Cybersecurity

Aplikasi Office 365 yang Berbahaya Adalah Orang Dalam Terbaik

May 6, 2021 by Mally

Penipu yang menargetkan pengguna Microsoft Office 365 semakin beralih ke tautan khusus yang mengarahkan pengguna ke halaman masuk email organisasi mereka sendiri. Setelah pengguna masuk, tautan tersebut meminta mereka untuk memasang aplikasi berbahaya yang memberi penyerang akses yang terus-menerus dan bebas kata sandi ke email dan file pengguna mana pun, yang keduanya kemudian dijarah untuk meluncurkan malware dan penipuan phishing melawan orang lain.

Serangan ini dimulai dengan tautan email yang ketika diklik memuat bukan situs phishing tetapi halaman masuk Office 365 pengguna yang sebenarnya – baik itu di microsoft.com atau domain perusahaan mereka. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, karena mereka disetujui oleh pengguna setelah pengguna tersebut telah masuk. Selain itu, aplikasi akan tetap ada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan akan bertahan bahkan setelah akun melakukan reset kata sandi.

Minggu ini, vendor keamanan pesan Proofpoint menerbitkan beberapa data baru saat muncul aplikasi Office 365 yang berbahaya ini, mencatat bahwa persentase tinggi pengguna Office akan jatuh ke skema ini.

Ryan Kalember, wakil presiden eksekutif strategi keamanan siber Proofpoint, mengatakan 55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya.

Selengkapnya: Krebs On Security

Bagaimana Penyerang Menggunakan Akun yang Disusupi untuk Membuat dan Mendistribusikan Aplikasi OAuth Berbahaya

May 6, 2021 by Mally

Open authorization atau aplikasi “OAuth” menambahkan fitur bisnis dan peningkatan antarmuka pengguna ke platform cloud utama seperti Microsoft 365 dan Google Workspace. Sayangnya, mereka juga merupakan vektor ancaman baru karena semakin banyak pelaku kejahatan yang menggunakan aplikasi OAuth 2.0 berbahaya (atau malware cloud) untuk menyedot data dan mengakses informasi sensitif.

Proofpoint telah mengamati banyak bentuk serangan phishing token OAuth dan penyalahgunaan aplikasi OAuth, yang ideal bagi penyerang untuk melakukan pengintaian, meluncurkan serangan antar karyawan, dan mencuri file serta email dari platform cloud.

Serangan aplikasi berbahaya sering kali menargetkan akun wakil presiden, pengelola akun, perwakilan sumber daya manusia, dan kepala bagian keuangan — jenis pengguna yang memiliki akses ke data yang sangat sensitif. Jika berhasil, penyerang mendapatkan akses persisten dan independen ke email (termasuk membaca, menulis, mengirim, dan mengatur aturan kotak surat), file, kontak, catatan, obrolan Microsoft Teams, dan lainnya. Dalam beberapa kasus, mereka mengalihkan pengguna ke situs phishing setelah pengguna menyetujui aplikasi tersebut.

Penyerang pertama-tama akan membuat kode berbahaya mereka dan menyimpannya di server web, yang dapat diakses melalui URL (URL aplikasi berbahaya). Setelah menyusupi akun cloud target, penyerang kemudian membuat aplikasi di bagian “pendaftaran aplikasi” di portal Azure, menandai aplikasi tersebut sebagai “aplikasi multi-tenant” dengan pengaturan “web”, menambahkan URL berbahaya dari kode mereka ke aplikasi. Karena kode berbahaya memerlukan izin akses ke sumber daya, penyerang menambahkan izin yang relevan pada halaman aplikasi, di bawah tab “Izin API”.

Selengkapnya: ProofPoint

Report: Q1 2021 Serangan DDoS dan insiden BGP

May 6, 2021 by Mally

Tahun 2021 dimulai dengan catatan tinggi bagi Qrator Labs: pada 19 Januari, perusahaan mereka merayakan hari jadinya yang ke-10. Tak lama kemudian, pada bulan Februari, jaringan perusahaan memitigasi serangan DDoS 750 Gbps yang cukup mengesankan berdasarkan amplifikasi DNS lama dan terkenal.

Selain itu, ada aliran insiden BGP yang konstan; beberapa menjadi anomali perutean global. Qrator Labs mulai melaporkannya di akun Twitter mereka yang baru dibuat untuk Qrator.Radar.

Namun demikian, dengan berakhirnya kuartal pertama tahun ini, kita dapat melihat lebih dekat statistik serangan DDoS dan insiden BGP untuk Januari – Maret 2021.

Vektor serangan DDoS 3 teratas pada Q1 2021 adalah IP flood, tercatat 35,31% dari semua serangan; UDP flood sebesar 18,25%; dan SYN flood bertanggung jawab atas 13,74% dari serangan Q1.

Vektor-vektor terpisah tersebut sekarang hanya sebagian kecil, dalam hal statistik serangan, dari kombinasi campuran pertama: IP flood + UDP flood, yang pada Q1 menghasilkan 11,37% dan menempati posisi keempat, secara efektif mengalahkan TCP flood dalam statistik mereka.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Qrator Labs

Ini adalah Dunia Teknologi Operasional, dan Penyerang Tinggal di dalamnya

May 6, 2021 by Mally

Pada April 2021, pemerintah AS mengumumkan upaya baru untuk melindungi sistem kontrol industri (ICS) dari serangan siber.

Bagi komunitas keamanan siber, pengumuman tersebut mungkin tidak mengejutkan. Kerentanan dalam infrastruktur kritis seperti ICS dan teknologi operasional (OT) yang menjalankannya telah sering menjadi berita utama.

Dari ancaman sistem air publik hingga penelitian hingga undang-undang yang diusulkan, keamanan ICS tetap menjadi masalah utama di sektor publik dan swasta. Jika OT yang menjalankan sistem infrastruktur kritis dikompromikan, hal itu bisa menimbulkan konsekuensi yang menghancurkan.

Jaringan listrik dan pipa dianggap sebagai sistem OT di dalam lingkungan ICS. Beberapa ahli berpendapat bahwa brankas bank, teknologi penyortiran mesin, ban berjalan dan pemanas otomatis, sistem ventilasi dan pendingin udara juga merupakan OT. Mereka disebut infrastruktur penting karena suatu alasan.

Teknologi operasional adalah tulang punggung dari proses global yang menjalankan kehidupan kita sehari-hari, itulah mengapa memahami ancaman terhadapnya dan kerentanan yang mengeksposnya sangat penting.

Salah satu presentasi unggulan di konferensi virtual IBM Think 2021 pada 11 dan 12 Mei, yang disampaikan oleh Wakil Presiden Keamanan Teknologi Operasi Marty Edwards dan Kepala Teknologi Peretasan X-Force Red Steve Ocepek, akan membahas lanskap ancaman lingkungan OT.

Sebagai pendahulu dari pembicaraan mereka, Security Intelligence mewawancarai Edwards dan Ocepek tentang keamanan OT, berbagai jalur serangan terhadap OT, kerentanan yang memungkinkan penyerang berhasil dan bagaimana organisasi dapat mengurangi risiko kompromi OT.

Simak wawancara tersebut melalui link di bawah ini;
Sumber: Security Intelligence

Bug Cisco memungkinkan pembuatan akun admin dan menjalankan perintah sebagai root

May 6, 2021 by Mally

Cisco telah memperbaiki kelemahan keamanan perangkat lunak SD-WAN vManage dan HyperFlex HX yang kritis yang dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sebagai root atau membuat akun admin jahat.

Perusahaan juga mengeluarkan pembaruan keamanan untuk mengatasi kerentanan dengan tingkat keparahan tinggi dan menengah di beberapa produk perangkat lunak lain yang memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh, meningkatkan hak istimewa, memicu adanya denial of service, dan lainnya di server yang tidak ditambal.

Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan bahwa mereka tidak mengetahui adanya eksploitasi secara aktif dari kerentanan ini di alam liar.

Cisco SD-WAN vManage Kerentanan perangkat lunak yang di-patch hari ini oleh Cisco dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer atau mengakses informasi sensitif.

Mereka juga dapat dieksploitasi secara lokal oleh penyerang lokal yang diautentikasi untuk mendapatkan hak istimewa atau akses tidak sah ke aplikasi yang rentan terhadap serangan.

Bug keamanan Cisco HyperFlex HX Command Injection memungkinkan penyerang jarak jauh tanpa hak istimewa pada server yang ditargetkan untuk melakukan serangan injeksi perintah.

Dalam kedua kasus, menggabungkan kerentanan tidak diperlukan untuk eksploitasi yang berhasil, dan bug tidak bergantung satu sama lain.

Selengkapnya: Bleeping Computer

VMware memperbaiki bug RCE penting di vRealize Business for Cloud

May 6, 2021 by Mally

VMware telah merilis pembaruan keamanan untuk mengatasi kerentanan tingkat keparahan kritis di vRealize Business for Cloud yang memungkinkan penyerang tidak terautentikasi mengeksekusi kode berbahaya dari jarak jauh di server yang rentan.

vRealize Business for Cloud adalah solusi manajemen bisnis cloud otomatis yang dirancang untuk memberi tim TI alat perencanaan, penganggaran, dan analisis biaya cloud.

Kerentanan keamanan dilacak sebagai CVE-2021-21984, dan memengaruhi peralatan virtual yang menjalankan VMware vRealize Business for Cloud sebelum versi 7.6.0.

Masalah ini ditemukan dan dilaporkan ke VMware oleh peneliti keamanan web Positive Technologies Egor Dimitrenko.

Untuk memperbaiki kerentanan pada peralatan virtual yang menjalankan vRealize Business untuk versi Cloud yang rentan, Anda harus mengunduh file ISO Patch Keamanan dari halaman Unduhan VMware terlebih dahulu.

Selanjutnya, Anda harus melalui langkah-langkah berikut untuk menyelesaikan proses peningkatan:

Hubungkan drive CD-ROM vRealize Business for Cloud Server Appliance ke file ISO yang Anda unduh.
Masuk ke portal VAMI dari vRealize Business for Cloud menggunakan kredensial root
Klik pada tab Update di VAMI UI.
Klik pada Settings di bawah tab Update.
Pilih “Use CDROM Updates” di bawah “Update Repository” dan mount path tempat dimana Anda mengunggah file ISO dan Save Settings.
Klik Install Updates di bawah tab Status untuk meningkatkan ke versi ini.

Sumber: Bleeping Computer

Mengapa Anda Harus Melindungi Nomor Ponsel Anda & Bagaimana Melakukannya

May 6, 2021 by Mally

Kita menghabiskan sebagian besar waktu kita di ponsel; tidak peduli kita menunggu, di lift, berjalan, atau di toilet. Ponsel ada bersama kita setiap saat, kapan saja, di mana saja. Tidak hanya itu, kita juga menggunakan ponsel untuk memudahkan hidup kita.

Saat mendaftar ke situs atau layanan, sering kali diperlukan nomor telepon kita untuk verifikasi. Terkadang kita bahkan menggunakannya untuk masuk ke aplikasi dan game secara langsung. Nomor telepon kita juga merupakan pilihan terakhir untuk mengatur ulang akun ketika kita lupa kata sandi. Ini juga merupakan cara untuk membuktikan “sesuatu yang Anda miliki/ketahui” dalam otentikasi multi-faktor.

Dengan nomor telepon Anda, peretas dapat mulai membajak akun Anda dengan membuat pengaturan ulang kata sandi dikirim ke telepon Anda satu per satu. Dengan nomor telepon Anda, mereka dapat menipu sistem otomatis, seperti self-service call desk bank Anda, untuk percaya bahwa mereka adalah Anda ketika Anda menghubungi layanan pelanggan.

Dan bagian terburuknya adalah, mereka dapat menggunakan nomor telepon Anda yang dibajak untuk membobol email kantor dan dokumen sensitif Anda – berpotensi mengekspos perusahaan Anda hingga pencurian data melalui manipulasi psikologis. Itulah mengapa Anda perlu melindungi nomor ponsel Anda.

Yang Dapat Anda Lakukan untuk Melindungi Nomor Ponsel Anda

Aktifkan 2FA untuk SIM Anda (Jika tersedia)
Tinjau Ulang 2FA Berbasis SMS dari Semua Akun
Belajar Dari Kesalahan

Selengkapnya dapat Anda baca pada link berikut:

Sumber: Technology Hits on Medium

Bug 21Nails Exim yang kritis mengekspos jutaan server

May 6, 2021 by Mally

Kerentanan kritis yang baru ditemukan di perangkat lunak agen transfer email (MTA) Exim memungkinkan penyerang jarak jauh yang tidak terautentikasi mengeksekusi kode arbitrer dan mendapatkan hak istimewa root di server email dengan konfigurasi default atau umum.

Cacat keamanan (total 10 dapat dieksploitasi dari jarak jauh dan 11 secara lokal) yang ditemukan dan dilaporkan oleh Tim Riset Qualys secara kolektif dikenal sebagai 21Nails.

Semua versi yang dirilis sebelum Exim 4.94.2 rentan terhadap serangan yang mencoba mengeksploitasi kerentanan 21Nails.

Server MTA seperti Exim adalah sasaran empuk serangan karena, dalam banyak kasus, mereka dapat dijangkau melalui Internet dan menyediakan titik masuk sederhana bagi penyerang ke dalam jaringan target.

“Setelah dieksploitasi, mereka dapat mengubah setelan email sensitif di server email, memungkinkan musuh membuat akun baru di server email target”, jelas Qualys.

Pencarian BinaryEdge menemukan lebih dari 3.564.945 server email Exim menjalankan versi rentan akan adanya serangan melalui Internet. Jika tidak ditambal sesegera mungkin, semua server ini dapat menjadi korban serangan eksekusi perintah jarak jauh yang masuk jika tidak segera ditambal terhadap kerentanan 21Nails.

Oleh karena itu, semua pengguna Exim harus segera meningkatkan ke versi Exim terbaru yang tersedia untuk memblokir serangan masuk yang menargetkan server mereka yang rentan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Yang Dapat Anda Lakukan untuk Melindungi Nomor Ponsel Anda

Cookies Settings