompilasinya dan menggantikan yang asli.

Selain membawa malware, peran binari yang dimodifikasi ini adalah memuat muatan tambahan, mengumpulkan informasi, atau melakukan tindakan jahat lainnya.

Para peneliti menemukan tiga pintu belakang khusus yang ditulis dalam C++ yang terkait dengan keluarga malware FontOnLake, yang memberikan akses jarak jauh kepada operator ke sistem yang terinfeksi.

ESET mengatakan bahwa FontOnLake mungkin merupakan malware yang sama yang sebelumnya dianalisis oleh para peneliti di Tencent Security Response Center, yang mengaitkannya dengan insiden ancaman persisten tingkat lanjut.

Selengkapnya: Bleeping Computer

Amnesty International menghubungkan perusahaan keamanan siber dengan operasi spyware

by

Sebuah laporan oleh Amnesty International menghubungkan perusahaan keamanan siber India dengan program spyware Android yang digunakan untuk menargetkan aktivis terkemuka.

Penyelidikan berasal dari tim Amnesty International, yang mengkonfirmasi kasus spionase terhadap seorang aktivis Togo dan juga mengamati tanda-tanda penyebaran spyware di beberapa wilayah utama Asia.

Menurut Amnesty International, spyware Android telah dikaitkan dengan perusahaan keamanan siber India Innefu Labs setelah alamat IP milik perusahaan itu berulang kali digunakan untuk distribusi muatan spyware.

Namun, deployment yang sebenarnya bisa menjadi pekerjaan ‘Tim Donot’ (APT-C-35), sekelompok peretas India yang telah menargetkan pemerintah di Asia Tenggara setidaknya sejak 2018.

Amnesty mencatat bahwa mungkin saja Innefu tidak mengetahui bagaimana pelanggannya atau pihak ketiga lainnya menggunakan alatnya. Namun, audit eksternal dapat mengungkapkan semuanya setelah detail teknis lengkap terungkap.

Serangan terhadap para aktivis dimulai dengan pesan yang tidak diminta melalui WhatsApp, menyarankan instalasi aplikasi obrolan yang seharusnya aman bernama ‘ChatLite’.

Dalam kasus ChatLite, ini adalah spyware aplikasi Android yang dikembangkan khusus yang memungkinkan penyerang mengumpulkan data sensitif dari perangkat dan mengunduh alat malware tambahan.

Untuk spyware yang didistribusikan melalui dokumen Word berbahaya, ia memiliki kemampuan berikut:

  • Merekam penekanan tombol
  • Mengambil tangkapan layar secara teratur
  • Mencuri file dari penyimpanan lokal dan yang dapat dilepas
  • Mengunduh modul spyware tambahan

Dengan menganalisis sampel spyware Android, penyelidik Amnesty menemukan beberapa kesamaan dengan “Kashmir_Voice_v4.8.apk” dan “SafeShareV67.apk”, dua alat malware yang terkait dengan operasi Tim Donot sebelumnya.

Kesalahan opsec aktor ancaman memungkinkan penyelidik untuk menemukan server “pengujian” di AS tempat aktor ancaman menyimpan tangkapan layar dan data keylogging dari ponsel Android yang disusupi.

Di sinilah Amnesty pertama kali melihat alamat IP Innefu Labs, karena jika tidak, sumber sebenarnya bersembunyi di balik VPN.

Selengkapnya: Bleeping Computer

Malware Bootkit “ESPecter” Menghantui Korban dengan Spionase Persisten

by

Bootkit berbahaya baru, yang oleh para peneliti di ESET dinamai ESPecter, ditempatkan di bagian EFI System Partition (ESP) dari teknologi yang disematkan. ESP berisi boot loader atau image kernel yang digunakan UEFI untuk memulai OS yang diinstal dan berbagai utilitas pada saat proses boot.

“Penyerang [dengan demikian] mencapai eksekusi pada tahap awal proses boot sistem, sebelum sistem operasi dimuat penuh,” menurut analisis ESPecter ESET, yang dikeluarkan Selasa (5/10/2021). “Ini memungkinkan ESPecter untuk mem-bypass Windows Driver Signature Enforcement (DSE) untuk menjalankan drivernya sendiri yang tidak ditandatangani saat startup sistem.”

Driver tersebut kemudian menyuntikkan komponen user-mode lainnya ke dalam proses sistem tertentu, catat para peneliti; dan yang pada gilirannya digunakan untuk terhubung dengan server command-and-control (C2). Setelah koneksi dibuat, penyerang dapat mulai mengunduh dan menjalankan malware tambahan atau menjalankan berbagai perintah untuk mengambil kendali penuh atas mesin.

Menurut ESET, tujuan utama driver adalah memuat dua user-mode payload yang berbeda (WinSys.dll dan Client.dll) dan untuk mengatur keylogger yang merekam semua aktivitas keyboard. Setelah itu, itu menghapus dirinya sendiri.

Payload WinSys.dll secara berkala melakukan ping ke server C2 (menemukan alamatnya di file konfigurasi malware) untuk mengunduh malware tambahan atau menjalankan perintah sederhana. C2 dapat memintanya untuk mengunggah informasi sistem (nama CPU, versi OS, ukuran memori, alamat MAC ethernet, daftar perangkat lunak yang diinstal, dan sebagainya), mengambil dan menjalankan file baru, memulai ulang PC, atau mengunduh konfigurasi baru.

Selengkapnya: Threat Post

Pembaruan darurat Apache memperbaiki tambalan yang tidak lengkap untuk bug yang dieksploitasi

by

Apache Software Foundation telah merilis HTTP Web Server 2.4.51 setelah peneliti menemukan bahwa pembaruan keamanan sebelumnya tidak memperbaiki kerentanan yang dieksploitasi secara aktif dengan benar.

Apache HTTP Server adalah open-source, server web lintas platform yang mendukung sekitar 25% situs web di seluruh dunia.

Pada hari Selasa (5/10/2021), Apache merilis Apache HTTP 2.4.50 untuk memperbaiki kerentanan traversal jalur yang dieksploitasi secara aktif di versi 2.4.49 (dilacak sebagai CVE-2021-41773). Kerentanan ini memungkinkan pelaku ancaman untuk melihat konten file yang disimpan di server yang rentan.

Sesaat setelah pembaruan dirilis, peneliti keamanan menganalisis dan mengungkapkan eksploitasi yang berfungsi untuk kerentanan. Lebih buruk lagi, para peneliti juga menemukan bahwa kerentanan dapat digunakan untuk eksekusi kode jarak jauh jika modul mod_cgi dimuat dan opsi default “require all denied” tidak ada.

Kemudian pada Kamis (7/10/2021), Apache merilis versi 2.4.51 setelah menemukan bahwa perbaikan sebelumnya untuk kerentanan CVE-2021-41773 yang dieksploitasi secara aktif tidak lengkap.

“Ditemukan bahwa perbaikan untuk CVE-2021-41773 di Apache HTTP Server 2.4.50 tidak mencukupi. Penyerang dapat menggunakan serangan traversal jalur untuk memetakan URL ke file di luar direktori yang dikonfigurasi oleh arahan mirip Alias,” ungkap Apache dalam nasihat pembaharuan.

“Jika file di luar direktori ini tidak dilindungi oleh konfigurasi default biasa “memerlukan semua ditolak”, permintaan ini dapat berhasil. Jika skrip CGI juga diaktifkan untuk jalur alias ini, ini dapat memungkinkan eksekusi kode jarak jauh.”

Oleh karena itu, sangat disarankan agar admin segera mengupgrade server mereka ke Apache HTTP 2.4.51 untuk menghapus vektor serangan yang tersisa setelah patch sebelumnya.

Selengkapnya: Bleeping Computer

Keamanan Teknologi Informasi dan Kemanan Siber: Apa Perbedaannya?

by

Teknologi informasi dan keamanan siber memiliki tujuan yang sama untuk melindungi orang, perangkat, dan data — tetapi fokus pada masalah yang berbeda dan mengambil pendekatan yang sangat berbeda.

Teknologi informasi berfokus pada sistem yang menyimpan dan mengirimkan informasi digital. Keamanan siber, sebaliknya, berfokus pada perlindungan informasi elektronik yang disimpan dalam sistem tersebut.

Salah satu bagian dari TI, keamanan TI, berfokus pada perlindungan akses ke komputer, jaringan, dan informasi. Profesional keamanan TI dapat membuat rencana untuk melindungi aset digital dan memantau sistem dan jaringan komputer dari ancaman. Mereka juga dapat bekerja untuk melindungi peralatan fisik yang menyimpan data, bersama dengan data itu sendiri.

Keamanan siber biasanya berfokus pada informasi dan infrastruktur digital. Infrastruktur dapat mencakup koneksi internet dan jaringan area lokal yang menyimpan dan berbagi informasi. Singkatnya, keamanan siber berfokus pada pencegahan peretas mendapatkan akses digital ke data penting di jaringan, di komputer, atau di dalam program.

Bergantung pada ukuran dan sumber daya organisasi, staf TI dan keamanan siber dapat terlibat dalam pengujian keamanan. Mereka juga dapat memberi saran kepada manajer atau eksekutif tentang informasi atau masalah keamanan jaringan yang mempengaruhi seluruh organisasi.

Di organisasi yang lebih kecil, spesialis keamanan siber mungkin lebih fokus pada pertahanan sistem digital melalui tindakan proaktif dan defensif.

Selengkapnya: ZDNet