MacOS

perbaikan vulnerability ios 16.3.1 macos ventura 13.2.1

February 16, 2023 by Coffee Bean

Pembaruan macOS Ventura 13.2.1, iPadOS 16.3.1, dan iOS 16.3.1 yang dirilis Apple hari ini mencakup perbaikan bug minor dan mengatasi vulnerability keamanan, dan karena salah satu vulnerability diketahui dapat dieksploitasi secara liar, penting untuk memperbarui ke perangkat lunak baru sesegera mungkin.

Menurut catatan keamanan Apple untuk pembaruan, Perangkat lunak memperbaiki masalah WebKit yang dapat memungkinkan konten web yang dibuat dengan jahat menghasilkan eksekusi kode arbitrer. Apple mengatakan bahwa “menyadari laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.”

vulnerability itu adalah masalah kebingungan jenis yang menurut Apple telah diatasi dengan pemeriksaan yang lebih baik.

Meskipun tidak ada perbaikan penting lainnya di ‌macOS Ventura‌ 13.2.1, pembaruan iOS 16.3.1 menambahkan perbaikan Siri Find My, mengatasi masalah dengan pengaturan iCloud, dan memperkenalkan pengoptimalan Deteksi Kecelakaan tambahan untuk model iPhone 14.

sumber : macrumors

Microsoft menemukan botnet Windows/Linux yang digunakan dalam serangan DDoS

December 17, 2022 by Søren

Peneliti Microsoft telah menemukan botnet Windows-Linux hybrid yang menggunakan teknik yang sangat efisien untuk menghentikan server Minecraft dan melakukan serangan denial-of-service terdistribusi pada platform lain.

Dijuluki MCCrash, botnet menginfeksi mesin dan perangkat Windows yang menjalankan berbagai distribusi Linux untuk digunakan dalam serangan DDoS. Di antara perintah yang diterima perangkat lunak botnet adalah yang disebut ATTACK_MCCRASH. Perintah ini mengisi nama pengguna di halaman login server Minecraft dengan ${env:random payload dengan ukuran tertentu:-a}. String menghabiskan sumber daya server dan membuatnya macet.

“Penggunaan variabel env memicu penggunaan pustaka Log4j 2, yang menyebabkan konsumsi sumber daya sistem yang tidak normal (tidak terkait dengan kerentanan Log4Shell), menunjukkan metode DDoS yang spesifik dan sangat efisien,” tulis peneliti Microsoft. “Berbagai versi server Minecraft dapat terpengaruh.”

Saat ini, MCCrash di-hardcode untuk hanya menargetkan perangkat lunak server Minecraft versi 1.12.2. Teknik serangan, bagaimanapun, akan menurunkan server yang menjalankan versi 1.7.2 hingga 1.18.2, yang menjalankan sekitar setengah dari server Minecraft dunia. Jika malware diperbarui untuk menargetkan semua versi yang rentan, jangkauannya bisa lebih luas. Modifikasi di server Minecraft versi 1.19 mencegah serangan bekerja.

“Berbagai server Minecraft yang berisiko menyoroti dampak malware ini jika dikodekan secara khusus untuk memengaruhi versi di atas 1.12.2,” tulis peneliti Microsoft. “Kemampuan unik dari ancaman ini untuk memanfaatkan perangkat IoT yang seringkali tidak dipantau sebagai bagian dari botnet secara substansial meningkatkan dampaknya dan mengurangi peluang untuk terdeteksi.”

Selengkapnya: ars TECHNICA

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

August 22, 2022 by Eevee

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Installer Zoom memungkinkan peneliti meretas ke akses root di macOS

August 15, 2022 by Eevee

Seorang peneliti keamanan telah menemukan cara agar penyerang dapat memanfaatkan Zoom versi macOS untuk mendapatkan akses ke seluruh sistem operasi.

Rincian eksploitasi dirilis dalam presentasi yang diberikan oleh spesialis keamanan Mac Patrick Wardle pada konferensi peretasan Def Con di Las Vegas pada hari Jumat. Beberapa bug yang terlibat telah diperbaiki oleh Zoom, tetapi peneliti juga menyajikan satu kerentanan yang belum ditambal yang masih memengaruhi sistem sekarang.

Eksploitasi bekerja dengan menargetkan penginstal untuk aplikasi Zoom, yang perlu dijalankan dengan izin pengguna khusus untuk menginstal atau menghapus aplikasi Zoom utama dari komputer. Meskipun penginstal mengharuskan pengguna untuk memasukkan kata sandi mereka saat pertama kali menambahkan aplikasi ke sistem, Wardle menemukan bahwa fungsi pembaruan otomatis kemudian terus berjalan di latar belakang dengan hak pengguna super.

Ketika Zoom mengeluarkan pembaruan, fungsi pembaru akan menginstal paket baru setelah memeriksa bahwa itu telah ditandatangani secara kriptografis oleh Zoom. Tetapi bug dalam cara metode pemeriksaan diterapkan berarti bahwa memberikan pembaruan file apa pun dengan nama yang sama dengan sertifikat penandatanganan Zoom akan cukup untuk lulus tes — sehingga penyerang dapat mengganti segala jenis program malware dan menjalankannya oleh pembaru dengan hak istimewa yang lebih tinggi.

Hasilnya adalah serangan eskalasi hak istimewa, yang mengasumsikan penyerang telah mendapatkan akses awal ke sistem target dan kemudian menggunakan eksploitasi untuk mendapatkan tingkat akses yang lebih tinggi. Dalam kasus ini, penyerang memulai dengan akun pengguna yang dibatasi tetapi meningkat menjadi tipe pengguna yang paling kuat — dikenal sebagai “pengguna super” atau “root” — memungkinkan mereka untuk menambah, menghapus, atau memodifikasi file apa pun di mesin.

Wardle adalah pendiri Objective-See Foundation, sebuah organisasi nirlaba yang menciptakan alat keamanan sumber terbuka untuk macOS. Sebelumnya, pada konferensi keamanan siber Black Hat yang diadakan pada minggu yang sama dengan Def Con, Wardle merinci penggunaan algoritme yang tidak sah yang diambil dari perangkat lunak keamanan sumber terbukanya oleh perusahaan nirlaba.

Mengikuti protokol pengungkapan yang bertanggung jawab, Wardle memberi tahu Zoom tentang kerentanan pada bulan Desember tahun lalu. Yang membuatnya frustrasi, dia mengatakan perbaikan awal dari Zoom mengandung bug lain yang berarti kerentanan itu masih dapat dieksploitasi dengan cara yang sedikit lebih tidak langsung, jadi dia mengungkapkan bug kedua ini ke Zoom dan menunggu delapan bulan sebelum menerbitkan penelitian.

Beberapa minggu sebelum acara Def Con, Wardle mengatakan Zoom mengeluarkan tambalan yang memperbaiki bug yang awalnya ia temukan. Tetapi pada analisis lebih dekat, kesalahan kecil lainnya berarti bug itu masih dapat dieksploitasi.

Dalam versi baru penginstal pembaruan, paket yang akan diinstal pertama kali dipindahkan ke direktori yang dimiliki oleh pengguna “root”. Secara umum ini berarti bahwa tidak ada pengguna yang tidak memiliki izin root yang dapat menambah, menghapus, atau memodifikasi file dalam direktori ini.

Tetapi karena kehalusan sistem Unix (di mana macOS adalah salah satunya), ketika file yang ada dipindahkan dari lokasi lain ke direktori root, file tersebut mempertahankan izin baca-tulis yang sama seperti sebelumnya. Jadi, dalam hal ini, masih dapat dimodifikasi oleh pengguna biasa. Dan karena dapat dimodifikasi, pengguna jahat masih dapat menukar isi file tersebut dengan file yang mereka pilih sendiri dan menggunakannya untuk menjadi root.

Sementara bug ini saat ini aktif di Zoom, Wardle mengatakan sangat mudah untuk memperbaikinya dan dia berharap membicarakannya secara terbuka akan “melumasi roda” agar perusahaan menanganinya lebih cepat daripada nanti.

Dalam sebuah pernyataan kepada The Verge, Matt Nagel, pemimpin humas keamanan dan privasi Zoom, mengatakan: “Kami menyadari kerentanan yang baru dilaporkan dalam pembaruan otomatis Zoom untuk macOS dan sedang bekerja keras untuk mengatasinya.”

Sumber: THE VERGE

Spyware CloudMensis Baru yang Menargetkan Pengguna Apple macOS

July 21, 2022 by Eevee

Peneliti keamanan siber telah mengungkap spyware yang sebelumnya tidak terdokumentasi yang menargetkan sistem operasi Apple macOS.

Malware, dengan nama kode CloudMensis oleh perusahaan keamanan siber Slovakia ESET, dikatakan secara eksklusif menggunakan layanan penyimpanan cloud publik seperti pCloud, Yandex Disk, dan Dropbox untuk menerima perintah penyerang dan mengekstrak file.

CloudMensis, yang ditulis dalam Objective-C, pertama kali ditemukan pada April 2022 dan dirancang untuk menyerang arsitektur silikon Intel dan Apple. Vektor infeksi awal untuk serangan dan target masih belum diketahui. Tetapi distribusinya yang sangat terbatas merupakan indikasi bahwa malware digunakan sebagai bagian dari operasi yang sangat bertarget yang ditujukan terhadap entitas yang diminati.

Rantai serangan yang ditemukan oleh ESET menyalahgunakan eksekusi kode dan hak administratif untuk meluncurkan payload tahap pertama yang digunakan untuk mengambil dan mengeksekusi malware tahap kedua yang dihosting di pCloud, yang, pada gilirannya, mengekstrak dokumen, tangkapan layar, dan lampiran email, antara lain .

Pengunduh tahap pertama juga dikenal untuk menghapus jejak pelarian kotak pasir Safari dan eksploitasi eskalasi hak istimewa yang menggunakan empat kelemahan keamanan yang sekarang diselesaikan pada tahun 2017, hal tersebut menunjukkan bahwa CloudMensis mungkin telah terbang di bawah radar selama bertahun-tahun.

Implan juga dilengkapi dengan fitur untuk melewati kerangka kerja keamanan Transparency, Consent, and Control (TCC), yang bertujuan untuk memastikan bahwa semua aplikasi mendapatkan persetujuan pengguna sebelum mengakses file di Dokumen, Unduhan, Desktop, iCloud Drive, dan volume jaringan.

Ini mencapai ini dengan mengeksploitasi kerentanan keamanan lain yang ditambal yang dilacak sebagai CVE-2020-9934 yang terungkap pada tahun 2020. Fungsi lain yang didukung oleh pintu belakang termasuk mendapatkan daftar proses yang berjalan, menangkap tangkapan layar, membuat daftar file dari perangkat penyimpanan yang dapat dilepas, dan menjalankan shell perintah dan muatan arbitrer lainnya.

Selain itu, analisis metadata dari infrastruktur penyimpanan cloud menunjukkan bahwa akun pCloud dibuat pada 19 Januari 2022, dengan kompromi dimulai pada 4 Februari dan memuncak pada Maret.

Sumber: The Hacker News

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

July 15, 2022 by Eevee

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

Lonjakan malware ChromeLoader baru mengancam browser di seluruh dunia

May 26, 2022 by Eevee

Malware ChromeLoader mengalami peningkatan deteksi bulan ini, mengikuti volume yang relatif stabil sejak awal tahun, menyebabkan pembajakan browser menjadi ancaman yang meluas.

ChromeLoader adalah pembajak peramban yang dapat mengubah setelan peramban web korban untuk menampilkan hasil penelusuran yang mempromosikan perangkat lunak yang tidak diinginkan, hadiah dan survei palsu, serta permainan dewasa dan situs kencan.

Ada banyak pembajak semacam ini, tetapi ChromeLoader menonjol karena kegigihan, volume, dan rute infeksinya, yang melibatkan penggunaan PowerShell secara agresif.

Menurut peneliti Red Canary, yang telah mengikuti aktivitas ChromeLoader sejak Februari tahun ini, operator pembajak menggunakan file arsip ISO berbahaya untuk menginfeksi korbannya.

ISO menyamar sebagai executable crack untuk game atau perangkat lunak komersial, sehingga korban kemungkinan mengunduhnya sendiri dari torrent atau situs berbahaya.

Para peneliti juga memperhatikan posting Twitter yang mempromosikan game Android yang retak dan menawarkan kode QR yang mengarah ke situs hosting malware.

Ketika seseorang mengklik dua kali pada file ISO di Windows 10 atau lebih baru, file ISO akan dipasang sebagai drive CD-ROM virtual. File ISO ini berisi executable yang berpura-pura menjadi game crack atau keygen, menggunakan nama seperti “CS_Installer.exe.”

Terakhir, ChromeLoader mengeksekusi dan mendekode perintah PowerShell yang mengambil arsip dari sumber daya jarak jauh dan memuatnya sebagai ekstensi Google Chrome.

Setelah ini selesai, PowerShell akan menghapus tugas terjadwal yang membuat Chrome terinfeksi dengan ekstensi yang disuntikkan secara diam-diam yang membajak browser dan memanipulasi hasil mesin telusur.

PowerShell yang digunakan untuk melawan Chrome di Windows
(Kenari Merah)

Operator ChromeLoader juga menargetkan sistem macOS, yang ingin memanipulasi browser web Chrome dan Safari Apple.

Rantai infeksi pada macOS serupa, tetapi alih-alih ISO, pelaku ancaman menggunakan file DMG (Apple Disk Image), format yang lebih umum pada OS tersebut.

Selain itu, alih-alih penginstal yang dapat dieksekusi, varian macOS menggunakan skrip bash penginstal yang mengunduh dan mendekompresi ekstensi ChromeLoader ke direktori “private/var/tmp”.

Skrip bash digunakan di macOS (Red Canary)

“Untuk mempertahankan kegigihan, variasi macOS ChromeLoader akan menambahkan file preferensi (`plist`) ke direktori `/Library/LaunchAgents`,” jelas laporan Red Canary.

“Ini memastikan bahwa setiap kali pengguna masuk ke sesi grafis, skrip Bash ChromeLoader dapat terus berjalan.”

Untuk petunjuk tentang memeriksa ekstensi apa yang berjalan di browser web Anda dan cara mengelola, membatasi, atau menghapusnya, lihat panduan ini untuk Chrome atau yang ini untuk Safari.

Sumber: Bleeping Computer

Microsoft: Malware Mac ini semakin pintar dan berbahaya

February 5, 2022 by Søren

Microsoft telah merinci evolusi malware Mac yang relatif baru yang disebut UpdateAgent yang mulai mencuri informasi sistem pada akhir 2020 tetapi telah berubah menjadi alat untuk mengirimkan adware dan kemungkinan ancaman lainnya.

Salah satu fitur UpdateAgent terbaru dan paling ampuh adalah kemampuan untuk melewati sistem Gatekeeper bawaan Apple yang dimaksudkan untuk memungkinkan hanya aplikasi yang tepercaya dan ditandatangani untuk berjalan di Mac.

Microsoft menandai malware itu sekarang karena tampaknya sedang dalam pengembangan berkelanjutan. Saat ini, ia memasang ancaman adware “yang persisten luar biasa” yang disebut Adload, tetapi Microsoft memperingatkan bahwa itu dapat digunakan untuk mendistribusikan muatan lain yang lebih berbahaya di masa mendatang. Misalnya, Microsoft menemukan pembuatnya meng-host muatan tambahan di layanan S3 dan CloudFront Amazon Web Services.

Meskipun memang mengharuskan korban untuk menginstal aplikasi yang menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan yang dipromosikan dalam pop-up iklan, kemampuan untuk melewati kontrol Gatekeeper sangat penting. Itu juga dapat menggunakan izin pengguna yang ada untuk menghapus bukti keberadaannya di sistem.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

MacOS

Cookies Settings