OS

Para Ahli Mengungkap Eksploitasi untuk Kerentanan Windows Terbaru Sedang Aktif Diekploitasi

June 9, 2023 by Søren

Muncul laporan tentang celah keamanan dalam Microsoft Windows yang sedang dieksploitasi secara aktif, yang dapat disalahgunakan oleh penyerang untuk memperoleh hak istimewa yang lebih tinggi pada sistem yang terpengaruh.

Kerentanan ini, yang dikenali sebagai CVE-2023-29336, memiliki tingkat keparahan 7.8 dan berkaitan dengan bug elevation of privilege dalam komponen Win32k.

“Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” ungkap Microsoft dalam sebuah peringatan yang dikeluarkan bulan lalu sebagai bagian dari pembaruan Patch Tuesday.

Peneliti Avast, yaitu Jan Vojtěšek, Milánek, dan Luigino Camastra, diakui sebagai orang yang menemukan dan melaporkan kerentanan ini.

Win32k.sys adalah driver mode kernel dan bagian integral dari arsitektur Windows, bertanggung jawab atas graphical user interface (GUI) dan pengelolaan jendela.

Meskipun rincian spesifik tentang penyalahgunaan celah ini di lingkungan nyata saat ini belum diketahui, Numen Cyber telah memecahkan kode dari pembaruan yang dirilis oleh Microsoft untuk membuat eksplorasi konsep (PoC) yang digunakan sebagai bukti untuk Windows Server 2016.

Perusahaan keamanan siber yang berbasis di Singapura menyatakan bahwa kerentanan ini bergantung pada alamat kernel handle yang bocor di memori heap untuk akhirnya memperoleh izin read-write.

“Kerentanan Win32k telah dikenal dalam sejarah,” kata Numen Cyber. “Namun, dalam versi pratinjau Windows 11 terbaru, Microsoft telah mencoba memperbarui bagian kode kernel ini menggunakan Rust. Hal ini mungkin akan menghilangkan kerentanan semacam itu di sistem baru di masa depan.”

Numen Cyber membedakan dirinya dari perusahaan keamanan Web3 biasa dengan menekankan perlunya kemampuan keamanan lanjutan, khususnya dalam hal serangan keamanan dan pertahanan tingkat OS. Produk dan layanan mereka menawarkan solusi terkini untuk mengatasi tantangan keamanan unik yang dihadapi dalam lingkungan Web3.

Selengkapnya: The Hacker News

Lebih dari 400 juta Terinfeksi Spyware Android — Hapus Aplikasi Ini Sekarang!

June 5, 2023 by Flamango

Lebih dari 100 aplikasi Android dengan gabungan lebih dari 400 juta unduhan telah terinfeksi oleh jenis malware baru yang didistribusikan sebagai kit pengembangan perangkat lunak (SDK) untuk pengiklan.

Penemuan itu dilakukan oleh peneliti keamanan di Dr.Web yang menemukan modul spyware di dalam aplikasi yang terpengaruh yang mereka namai ‘SpinOk’.

Disebut spyware karena malware tersebut dapat mencuri data pribadi yang disimpan di ponsel Android terbaik dan mengirimkannya ke server jarak jauh yang dikendalikan oleh peretas di balik kampanye ini.

Pengembang aplikasi kemungkinan menambahkan modul SpinOk ke aplikasi mereka, karena tampaknya sah dan menggunakan minigame untuk memberi pengguna “hadiah harian” untuk membuat mereka tetap tertarik.

Sayangnya, SpinOk melakukan sejumlah aktivitas jahat di latar belakang saat memeriksa data sensor perangkat Android.

Berdasarkan laporan Dr.Web, pembuat virus mengklaim telah menemukan 101 aplikasi yang diunduh lebih dari 421 juta kali dari Google Play Store. Di bawah, Anda akan menemukan aplikasi yang terpengaruh dengan unduhan terbanyak, antara lain:
– Noizz dan Zapya – File Transfer, Share dengan 100 juta unduhan.
– vFly, MVBit, dan Biugo dengan 50 juta unduhan.
– Crazy Drop, Cashzine, dan Fizzo Novel dengan 10 juta unduhan.
– CashEM dan Tick dengan 5 juta unduhan.

Pengguna disarankan untuk segera menghapus aplikasi-aplikasi tersebut, meskipun sebagian besar aplikasi yang terpengaruh telah dihapus dari Play Store, belum semuanya.

SpinOk mampu melakukan sejumlah aktivitas jahat di latar belakang yang mencakup daftar file di direktori, mencari file tertentu, mengunggah file dari smartphone yang terinfeksi atau menyalin dan mengganti konten dari clipboard.

Masih belum jelas apakah penerbit aplikasi Android ini ditipu oleh distributor SDK trojan atau sengaja memasukkannya ke dalam aplikasi mereka. Seperti yang dicatat oleh BleepingComputer, jenis infeksi ini seringkali merupakan hasil dari serangan rantai pasokan dari pihak ketiga.

Agar tetap aman dari aplikasi yang buruk, pengguna harus berhati-hati saat mengunduh aplikasi baru meskipun berasal dari Google Play Store, mencoba untuk mencari ulasan eksternal, terutama ulasan video, perhatikan izin yang diperlukan aplikasi, dan sebagai perlindungan tambahan, pertimbangkan untuk menginstal salah satu aplikasi antivirus Android terbaik.

Selengkapnya: tom’s guide

Operasi Triangulasi: Perangkat iOS yang Ditargetkan dengan Malware yang Sebelumnya Tidak Dikenal

June 2, 2023 by Flamango

Perusahaan sedang melakukan pemantauan lalu lintas jaringan Wi-Fi yang khusus digunakan untuk perangkat seluler menggunakan Platform Pemantauan dan Analisis Terpadu Kaspersky (KUMA). Mereka menemukan adanya aktivitas mencurigakan yang dari beberapa ponsel iOS.

Mereka mengambil tindakan dengan membuat cadangan luring dari perangkat yang dimaksud, memeriksanya menggunakan mvt-ios Perangkat Verifikasi Seluler dan menemukan jejak penyusupan. Kampanye ini disebut “Operasi Triangulasi”.
KUMA,
Mengidentifikasi artefak tertentu dengan menggunakan garis waktu ini, menunjukkan adanya kompromi. Ini memungkinkan untuk memajukan penelitian dan untuk merekonstruksi urutan infeksi umum:
1. Perangkat iOS target menerima pesan melalui layanan iMessage, dengan lampiran berisi eksploit.
2. Tanpa interaksi pengguna apa pun, pesan tersebut memicu kerentanan yang mengarah pada eksekusi kode.
3. Kode di dalam eksploitasi mengunduh beberapa tahap berikutnya dari server C&C, mencakup eksploitasi tambahan untuk eskalasi hak istimewa.
4. Setelah berhasil dieksploitasi, muatan akhir diunduh dari server C&C, merupakan platform APT berfitur lengkap.
5. Pesan awal dan eksploit dalam lampiran dihapus

Garis waktu beberapa perangkat menunjukkan bahwa mereka mungkin terinfeksi ulang setelah melakukan boot ulang. Saat penulisan pada Juni 2023, serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.

Malware dapat diidentifikasi dengan andal jika perangkat jika perangkat disusupi meskipun menyertakan bagian kode yang didedikasikan khusus untuk menghapus jejak penyusupan.

Jika perangkat baru disiapkan dengan memigrasikan data pengguna dari perangkat lama, cadangan iTunes perangkat tersebut akan berisi jejak penyusupan yang terjadi pada kedua perangkat, dengan timestemps yang benar.

Tahapan metodologi forensik yang dilakukan peneliti dimulai dari persiapan dengan mencadangkan semua perangkat target potensial harus dicadangkan, instalasi MVT, opsional dengan mendekripsi cadangan, kemudian parsing cadangan menggunakan MVT, setelah itu memeriksa timeline.csv untuk indikator.

Aktivitas jaringan selama eksploitasi yaitu dapat diidentifikasi dengan urutan beberapa kejadian koneksi HTTPS untuk eksploitasi yang berhasil. Hal ini dapat ditemukan dalam data netflow yang diperkaya dengan informasi host DNS/TLS, atau dump PCAP.

Urutan eksploitasi jaringan, dump Wireshark

Selengkapnya: SecureList

Kali Linux 2023.2 dirilis dengan 13 alat baru, citra HyperV pra-bangun

June 2, 2023 by Coffee Bean

Kali Linux 2023.2, versi kedua 2023, sekarang tersedia dengan image Hyper-V pre-built dan tiga belas alat baru, termasuk kerangka kerja Evilginx untuk mencuri kredensial dan cookie sesi.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

VM image baru untuk Hyper-V – dengan “Enhanced Session Mode”
Xfce audio stack update: memasukan PipeWire – Audio yang lebih baik untuk desktop default Kali
i3 desktop overhaul – i3-gaps merged with i3
Desktop updates – Hashing mudah di Xfce
GNOME 44 – bump versi Gnome Shell
Pembaruan ikon dan menu – Aplikasi dan ikon baru di menu
New tools – As always, various new packages added

How to get Kali Linux 2023.2
Untuk mulai menggunakan Kali Linux 2023.2, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.

Bagi yang mengupdate dari versi sebelumnya, Anda bisa menggunakan perintah berikut untuk mengupgrade ke versi terbaru.

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -vrbi /etc/skel/. ~/

[ -f /var/run/reboot-required ] && sudo reboot -f

Anda dapat melihat complete channelog untuk Kali 2023.2 di situs web Kali.

Spyware Ditemukan dalam Aplikasi Google Play dengan Lebih dari 420 Juta Unduhan

June 2, 2023 by Søren

Perusahaan antivirus Doctor Web telah mengidentifikasi adanya spyware dalam lebih dari 100 aplikasi Android yang telah diunduh lebih dari 421 juta kali di Google Play.

Modul berbahaya ini, yang diberi nama ‘SpinOk’ oleh Doctor Web, didistribusikan sebagai SDK pemasaran. Pada perangkat korban, spyware ini dapat mengumpulkan informasi tentang file, mengirim file ke para penyerang, dan mencuri konten clipboard.

Modul SpinOk menawarkan mini game, tugas, dan hadiah yang diduga untuk menjaga minat pengguna terhadap aplikasi tersebut.

Setelah dieksekusi, SDK ini terhubung ke server komando dan kontrol (C&C) dan mengirimkan sejumlah besar informasi perangkat, termasuk data dari sensor yang memungkinkannya mendeteksi lingkungan emulator. Respons dari server berisi banyak URL yang digunakan untuk menampilkan spanduk iklan melalui WebView.

Selain itu, modul ini dapat mengumpulkan daftar file dalam direktori yang ditentukan, memeriksa keberadaan file dan direktori tertentu, mengunggah file dari perangkat, serta menyalin atau mengganti konten clipboard.

“Ini memungkinkan operator modul trojan untuk memperoleh informasi dan file rahasia dari perangkat pengguna—misalnya, file yang dapat diakses oleh aplikasi yang memiliki Android.Spy.SpinOk di dalamnya. Untuk itu, para penyerang perlu menambahkan kode yang sesuai ke dalam halaman HTML spanduk iklan,” jelas Doctor Web.

Modul berbahaya dan modifikasinya telah diidentifikasi dalam total 101 aplikasi di Google Play. Google telah diberi tahu dan telah menghapus beberapa aplikasi tersebut. Dalam beberapa kasus, hanya versi tertentu yang mengandung SDK berbahaya tersebut.

Beberapa aplikasi paling populer yang mengandung modul berbahaya ini termasuk Noizz (lebih dari 100 juta instalasi), Zapya (lebih dari 100 juta instalasi—kode tersebut ada dalam versi 6.3.3 hingga 6.4), VFly (lebih dari 50 juta unduhan), MVBit (lebih dari 50 juta instalasi), dan Biugo (lebih dari 50 juta unduhan). Doctor Web telah mempublikasikan daftar lengkap aplikasi yang terinfeksi.

Selengkapnya: Security Week

Kaspersky mengatakan penyerang meretas iPhone staf dengan malware yang tidak dikenal

June 2, 2023 by Coffee Bean

Perusahaan keamanan siber Rusia Kaspersky mengatakan bahwa peretas yang bekerja untuk pemerintah menargetkan beberapa lusin iPhone karyawan dengan malware yang tidak diketahui.

Juru bicara Kaspersky Sawyer Van Horn mengatakan dalam email ke TechCrunch bahwa perusahaan menetapkan bahwa salah satu kerentanan yang digunakan dalam operasi diketahui dan diperbaiki oleh Apple pada Desember 2022, tetapi mungkin telah dieksploitasi sebelum ditambal, bersama dengan kerentanan lainnya. “Meskipun tidak ada indikasi yang jelas, kerentanan yang sama telah dieksploitasi sebelumnya, tetapi sangat mungkin terjadi,” kata juru bicara itu.

Peneliti Kaspersky mengatakan bahwa mereka menemukan serangan tersebut ketika mereka melihat “aktivitas mencurigakan yang berasal dari beberapa ponsel berbasis iOS,” saat memantau jaringan Wi-Fi perusahaan mereka sendiri. Van Horn mengatakan serangan siber ditemukan “pada awal tahun ini.”

Sementara malware dirancang untuk membersihkan perangkat yang terinfeksi dan menghapus jejaknya sendiri, “adalah mungkin untuk mengidentifikasi dengan andal jika perangkat itu disusupi,” tulis para peneliti.

Dalam laporan tersebut, para peneliti menjelaskan langkah demi langkah bagaimana mereka menganalisis perangkat yang disusupi, menguraikan bagaimana orang lain dapat melakukan hal yang sama. Namun, mereka tidak memasukkan banyak detail dari apa yang mereka temukan menggunakan proses ini.

Para peneliti mengatakan bahwa kehadiran “garis penggunaan data yang menyebutkan proses bernama ‘BackupAgent’,” adalah tanda yang paling dapat diandalkan bahwa iPhone diretas, dan salah satu tanda lainnya adalah bahwa iPhone yang dikompromikan tidak dapat menginstal update iOS.

Perusahaan mengatakan bahwa para peretas, yang pada saat ini tidak diketahui, mengirimkan malware dengan eksploitasi tanpa klik melalui lampiran iMessage, dan bahwa semua peristiwa terjadi dalam jangka waktu satu hingga tiga menit.

sumber : techcrunch

Terminator Antivirus Killer: Driver Windows Rentan yang Mengancam

June 1, 2023 by Eevee

Terminator antivirus killer adalah sebuah driver Windows yang rentan yang menyamar sebagai alat yang dapat menghentikan antivirus dan platform keamanan lainnya. Dikenal sebagai Spyboy, aktor ancaman ini mempromosikan alat Terminator di forum peretas berbahasa Rusia. Namun, menurut CrowdStrike, ini hanyalah serangan Bring Your Own Vulnerable Driver (BYOVD) yang terlihat mewah.

Terminator diklaim dapat melewati 24 solusi keamanan seperti antivirus, Endpoint Detection and Response (EDR), dan Extended Detection and Response (XDR). Ini termasuk Windows Defender pada perangkat dengan sistem operasi Windows 7 ke atas.

Spyboy menjual alat ini dengan harga mulai dari $300 hingga $3,000. Namun, beberapa solusi EDR seperti SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, dan Cylance tidak bisa dibeli secara terpisah.

Untuk menggunakan Terminator, pengguna harus memiliki hak administratif pada sistem Windows dan memperdaya pengguna agar menerima pop-up User Account Controls (UAC) saat menjalankan alat ini.

Terminator sebenarnya hanya menjatuhkan driver kernel anti-malware bernama zamguard64.sys atau zam64.sys ke folder C:\Windows\System32\ dengan nama acak. Driver ini digunakan untuk menghentikan proses perangkat lunak keamanan yang berjalan pada perangkat dengan hak istimewa tingkat kernel.

Aktivitas Terminator ini baru terdeteksi oleh satu mesin pemindai anti-malware. Namun, peneliti keamanan telah membagikan aturan yang dapat membantu deteksi driver yang rentan yang digunakan oleh alat Terminator.

Teknik ini sering digunakan oleh aktor ancaman untuk melewati perangkat lunak keamanan dengan menjalankan driver Windows yang rentan. Kelompok ancaman yang berbeda, mulai dari kelompok ransomware hingga kelompok peretas yang didukung oleh negara, menggunakan teknik ini.

Baru-baru ini, peneliti keamanan Sophos X-Ops menemukan sebuah alat peretasan baru bernama AuKill yang menggunakan driver Process Explorer yang rentan untuk menonaktifkan perangkat lunak EDR sebelum menyerang dengan ransomware dalam serangan BYOVD.

Sumber: Bleeping Computer

Algoritme aktivasi Windows XP telah di-crack, keygen sekarang berfungsi di Linux

May 27, 2023 by Søren

Sistem operasi Windows XP dari Microsoft, yang telah berusia lebih dari 21 tahun, kini mendapatkan pembaruan penting. Kabar menarik datang dari sebuah posting di blog tinyapps yang mengungkapkan bahwa algoritma dan metode yang digunakan oleh Microsoft untuk memvalidasi kunci produk Windows XP telah berhasil di-crack dan dapat dilakukan menggunakan sistem operasi Linux.

Dengan penemuan ini, kini memungkinkan untuk mengaktifkan instalasi baru Windows XP secara legal dan aman, bahkan tanpa koneksi internet. Ini menjadi solusi yang berguna karena seharusnya Windows XP tidak terhubung ke internet, dan saat ini tidak dapat melakukan aktivasi melalui server Microsoft.

Informasi yang diperoleh menunjukkan bahwa algoritma aktivasi produk ini telah berhasil dipecahkan sejak beberapa waktu lalu. Pada tahun 2019, sebuah generator kunci produk sumber terbuka dirilis yang dapat menghasilkan kunci Windows XP secara tak terbatas. Namun, program tersebut memerlukan layanan aktivasi eksternal untuk menyelesaikan validasi dan instalasi, yang menjadi sulit jika layanan tersebut tidak lagi tersedia.

Namun, ada perkembangan baru tahun lalu ketika seseorang membagikan sebuah file Windows yang dapat menghasilkan kode ID konfirmasi yang diperlukan untuk mengaktifkan Windows XP secara offline. Dengan menggabungkan generator kunci produk dengan file tersebut, pengguna dapat melakukan aktivasi tanpa bantuan dari Microsoft dan tanpa melanggar aturan.

Bulan ini, generator kunci produk sumber terbuka tersebut telah diubah dan diperbaiki agar dapat berfungsi di sistem operasi Linux. Meskipun masih memerlukan file tambahan, setidaknya sekarang generator ini dapat berjalan di Linux. File tersebut juga sedang dalam proses reverse engineering untuk memahami lebih dalam tentang cara kerjanya.

Perlu dicatat bahwa pembahasan ini berkaitan dengan berhasilnya menembus algoritma aktivasi, bukan merujuk pada pemecahan perlindungan pembajakan Windows XP sejak awal dirilis. Dalam konteks ini, fokusnya adalah menghasilkan kode aktivasi yang sah tanpa melakukan modifikasi sistem.

Selengkapnya: The Register

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings