Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / Global

Global

Eksploitasi Microsoft Netlogon terus meningkat

by Leave a Comment

Cisco Talos melacak lonjakan upaya eksploitasi terhadap kerentanan Microsoft CVE-2020-1472, peningkatan bug hak istimewa di Netlogon, yang diuraikan dalam laporan Microsoft Patch Tuesday Agustus. Kerentanan berasal dari cacat dalam skema otentikasi kriptografi yang digunakan oleh Netlogon Remote Protocol yang – antara lain – dapat digunakan untuk memperbarui sandi komputer dengan memalsukan token otentikasi untuk fungsionalitas Netlogon tertentu. Cacat ini memungkinkan penyerang meniru identitas komputer mana pun, termasuk pengontrol domain itu sendiri dan mendapatkan akses ke kredensial admin domain.

Ciri-ciri Netlogon:

    • Klien mengirimkan tantangan klien yang mencakup tantangan delapan byte.
      Server merespons dengan tantangan server termasuk tantangan delapan byte-nya.
      Klien dan server menghitung kunci sesi bersama
      Klien mengenkripsi kunci sesi bersama yang menghasilkan kredensial klien
      Server mengenkripsi kunci sesi bersama yang menghasilkan kredensial server

    • Microsoft saat ini menangani kerentanan ini dalam perilisan dua bagian mitigasi secara bertahap. Microsoft menguraikan rencananya dalam sebuah halaman advisori yang mengatakan, “Untuk pedoman tentang cara mengelola perubahan yang diperlukan untuk kerentanan ini dan informasi lebih lanjut tentang peluncuran bertahap, lihat Bagaimana mengelola perubahan dalam koneksi aman Netlogon yang terkait dengan CVE-2020-1472. Ketika fase kedua pembaruan Windows tersedia pada K1 2021, pelanggan akan diberi tahu melalui revisi kerentanan keamanan ini. Jika Anda ingin diberi tahu ketika pembaruan ini dirilis, kami menyarankan Anda mendaftar ke pengirim pemberitahuan keamanan agar diberi tahu tentang perubahan konten pada dokumen advisori ini. ”

    Source : Cisco Talos

    Korea Utara telah mencoba meretas 11 pejabat Dewan Keamanan PBB

    by

    Sebuah kelompok peretas yang sebelumnya terkait dengan rezim Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat bagian dari Dewan Keamanan Perserikatan Bangsa-Bangsa.

    Serangan tersebut, yang diungkapkan dalam laporan PBB bulan lalu, telah terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

    Serangan tersebut dikaitkan dengan kelompok peretas Korea Utara yang dikenal di komunitas keamanan siber dengan nama sandi Kimsuky.

    Operasi Kimsuky berlangsung sepanjang Maret dan April tahun ini dan terdiri dari serangkaian kampanye spear-phishing yang ditujukan ke akun Gmail pejabat PBB.

    Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

    Namun serangan ini tidak berhenti pada bulan April, seperti yang dinyatakan dalam laporan PBB terbaru tentang Korea Utara, dan kelompok Kimsuky terus menargetkan PBB, sebagai bagian dari upaya yang lebih luas untuk memata-matai pengambilan keputusan PBB sehubungan dengan urusan Korea Utara dan kemungkinan rencana untuk menjatuhkan sanksi baru.

    Analis PwC, yang ahli dalam operasi Kimsuky, mengatakan sebagian besar operasi grup adalah serangan spear-phishing yang bertujuan untuk mendapatkan kredensial korban untuk berbagai akun online. Operasi spear-phishing lainnya juga bertujuan agar para korban terinfeksi malware.

    Baca berita selengkapnya pada tautan di bawah ini;
    Source: ZDNet

    Source Kode Windows 10 Diduga Bocor ke Dunia Maya

    by

    Source Code pada Windows XP SP1 dan versi lainnya diduga telah bocor ke dunia maya pada hari ini.
    Pelaku mengklaim telah menghabiskan dua bulan terakhir untuk mengumpulkan koleksi Source Code Microsoft yang bocor di dunia maya. Koleksi file sebesar 43 GB ini dirilis hari ini secara Torrent melalui forum 4chan.

    Isi “bocoran” Source Code Windows

    Yang termasuk dalam torrent ini diduga source code Windows XP dan Windows Server 2003, juga bermacam-macam versi sistem operasi yang bahkan lebih lama.

    Isi torrent tersebut meliputi:

        MS DOS 3.30
        MS DOS 6.0
        Windows 2000
        Windows CE 3
        Windows CE 4
        Windows CE 5
        Windows Tertanam 7
        CE Tertanam Windows
        Windows NT 3.5
        Windows NT 4

    Torrent tersebut juga menyertakan folder media yang berisi kumpulan video teori konspirasi aneh tentang Bill Gates.
    Selain torrent, file 2,9GB 7zip yang lebih kecil yang hanya berisi kode sumber untuk Windows XP dan Windows Server 2003 juga didistribusikan secara online.

    Pelaku menyatakan bahwa source code Windows XP telah diedarkan secara pribadi di antara para peretas selama bertahun-tahun, tetapi dirilis untuk umum untuk pertama kalinya hari ini.
    BleepingComputer berkata telah melihat sumbernya, tetapi tidak memiliki cara untuk memastikan apakah itu kode sumber sebenarnya untuk Windows XP atau Windows Server 2003.
    Microsoft pun belum mengonfirmasi apakah sumber yang bocor itu valid atau tidak.

    Apakah source code ini mengancam kemanana Windows?

    Walaupun Windows XP sudah dirilis lebih dari 20 tahun yang lalu, jika ada kode yang masih digunakan dalam Windows 10, kebocoran ini berpotensi mengancam keamanan Windows 10.
    Source Code adalah instruksi yang didesain agar mudah dipahami oleh manusia, dengan melihat source code ini seseorang bisa tahu bagaimana seharusnya program berjalan. Source code ini kemudian dicompile menjadi file yang dapat dieksekusi oleh komputer.

    Memang kita bisa mereverse-engineering Windows untuk mencari celah ataupun bug, tetpai dengan adanya source code, menjadi lebih mudah untuk melihat detail sebuah sistem operasi bekerja.

    Source : BleepingComputer

    Security Minggu ini: Active Directory telah berakhir, Authentikasi Dua Factor Tidak Sempurna, dan Politisi sebagai Peretas

    by

    Berita paling besar minggu ini adalah kelemahan besar pada Active Directory Microsoft, CVE-2020-1472 (whitepaper). Netlogon adalah bagian dari skema domain Windows, dan digunakan untuk mengotentikasi pengguna tanpa benar-benar mengirim sandi melalui jaringan. Versi Windows modern menggunakan AES-CFB8 sebagai mesin kriptografi yang mendukung otentikasi Netlogon. Mode khusus AES ini mengambil vektor inisialisasi (IV) bersama dengan kunci dan teks biasa. Kelemahannya di sini adalah bahwa implementasi Microsoft menetapkan IV ke semua nol.

    Proses enkripsi AES dasar memiliki dua input: teks biasa 128 bit (16 byte), dan kunci 128, 192, atau 256 bit. Plaintext dan key yang sama akan menghasilkan output ciphertext yang sama setiap saat. Mengenkripsi lebih dari 128 bit data dengan pendekatan naif ini akan segera mengungkap masalah – Sangat mungkin untuk menemukan pola dalam keluaran. Lebih buruk lagi, pemeriksaan pola yang cerdas dapat membangun buku decoding. Pola 16 byte yang paling sering muncul akan ditebak terlebih dahulu. Ini akan menjadi seperti teka-teki silang raksasa, mencoba mengisi kekosongan.

    Netlogon, di sisi lain, menggunakan mode Cipher FeedBack (CFB8) dari AES. Mode ini membutuhkan 16 byte IV, dan menambahkan nilai itu ke data yang akan dienkripsi. Operasi AES dasar dilakukan pada 16 byte pertama dari pesan ini (hanya IV). Byte pertama dari output adalah XOR dengan byte ke-17 dari string gabungan, dan kemudian jendela 16 byte bergeser satu byte ke kanan. Ketika byte terakhir dari pesan teks biasa telah di-XOR, IV dijatuhkan dan proses selesai. Konstruksi khusus AES-CFB8 berarti IV acak jauh lebih penting untuk enkripsi yang kuat.

    Ingat kelemahannya? Implementasi Microsoft menetapkan nilai IV itu sebagai nol semua. Kunci enkripsi dihasilkan dari kata sandi, tetapi teks biasa yang akan dienkripsi dapat ditentukan oleh penyerang. Cukup mudah untuk memanipulasi situasi sedemikian rupa sehingga seluruh string IV + Plaintext terdiri dari nol. Dalam keadaan ini, 1-dalam-256 kunci akan menghasilkan ciphertext nol. Dengan kata lain, keamanan 128-bit AES dikurangi menjadi 8-bit. Hanya dalam beberapa tebakan, penyerang dapat menggunakan Netlogon untuk mengotentikasi sebagai pengguna mana pun.

    Microsoft telah memperbaiki masalah ini dalam pembaruan keamanan Agustus mereka. Meskipun benar bahwa mengeksploitasi masalah ini membutuhkan pijakan di jaringan, eksploitasinya sederhana dan bukti kode konsep sudah tersedia. Ini jelas merupakan masalah untuk segera dipatch.

    Lihat Artikel lebih lanjut disini

    Ketika 2FA Membuat Anda Kurang Aman

    Beberapa tindakan keamanan bersifat universal seperti “Aktifkan autentikasi dua faktor”. Ada sedikit celah di sana. sebenarnya, 2FA menambahkan permukaan serangan ekstra. Palo Alto menemukan ini dengan cara yang sulit dengan sistem PAN-OS mereka. Dengan 2FA atau captive portal diaktifkan, dimungkinkan untuk mengeksploitasi buffer overflow dan mengeksekusi kode sebagai root. Karena antarmuka yang akan dieksploitasi sering diekspos ke publik, kerentanan ini mendapat skor kritis 9,8.

    Skimmer Kartu Virtual CardBleed

    Magento adalah platform e-niaga yang dimiliki oleh Adobe sejak 2018. Sederhananya, ini adalah sistem keranjang belanja untuk situs web. Dalam beberapa hari terakhir, tampaknya hampir 2.000 instans Magento v1 telah disusupi, dengan skimmer digital dipasang di situs tersebut. Eksploitasi yang cepat akan menunjukkan bahwa seseorang memiliki database situs bertenaga Magento, dan memperoleh eksploitasi zero-day yang dapat diotomatiskan.

    Hacking Politicians for Fun and Profit

    Trio peretas Belanda berhasil membobol akun twitter Donald Trump pada tahun 2016, tepat sebelum pemilihan. Bagaimana? Kisah yang sama yang kita semua kenal: penggunaan ulang kata sandi dan dump database LinkedIn. Fakta mengejutkan, kata sandi favorit Donald Trump adalah “yourefired” (“anda dipecat”).

    Dalam cerita serupa, mantan perdana menteri Australia memposting gambar online yang berisi boarding pass-nya, dan seorang peneliti yang banyak akal berhasil menggunakan informasi itu untuk mendapatkan kembali paspor dan nomor teleponnya. Tahukah Anda bahwa boarding pass dianggap sebagai informasi sensitif? Untuk mengotentikasi dengan maskapai penerbangan, yang diperlukan hanyalah nama belakang dan nomor referensi pemesanan yang cocok. Ini memberi Anda akses ke laman yang sangat tidak menarik, tetapi ketika Anda memiliki akses ke 1337 alat peretas, langit adalah batasnya. Rupanya backend situs web Qantas mengirimkan semua yang ada di database tentang pelanggan tertentu, dan hanya sedikit dari informasi itu yang ditampilkan kepada pengguna. Jauh lebih banyak informasi yang menunggu untuk diendus.

    Tor 0-Day?

    [Dr. Neal Krawetz] menjalankan layanan tersembunyi TOR, dan mendapati dirinya menjadi korban serangan DDoS melalui jaringan TOR. Dia menelepon seorang teman yang melakukan keamanan jaringan secara profesional, dan meminta bantuan. Setelah membaca setengah dari alamat IP publik tempat tinggal server hosting, temannya memberi tahu alamat lainnya. Mari kita pikirkan proses itu. Layanan TOR tersembunyi sedang diserang, seseorang dengan akses ke Network Operations Center (NOC) yang cukup besar dapat mengetahui apa alamat IP Publik dari layanan itu. Ini adalah jeda mendasar dalam tujuan TOR.

    Source : Hackday

    Keamanan IT Menjadi Perhatian Utama Untuk Bisnis di Dekade Berikutnya

    by

    Dalam beberapa bulan terakhir, terjadi dinamika peningkatan jenis infeksi yang terus-menerus muncul dalam berita. Serangan malware, upaya phishing, dan jenis kejahatan dunia maya lainnya mencapai rekor tertinggi pada tahun 2020. Sayangnya, perkembangan terbaru ini hanyalah puncak gunung es, karena ekspansi digitalisasi yang cepat telah meningkatkan paparan terhadap ancaman siber dalam beberapa tahun terakhir

    Akibatnya, lebih dari 70 persen manajer keamanan siber internal berencana untuk meminta peningkatan anggaran yang signifikan selama tahun depan. Oleh karena itu, sudah waktunya untuk melihat kekuatandi balik kebutuhan solusi keamanan TI dalam dekade saat ini.

    Serangan terkait virus corona sedang melonjak

    Meskipun bekerja dari rumah atau WFH membantu membendung penyebaran virus korona, infeksi virus komputer kini meningkat karena peretas dan penjahat dunia maya memanfaatkan situasi untuk mengisi kantong mereka. Akibatnya, jumlah serangan malware dan ransomware melonjak sebesar 25 persen antara Q4 2019 dan Q1 2020. dan anda harus tahu bahwaa covid tidak hanya virus di dunia nyata, namun di dunia siber juga baca .

    Penjahat memasukkan tema virus corona ke dalam serangan mereka, menggunakan umpan tentang informasi vaksin, masker, dan barang-barang persediaan untuk membantu korban.sebagian besar serangan ini adalah penipuan keuangan yang menjanjikan bantuan atau pembayaran pemerintah – tetapi sebenarnya bermaksud menipu korban untuk mendapatkan informasi pribadi dan atau uang mereka.

    Selain itu, aplikasi konferensi video populer Zoom juga mengalami pelanggaran yang mengakibatkan kredensial login dan informasi pribadi dari setengah juta pengguna dicabut dan diiklankan untuk dijual di darkweb

    Pemerintah menindak enkripsi

    Bukan hanya penjahat dunia maya yang menargetkan data orang juga. Dengan tindakan Eliminating Abusive and Pengabaian Teknologi Interaktif (EARN IT) yang sekarang sedang berjalan melalui Kongres, mungkin tidak lama lagi siapa pun yang menggunakan layanan komunikasi berbasis enkripsi dapat disadap oleh pemerintah AS, karena perusahaan akan dipaksa untuk melemahkan enkripsi mereka dan pada dasarnya memberi pemerintah backdoor ke data pengguna.

    Dengan upaya serupa untuk merusak enkripsi yang sekarang sedang berlangsung di beberapa negara, dan aliansi keamanan “Five Eyes” yang sekarang ingin menerapkan backdoor di aplikasi populer, privasi menjadi perhatian yang jauh harus dipertimbangkan daripada sebelumnya.

    Source : Entrepreneur

    Amerika menuntut 5 peretas China, 2 kaki tangannya dengan kampanye serangan siber yang luas

    by

    Jaksa federal pada hari Rabu mengumumkan dakwaan terhadap lima peretas China yang dituduh melanggar lebih dari 100 perusahaan, lembaga kebijakan, universitas, dan lembaga pemerintah di seluruh dunia.

    Departemen Kehakiman menguraikan skema besar-besaran yang mencuri kode sumber dan data bisnis utama lainnya dari perusahaan telekomunikasi dan energi, penyedia medis, perusahaan pengembangan perangkat lunak, organisasi nirlaba, dan perusahaan video game.

    Para peretas menggunakan email spearphishing, memalsukan sertifikat digital, dan mengeksploitasi kerentanan terkenal untuk menembus target mereka. Dalam beberapa kasus, mereka meretas perusahaan yang menyediakan layanan ke perusahaan lain dan menggunakan akses tersebut untuk masuk ke jaringan pelanggan korban mereka.

    Dua terdakwa, Zhang Haoran dan Tan Dailin, diduga mulai meretas perusahaan video game pada November 2014 dan memodifikasi sistem game untuk mengisi akun mereka dengan barang digital.

    Tiga peretas lainnya, Jiang Lizhi, Qian Chuan dan Fu Qiang, diduga melakukan kampanye penyusupan yang lebih luas ke dalam bisnis, universitas, dan kelompok hak asasi manusia melalui perusahaan mereka, Chengdu 404.

    Jiang dan Qiang diduga berpartisipasi dalam aktivitas peretasan yang oleh para peneliti dikaitkan dengan grup bernama APT41 dan “Wicked Panda”.

    Baca berita selengkapnya pada tautan di bawah ini;
    Source: Politico

    Microsoft mengonfirmasi serangan siber China, Iran, dan Rusia terhadap kampanye Biden dan Trump

    by

    Microsoft mengatakan bahwa peretas yang disponsori negara China, Iran, dan Rusia telah mencoba membobol akun email milik orang-orang yang terkait dengan kampanye pemilihan Biden dan Trump.

    “Mayoritas serangan ini” terdeteksi dan diblokir, menurut Tom Burt, Wakil Presiden Perusahaan untuk Keamanan & Kepercayaan Pelanggan di Microsoft.

    Burt mengungkapkan insiden tersebut dalam sebuah posting blog hari ini setelah Reuters melaporkan kemarin beberapa serangan Rusia terhadap kamp Biden.

    Dalam sebuah posting blog, Burt mengungkapkan serangan tambahan dan juga mengkonfirmasi laporan DNI dari Agustus yang mengklaim bahwa peretas China dan Iran juga menargetkan proses pemilihan AS.

    Serangan Rusia

    Menurut Microsoft, serangan yang dilakukan oleh peretas Rusia dikaitkan kembali ke grup yang telah dilacak oleh perusahaan dengan nama Strontium dan industri keamanan siber sebagai APT28 atau Fancy Bear.

    Microsoft mengatakan bahwa meskipun Strontium biasanya melakukan serangan email spear-phishing, dalam beberapa bulan terakhir, grup tersebut telah menggunakan teknik brute-force dan password spraying sebagai metode pelengkap untuk membobol akun.

    Serangan Iran

    Di sisi lain, serangan yang dilakukan oleh peretas Iran berasal dari kelompok yang dilacak sebagai Fosfor (APT35, Charming Kitten, dan Tim Keamanan Ajax).

    Serangan ini merupakan kelanjutan dari kampanye yang dimulai tahun lalu, dan yang dideteksi dan diperingatkan oleh Microsoft pada Oktober 2019.

    Pada saat itu, Microsoft memperingatkan bahwa para peretas menargetkan “kampanye kepresidenan AS tahun 2020,” tetapi tidak menyebutkan yang mana. Melalui beberapa pekerjaan detektif open-source, beberapa anggota komunitas keamanan kemudian mengaitkan serangan tersebut dengan kampanye Trump.

    Pada blog nya, Microsoft mengonfirmasi bahwa serangan itu memang menargetkan kampanye Trump, tetapi juga mengungkapkan aktivitas baru terkait grup tersebut.

    Serangan China

    Serangan juga terdeteksi dari kelompok China. Meskipun saat ini ada puluhan grup peretasan yang diyakini beroperasi di bawah perintah dan perlindungan pemerintah China, Microsoft mengatakan bahwa serangan yang menargetkan kampanye AS berasal dari grup yang dikenal sebagai Zirkonium (APT31), yang merupakan grup yang sama dengan yang dilihat Google. awal tahun ini, pada bulan Juni.

    Microsoft mengatakan mendeteksi ribuan serangan yang diatur oleh grup ini antara Maret 2020 dan September 2020, dengan peretas mendapatkan akses ke hampir 150 akun selama jangka waktu itu.

    Berita selengkapnya:
    Source: ZDNet

    DDoS Aktor jahat menargetkan NZX, Moneygram, Braintree, dan jasa keuangan lainnya

    by

    Selama beberapa minggu terakhir, geng kriminal telah meluncurkan serangan DDoS terhadap beberapa penyedia layanan keuangan terbesar di dunia itu menuntut pembayaran Bitcoin sebagai biaya menghentikan serangan mereka.

    Grup tersebut menyerang layanan pengiriman uang MoneyGram, YesBank India, Worldpay, PayPal, Braintree, dan Venmo. Bursa Selandia Baru (NZX) yang diserang selama tiga hari berturut-turut ini juga menjadi salah satu korban grup.

    Para penyerang telah diidentifikasi sebagai kelompok yang sama dalam laporan Akamai yang diterbitkan 17 Agustus lalu.

    Grup tersebut menggunakan nama lain seperti Armada Collective dan Fancy Bear. keduanya dipinjam dari grup peretas yang lebih terkenal untuk mengirim email ke perusahaan dan mengancam serangan DDoS yang dapat melumpuhkan operasi dan meminta para korban membayar permintaan tebusan yang sangat besar dalam Bitcoin .

    Jenis serangan semacam itu disebut “pemerasan DDoS” atau “DDoS-for-Bitcoin” dan pertama kali terlihat pada musim panas 2016.

    Selama beberapa tahun terakhir, kelompok pemeras DDoS menyampaikan ancaman mereka dan menyerang korban, tetapi sebagian besar dari upaya pemerasan ini hanya memberikan ancaman palsu.

    Namun, grup yang aktif bulan ini adalah salah satu yang paling berbahaya yang terlihat sejak awal tren ini di tahun 2016.