Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / MacOS

MacOS

Microsoft menemukan kerentanan macOS baru “Shrootless” yang dapat melewati System Integrity Protection

by

Microsoft telah menemukan kerentanan yang memungkinkan penyerang melewati System Integrity Protection (SIP) di macOS dan melakukan operasi sewenang-wenang pada perangkat.

Peneliti juga menemukan teknik serupa yang memungkinkan penyerang meningkatkan hak istimewa mereka untuk melakukan root pada perangkat yang terpengaruh. Peneliti membagikan temuan ini kepada Apple melalui Coordinated Vulnerability Disclosure (CVD) melalui Microsoft Security Vulnerability Research (MSVR).

Perbaikan untuk kerentanan ini, yang sekarang diidentifikasi sebagai CVE-2021-30892, disertakan dalam pembaruan keamanan yang dirilis oleh Apple pada 26 Oktober 2021.

SIP adalah teknologi keamanan di macOS yang membatasi pengguna root untuk melakukan operasi yang dapat membahayakan integritas sistem.

Peneliti menemukan kerentanan saat menilai proses yang berhak melewati perlindungan SIP. Peneliti menemukan bahwa kerentanannya terletak pada bagaimana paket yang ditandatangani Apple dengan skrip pasca-instal diinstal.

Aktor jahat dapat membuat file yang dibuat khusus yang akan membajak proses instalasi. Setelah melewati batasan SIP, penyerang kemudian dapat menginstal driver kernel berbahaya (rootkit), menimpa file sistem, atau menginstal malware yang persisten dan tidak terdeteksi, dan lain sebagainya.

Selengkapnya: Microsoft

Bug zero-day macOS baru memungkinkan penyerang menjalankan perintah dari jarak jauh

by

Peneliti keamanan mengungkapkan kerentanan baru di MacOS Finder Apple, yang memungkinkan penyerang menjalankan perintah di Mac yang menjalankan versi macOS apa pun hingga rilis terbaru, Big Sur.

Bug, yang ditemukan oleh peneliti keamanan independen Park Minchan, disebabkan oleh cara macOS memproses file inetloc, yang secara tidak sengaja menyebabkannya menjalankan perintah apa pun yang disematkan oleh penyerang tanpa peringatan apa pun.

Di macOS, file lokasi Internet dengan ekstensi .inetloc adalah penanda seluruh sistem yang dapat digunakan untuk membuka sumber daya online (news://, ftp://, afp://) atau file lokal (file://).

“Kerentanan di macOS Finder memungkinkan file yang ekstensinya inetloc untuk menjalankan perintah arbitrer,” advisory SSD Secure Disclosure mengungkapkan.

“File-file ini dapat disematkan di dalam email yang jika pengguna mengkliknya akan menjalankan perintah yang tertanam di dalamnya tanpa memberikan prompt atau peringatan kepada pengguna.”

Sementara Apple diam-diam memperbaiki masalah tanpa menetapkan nomor identifikasi CVE, seperti yang ditemukan kemudian oleh Minchan, patch Apple hanya mengatasi sebagian kekurangannya karena masih dapat dieksploitasi dengan mengubah protokol yang digunakan untuk menjalankan perintah yang disematkan dari file:// ke File://.

Meskipun peneliti tidak memberikan informasi apa pun tentang bagaimana penyerang dapat menyalahgunakan bug ini, bug ini berpotensi digunakan oleh pelaku ancaman untuk membuat lampiran email berbahaya yang dapat meluncurkan paket atau muatan jarak jauh saat dibuka oleh target.

Seumber: Bleeping Computer

Apple merilis macOS 11.5 dengan perbaikan keamanan, peningkatan aplikasi Podcast, dan lainnya

by

Apple telah resmi merilis macOS 11.5 ke publik. Rilis ini datang setelah iOS 14.7 diluncurkan awal pekan ini. macOS 11.5 hadir dengan serangkaian perbaikan keamanan dan bug serta perbaikan untuk aplikasi Musik dan pembaruan untuk aplikasi Podcast.

macOS 11.5 akan segera muncul di Mac Anda. Jika belum, Buka System Preferences > Software Update untuk melihat apakah tersedia.

Daftar panjang peningkatan keamanan hadir dengan macOS 11.5 termasuk tambalan untuk kelemahan yang memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak istimewa kernel.

selengkapnya : 9to5mac.com

Malware XLoader mencuri login dari sistem macOS dan Windows

by

Malware yang sangat populer untuk mencuri informasi dari sistem Windows telah dimodifikasi menjadi jenis baru yang disebut XLoader, yang juga dapat menargetkan sistem macOS.

XLoader saat ini ditawarkan di forum bawah tanah sebagai layanan pemuat botnet yang dapat “memulihkan” kata sandi dari web browser dan beberapa klien email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Berasal dari pencuri info Formbook untuk Windows, XLoader muncul Februari lalu dan semakin populer, diiklankan sebagai botnet lintas platform (Windows dan macOS) tanpa dependency.

Hubungan antara dua bagian malware dikonfirmasi setelah anggota komunitas XLoader merekayasa balik dan menemukan bahwa itu memiliki executable yang sama dengan Formbook.

Pengiklan menjelaskan bahwa pengembang Formbook berkontribusi banyak dalam pembuatan XLoader, dan kedua malware tersebut memiliki fungsi yang serupa (mencuri kredensial login, menangkap tangkapan layar, mencatat penekanan tombol, dan mengeksekusi file berbahaya).

Pelanggan dapat menyewa versi malware macOS seharga $49 (satu bulan) dan mendapatkan akses ke server yang disediakan penjual. Dengan menjaga infrastruktur komando dan kontrol terpusat, penulis dapat mengontrol bagaimana klien menggunakan malware.

Versi Windows lebih mahal karena penjual meminta $59 untuk lisensi satu bulan dan $129 untuk tiga bulan.

Peneliti Check Point mengatakan bahwa XLoader cukup tersembunyi sehingga sulit bagi pengguna non-teknis biasa untuk menemukannya.

Mereka merekomendasikan penggunaan Autorun macOS untuk memeriksa nama pengguna di OS dan untuk melihat ke folder LaunchAgents [/Users/[username]/Library/LaunchAgents] dan menghapus entri dengan nama file yang mencurigakan (nama yang tampak acak).

Selengkapnya: Bleeping Computer

Inilah Mengapa pemilik iPhone harus mematikan AirDrop. Sekarang.

by

Peneliti keamanan menjelajahi AirDrop, fitur iOS dan macOS yang memungkinkan pengguna berbagi file secara nirkabel melalui WiFi dan Bluetooth. pada cacat yang mereka katakan mengekspos email dan nomor telepon pengguna. Kecuali jika Anda ingin setiap penjahat di jalan dapat secara diam-diam mengambil info kontak Anda, ini sedikit mimpi buruk.

Para peneliti, tim yang terdiri dari Secure Mobile Networking Lab dan Cryptography and Privacy Engineering Group (ENCRYPTO), mengklaim bahwa mereka memberi tahu Apple tentang kekurangan tersebut pada Mei 2019. Namun, menurut mereka, perusahaan tidak pernah menanggapi.

Kami menghubungi Apple untuk mengonfirmasi temuan tersebut dan untuk menanyakan apakah memang telah diperingatkan tentang kerentanan pada tahun 2019. Kami tidak menerima tanggapan segera.

“Sebagai penyerang, adalah mungkin untuk mempelajari nomor telepon dan alamat email pengguna AirDrop – bahkan sebagai orang asing,” bunyi siaran pers hari Selasa. “Yang mereka butuhkan hanyalah perangkat berkemampuan Wi-Fi dan kedekatan fisik dengan target yang memulai proses penemuan dengan membuka panel berbagi di perangkat iOS atau macOS.”

selengkapnya : geeks.lk

Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam

by

Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi.

Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua zero day – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa mereka memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.

Selengkapnya: Tech Crunch

Bug perangkat lunak memungkinkan malware melewati pertahanan keamanan macOS

by

Selama bertahun-tahun, macOS menandai aplikasi yang berpotensi berbahaya yang menyamar sebagai dokumen yang telah diunduh dari internet. Dan jika macOS belum meninjau aplikasi – proses yang disebut Apple sebagai notarization – atau jika tidak mengenali pengembangnya, aplikasi tidak akan diizinkan untuk berjalan tanpa campur tangan pengguna.

Namun peneliti keamanan Cedric Owens mengatakan bug yang dia temukan pada pertengahan Maret melewati pemeriksaan tersebut dan memungkinkan aplikasi jahat untuk berjalan.

Owens memberi tahu TechCrunch bahwa bug tersebut memungkinkannya membuat aplikasi yang berpotensi berbahaya agar terlihat seperti dokumen yang tidak berbahaya, yang saat dibuka akan melewati pertahanan bawaan macOS saat dibuka.

Apple memberi tahu TechCrunch bahwa mereka memperbaiki bug di macOS 11.3. Apple juga menambal versi macOS sebelumnya untuk mencegah penyalahgunaan, dan menerapkan aturan yang diperbarui ke XProtect, mesin anti-malware bawaan macOS, untuk memblokir malware agar tidak mengeksploitasi kerentanan tersebut.

Owens meminta peneliti keamanan Mac Patrick Wardle untuk menyelidiki bagaimana – dan mengapa – bug itu bekerja. Dalam postingan blog teknis hari ini, Wardle menjelaskan bahwa kerentanan dipicu karena bug logika dalam kode yang mendasari macOS.

Dengan pengetahuan tentang cara kerja bug, Wardle meminta perusahaan keamanan Mac Jamf untuk melihat apakah ada bukti bahwa bug telah dieksploitasi sebelum penemuan Owens. Pimpinan deteksi Jamf, Jaron Bradley, mengonfirmasi bahwa sampel keluarga malware Shlayer yang mengeksploitasi bug telah terlihat pada awal Januari, beberapa bulan sebelum penemuan Owens.

Jamf juga menerbitkan blog teknis tentang malware tersebut.

Selengkapnya: Tech Crunch

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

by

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer