Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Tim kernel Linux telah mengurutkan cacat chip Retbleed

by

Pengembang kernel Linux telah mengatasi bug eksekusi spekulatif Retbleed di silikon Intel dan AMD yang lebih lama, meskipun perbaikannya tidak langsung, jadi penguin kaisar Linus Torvalds telah menunda pengiriman versi kernel berikutnya selama seminggu.

“Ketika kami memiliki salah satu masalah [perangkat keras] yang diembargo yang tertunda, tambalan tidak mendapatkan pengembangan terbuka, dan akibatnya melewatkan semua pemeriksaan kewarasan yang biasa dilakukan oleh semua infrastruktur pembuatan dan pengujian otomatisasi yang kami miliki,” Torvalds tulis dalam sebuah posting yang mengumumkan pengiriman kandidat rilis tujuh untuk kernel versi 5.19.

Retbleed bukan satu-satunya alasan penundaan.

“Minggu lalu ada dua pohon pengembangan lain yang secara independen juga meminta perpanjangan, jadi 5.19 akan menjadi salah satu rilis yang memiliki tambahan rc8 akhir pekan depan sebelum rilis final,” tulis Torvalds.

Dua pohon lain yang membutuhkan lebih banyak waktu menyangkut sistem file btrfs serta firmware untuk pengontrol untuk GPU Intel yang tampaknya kadang-kadang secara tidak sengaja menonaktifkan penguat grafis pada beberapa silikon Intel Alder Lake baru yang mengkilap.

Torvalds melaporkan kedua masalah tampaknya terkendali, “Jadi kita tidak memiliki masalah besar, tetapi satu minggu ekstra pasti diperlukan.”

Yang memalukan, karena minggu lalu Torvalds menyatakan harapannya bahwa kandidat rilis tujuh akan menjadi yang terakhir untuk versi ini sejalan dengan preferensinya untuk tujuh kandidat rilis.

Tidak ada dalam posting Torvalds yang menunjukkan penundaan lebih lanjut dapat diharapkan, jadi kernel baru akan debut minggu depan. Berikutnya akan datang versi 5.20, yang pada bentuk terbaru dapat dipilih sebagai rilis Dukungan Jangka Panjang.

Sumber: The Register

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

by

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC​​​​​
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

Malware Android baru di Google Play dipasang 3 juta kali

by

Keluarga malware Android baru di Google Play Store yang secara diam-diam membuat pengguna berlangganan layanan premium telah diunduh lebih dari 3.000.000 kali.

Malware bernama ‘Autolycos’, ditemukan oleh peneliti keamanan Evina, Maxime Ingrao, berada di setidaknya delapan aplikasi Android, dua di antaranya masih tersedia di Google Play Store pada saat penulisan ini.

Dua aplikasi yang masih tersedia diberi nama ‘Funny Camera’ oleh KellyTech, yang memiliki lebih dari 500.000 pemasangan, dan ‘Razer Keyboard & Tema’ oleh rxcheldiolola, yang menghitung lebih dari 50.000 pemasangan di Play Store.

Aplikasi Kamera Lucu di Play Store

Enam aplikasi yang tersisa telah dihapus dari Google Play Store, tetapi mereka yang masih menginstalnya berisiko dikenai biaya berlangganan yang mahal oleh aktivitas malware.

  • Vlog Star Video Editor (com.vlog.star.video.editor) – 1 juta unduhan
  • Creative 3D Launcher (app.launcher.creative3d) – 1 juta unduhan
  • Wow Beauty Camera (com.wowbeauty.camera) – 100.000 unduhan
  • Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100.000 unduhan
  • Freeglow Camera 1.0.0 (com.glow.camera.open) – 5.000 unduhan
  • Coco Camera v1.1 (com.toomore.cool.camera) –1.000 unduhan

Selama diskusi dengan Ingrao, peneliti mengatakan bahwa ia menemukan aplikasi pada Juni 2021 dan melaporkan temuannya ke Google pada saat itu.

Meskipun Google mengakui menerima laporan itu, butuh waktu enam bulan bagi perusahaan untuk menghapus enam set, sementara dua aplikasi berbahaya tetap ada di Play Store hingga hari ini.

Setelah sekian lama berlalu sejak pelaporan awal, peneliti mengungkapkan temuannya kepada publik.

Autolycos adalah malware yang melakukan perilaku berbahaya diam-diam seperti mengeksekusi URL pada browser jarak jauh dan kemudian menyertakan hasilnya dalam permintaan HTTP alih-alih menggunakan Webview.

Perilaku ini dimaksudkan untuk membuat tindakannya kurang terlihat dan dengan demikian tidak terdeteksi oleh pengguna perangkat yang disusupi.

Dalam banyak kasus, aplikasi jahat meminta izin untuk membaca konten SMS saat dipasang di perangkat, memungkinkan aplikasi mengakses pesan teks SMS korban.

Untuk mempromosikan aplikasi kepada pengguna baru, operator Autolycos membuat banyak kampanye iklan di media sosial. Untuk Razer Keyboard & Theme saja, Ingrao menghitung 74 kampanye iklan di Facebook.

Selain itu, sementara beberapa aplikasi berbahaya mengalami ulasan negatif yang tak terhindarkan di Play Store, aplikasi dengan unduhan lebih sedikit mempertahankan peringkat pengguna yang baik karena ulasan bot.

Agar tetap aman dari ancaman ini, pengguna Android harus memantau data internet latar belakang dan konsumsi baterai, tetap mengaktifkan Play Protect, dan mencoba meminimalkan jumlah aplikasi yang mereka instal di ponsel cerdas mereka.

Pembaruan 13/7/2022: Google telah menghapus dua aplikasi adware yang tersisa dari Play Store segera setelah publikasi posting ini.

Sumber: Bleeping Computer

CISA memerintahkan agensi untuk menambal Windows zero-day baru yang digunakan dalam serangan

by Leave a Comment

CISA telah menambahkan kerentanan eskalasi hak istimewa lokal yang dieksploitasi secara aktif di Windows Client/Server Runtime Subsystem (CSRSS) ke daftar bug yang disalahgunakan di alam liar.

Kelemahan keamanan tingkat tinggi ini (dilacak sebagai CVE-2022-22047) berdampak pada platform Windows server dan klien, termasuk rilis Windows 11 dan Windows Server 2022 terbaru.

Microsoft telah menambalnya sebagai bagian dari Patch Juli 2022 Selasa, dan mengklasifikasikannya sebagai zero-day karena disalahgunakan dalam serangan sebelum perbaikan tersedia.

Redmond mengatakan kerentanan itu ditemukan secara internal oleh Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Security Response Center (MSRC).

CISA telah memberikan waktu tiga minggu kepada agensi, hingga 2 Agustus, untuk menambal kerentanan CVE-2022-22047 yang dieksploitasi secara aktif dan memblokir serangan yang sedang berlangsung yang dapat menargetkan sistem mereka.

Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan pada bulan November, semua lembaga Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk mengamankan jaringan mereka dari kelemahan keamanan yang ditambahkan ke katalog CISA tentang Kerentanan yang Diketahui Tereksploitasi (KEV).

Meskipun arahan BOD 22-01 hanya berlaku untuk agen federal AS, CISA juga sangat mendesak semua organisasi di seluruh AS untuk memperbaiki peningkatan bug hak istimewa CSRSS Windows ini untuk menggagalkan upaya penyerang untuk meningkatkan hak istimewa pada sistem Windows yang belum ditambal.

Sejak BOD 22-01 diterbitkan, CISA telah menambahkan ratusan kerentanan keamanan ke daftar bug yang dieksploitasi dalam serangan, memerintahkan agen federal AS untuk menambal sistem mereka sesegera mungkin untuk mencegah pelanggaran.

Sumber: Bleeping Computer

Malware Siluman OrBit Mencuri Data dari Perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk diam-diam mencuri informasi dari sistem Linux backdoored dan menginfeksi semua proses yang berjalan di mesin.

Malware ini membajak library bersama untuk mencegat fungsi panggilan dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat memperoleh persistensi menggunakan dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan volatil saat disalin dalam shim-memory.

Hal itu juga dapat dikaitkan dengan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan ketekunan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang sedang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan memfilter apa yang dicatat.

Meskipun komponen pipet dan muatan OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware telah memperbarui produk mereka untuk memperingatkan pelanggan tentang keberadaannya.

“Malware ini mencuri informasi dari berbagai perintah dan kegunaan dan menyimpannya dalam file tertentu di mesin. Selain itu, ada penggunaan file yang luas untuk menyimpan data, sesuatu yang belum pernah terlihat sebelumnya,” tambah Fishbein.

“Apa yang membuat malware ini sangat menarik adalah pengait library pada mesin korban, yang memungkinkan malware untuk mendapatkan persistensi dan menghindari deteksi sambil mencuri informasi dan mengatur pintu belakang SSH.”

Sumber: BleepingComputer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

by

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

Malware OrBit siluman baru mencuri data dari perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk mencuri informasi secara diam-diam dari sistem Linux backdoor dan menginfeksi semua proses yang berjalan di mesin.

Dijuluki OrBit oleh peneliti keamanan Intezer Labs yang pertama kali melihatnya, malware ini membajak pustaka bersama untuk mencegat panggilan fungsi dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan yang mudah menguap saat disalin dalam memori-shim.

Itu juga dapat menghubungkan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan kegigihan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan menyaring apa yang dicatat.

Meskipun komponen dropper dan payload OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware sejak itu memperbarui produk mereka untuk memperingatkan pelanggan akan keberadaannya.

Payload OrBit tidak terdeteksi di VirusTotal (Intezer Labs)

OrBit bukan malware Linux pertama yang sangat mengelak yang muncul baru-baru ini, yang mampu menggunakan pendekatan serupa untuk sepenuhnya berkompromi dan perangkat backdoor.

Symbiote juga menggunakan direktif LD_PRELOAD untuk memuat dirinya sendiri ke dalam proses yang berjalan, bertindak sebagai parasit di seluruh sistem dan tidak meninggalkan tanda-tanda infeksi.

BPPFDoor, malware lain yang baru-baru ini terlihat menargetkan sistem Linux, menyamarkan dirinya dengan menggunakan nama-nama daemon Linux umum, yang membantunya tetap tidak terdeteksi selama lebih dari lima tahun.

Kedua jenis ini menggunakan fungsi pengait BPF (Berkeley Packet Filter) untuk memantau dan memanipulasi lalu lintas jaringan yang membantu menyembunyikan saluran komunikasi mereka dari alat keamanan.

Malware Linux ketiga, rootkit dalam pengembangan berat yang dijuluki Syslogk dan diluncurkan oleh peneliti Avast bulan lalu, dapat memuat modulnya sendiri secara paksa ke dalam kernel Linux, mesin backdoor yang disusupi, dan menyembunyikan direktori dan lalu lintas jaringan untuk menghindari deteksi.

Meskipun bukan jenis malware pertama atau paling orisinal yang menargetkan Linux akhir-akhir ini, OrBit masih hadir dengan bagian kemampuannya yang membedakannya dari ancaman lainnya.

Sumber: Bleeping Computer

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer