Cybersecurity

Microsoft Memperbaiki Masalah Konektivitas Windows DirectAccess

November 16, 2022 by Coffee Bean

Microsoft telah menyelesaikan masalah umum yang menyebabkan masalah konektivitas bagi pelanggan Windows yang menggunakan layanan DirectAccess untuk mengakses organisasi mereka dari jarak jauh tanpa menggunakan jaringan pribadi virtual (VPN).

Skenario yang dapat menyebabkan masalah umum ini termasuk beralih antara titik akses atau jaringan Wi-Fi dan kehilangan konektivitas jaringan untuk sementara.

Masalah ini seharusnya tidak memengaruhi solusi akses jarak jauh lainnya seperti VPN (terkadang disebut Server Akses Jarak Jauh atau RAS) dan VPN Selalu Aktif (AOVPN), metode koneksi jarak jauh yang direkomendasikan untuk Windows 10 atau lebih baru.

Daftar platform yang terpengaruh mencakup rilis Windows klien dan server:

Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
Server: Windows Server 2022; Windows Server 2019

Diperbaiki melalui Rollback Masalah yang Diketahui
Microsoft telah mengatasi masalah ini melalui Known Issue Rollback (KIR), kemampuan Windows yang memungkinkan mengembalikan perbaikan non-keamanan Windows yang bermasalah yang diluncurkan menggunakan Pembaruan Windows

Prosedur yang diperlukan untuk menyebarkan perbaikan KIR melalui Kebijakan Grup mengharuskan membuka Editor Kebijakan Grup dan menavigasi ke Kebijakan Komputer Lokal atau kebijakan Domain pada pengontrol domain Anda untuk memilih versi Windows yang ingin Anda targetkan.

sumber : bleeping computer

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

November 16, 2022 by Coffee Bean

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register

PCspooF: Kerentanan Baru Mempengaruhi Jaringan Pesawat Luar Angkasa dan Pesawat Terbang

November 16, 2022 by Coffee Bean

Sebuah metode serangan baru telah diungkapkan terhadap bagian penting dari teknologi yang disebut time-triggered ethernet (TTE) yang digunakan dalam infrastruktur penting keselamatan, yang berpotensi menyebabkan kegagalan sistem yang menggerakkan pesawat ruang angkasa dan pesawat terbang.

TTE adalah salah satu teknologi jaringan yang merupakan bagian dari apa yang disebut jaringan kekritisan campuran di mana lalu lintas dengan persyaratan waktu dan toleransi kesalahan yang berbeda hidup berdampingan dalam jaringan fisik yang sama. Ini berarti bahwa kedua perangkat kritis, yang memungkinkan kontrol kendaraan, dan perangkat non-kritis, yang digunakan untuk pemantauan dan pengumpulan data, berbagi jaringan yang sama.

Keuntungan yang jelas dari pendekatan ini adalah kenyataan bahwa ada persyaratan bobot dan daya yang lebih rendah serta biaya pengembangan dan waktu yang lebih rendah karena hanya mengandalkan satu teknologi. Tapi ini juga datang dengan kekurangannya sendiri.

“Pendekatan kekritisan campuran ini memberi lebih banyak tekanan pada desain jaringan untuk memberikan isolasi,” Andrew Loveless, penulis utama studi tersebut,

Protokol jaringan dan perangkat keras perlu melakukan pekerjaan ekstra untuk memastikan lalu lintas kritis selalu dijamin berhasil dan tepat waktu.”

Selagi perangkat penting dalam jaringan harus melalui pemeriksaan menyeluruh, perangkat non-kritis bukan hanya perangkat komersial siap pakai (COTS) tetapi juga tidak memiliki proses ketat yang sama, yang mengarah ke kemungkinan jalan untuk kompromi rantai pasokan yang dapat terjadi. dipersenjatai untuk mengaktifkan serangan dengan mengintegrasikan komponen pihak ketiga nakal ke dalam sistem.

“Di PCspooF, kami menemukan cara bagi perangkat non-kritis berbahaya untuk merusak jaminan isolasi ini di jaringan TTE,” Baris Kasikci,

Pada gilirannya, dicapai dengan menggunakan perangkat jahat untuk menyuntikkan interferensi elektromagnetik (EMI) ke sakelar TTE melalui kabel Ethernet,

Sebagai mitigasi, penelitian ini merekomendasikan penggunaan optocoupler atau pelindung gelombang untuk memblokir interferensi elektromagnetik, memeriksa alamat MAC sumber untuk memastikannya asli, menyembunyikan bidang PCF utama, menggunakan protokol autentikasi lapisan tautan seperti IEEE 802.

Temuan menunjukkan bahwa penggunaan perangkat keras umum dalam sistem yang direkayasa untuk memberikan jaminan isolasi yang ketat kadang-kadang dapat mengalahkan perlindungan itu sendiri, kata para peneliti, menambahkan sistem perangkat lunak kritik campuran harus diperiksa dengan cermat dengan cara yang sama untuk memastikan mekanisme isolasi. sangat mudah.

sumber : the hacker news

Peretas Korea Utara Menargetkan Organisasi Eropa Dengan Malware yang Diperbarui

November 16, 2022 by Coffee Bean

Peretas Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi.

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Distribusi yang Lebih Luas
Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack mendistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses “explorer.exe”, berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Atribusi DTrack
Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai ‘Andariel’, yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, ‘Wassonite,’ yang menyerang fasilitas energi nuklir dan minyak dan gas.

sumber : bleeping computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

November 16, 2022 by Eevee

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

November 16, 2022 by Eevee

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

Whoosh Mengonfirmasi Pelanggaran Data Setelah Peretas Menjual 7,2 Juta Catatan Pengguna

November 15, 2022 by Coffee Bean Leave a Comment

Layanan berbagi skuter Rusia Whoosh telah mengonfirmasi pelanggaran data setelah peretas mulai menjual basis data yang berisi rincian 7,2 juta pelanggan di forum peretasan.

Perusahaan mengkonfirmasi serangan siber melalui pernyataan di media Rusia awal bulan ini tetapi mengklaim bahwa para ahli TI telah berhasil menggagalkannya dengan sukses.

Penjualan Hari Ini

Pada hari Jumat, seorang pengguna di forum peretasan ‘Breached’ memposting database yang berisi rincian tentang 7,2 juta pelanggan Whoosh, termasuk alamat email, nomor telepon, dan nama depan.

Penjualan data Woosh di forum Pelanggaran (BleepingComputer)

Penjual juga mengakui bahwa data yang dicuri termasuk 3.000.000 kode promo yang dapat digunakan orang untuk menyewa skuter Whoosh tanpa membayar.

Penjual mengatakan mereka menjual data hanya kepada lima pembeli masing-masing seharga $4.200, atau 0,21490980 bitcoin, dan menurut platform SatoshiDisk yang digunakan untuk transaksi, belum ada yang membeli database.

Kebocoran Database Rusia

Menurut laporan Agustus 2022 dari Roskomnadzor, pengawas internet Rusia, ada 40 pelanggaran data perusahaan Rusia yang dikonfirmasi sejak awal tahun.

Pada September 2022, Group-IB menerbitkan laporan yang mengklaim telah mengamati 140 penjualan database yang dicuri dari perusahaan Rusia musim panas ini saja, dengan jumlah total catatan yang terpapar mencapai 304 juta.

sumber : bleeping computer

Sistem Pembajakan Malware KmsdBot Baru Crypto Mining dan Meluncurkan Serangan DDoS

November 15, 2022 by Eevee

Malware penghindar yang baru ditemukan memanfaatkan protokol kriptografi Secure Shell (SSH) untuk masuk ke sistem yang ditargetkan dengan tujuan menambang cryptocurrency dan melakukan serangan penolakan layanan (DDoS) terdistribusi.

Dijuluki KmsdBot oleh Akamai Security Intelligence Response Team (SIRT), malware berbasis Golang telah ditemukan menargetkan berbagai perusahaan mulai dari game hingga merek mobil mewah hingga perusahaan keamanan.

Malware mendapatkan namanya dari executable bernama “kmsd.exe” yang diunduh dari server jarak jauh setelah kompromi yang berhasil. Ini juga dirancang untuk mendukung banyak arsitektur, seperti Winx86, Arm64, mips64, dan x86_64.

KmsdBot hadir dengan kemampuan untuk melakukan operasi pemindaian dan menyebarkan dirinya sendiri dengan mengunduh daftar kombinasi nama pengguna dan kata sandi. Itu juga dilengkapi untuk mengontrol proses penambangan dan memperbarui malware.

Akamai mengatakan target pertama yang diamati dari malware adalah perusahaan game bernama FiveM, mod multipemain untuk Grand Theft Auto V yang memungkinkan pemain mengakses server permainan peran khusus.

Serangan DDoS yang diamati oleh perusahaan infrastruktur web termasuk serangan Layer 4 dan Layer 7, di mana banjir permintaan TCP, UDP, atau HTTP GET dikirim untuk membanjiri sumber daya server target dan menghambat kemampuannya untuk memproses dan merespons.

Temuan ini muncul karena perangkat lunak yang rentan semakin banyak digunakan untuk menyebarkan penambang cryptocurrency, melonjak dari 12% di Q1 2022 menjadi 17% di Q3, menurut data telemetri dari Kaspersky. Hampir setengah dari sampel perangkat lunak penambangan berbahaya yang dianalisis (48%) secara diam-diam menambang Monero (XMR).

“Menariknya, negara yang paling ditargetkan pada Q3 2022 adalah Ethiopia (2,38%), di mana penggunaan dan penambangan cryptocurrency ilegal,” kata perusahaan keamanan siber Rusia. “Kazakhstan (2,13%) dan Uzbekistan (2,01%) mengikuti di tempat kedua dan ketiga.”

Sumber: The Hackernews

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings