Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

by

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer

Bug zero-day Windows ‘InstallerFileTakeOver’ mendapat micropatch gratis

by

Patch tidak resmi tersedia untuk kerentanan zero-day yang dieksploitasi secara aktif di alam liar untuk mendapatkan hak administrator.

Kode eksploitasi Proof-of-concept (PoC) telah diterbitkan untuk masalah ini, yang disebut sebagai bug “InstallerFileTakeOver”.

Kerentanan mempengaruhi semua versi Windows, termasuk Windows 11 dan Windows Server 2022, dan dapat dimanfaatkan oleh penyerang dengan akun lokal terbatas untuk meningkatkan hak istimewa dan menjalankan kode dengan hak admin.

Abdelhamid Naceri, peneliti yang membuat POC, menemukan masalah saat menganalisis patch untuk bug eskalasi hak istimewa lain yang dia laporkan ke Microsoft, yang saat ini dilacak sebagai CVE-2021-41379.

Dia menemukan bahwa perbaikan Microsoft tidak lengkap, meninggalkan ruang untuk eksploitasi untuk menjalankan kode dengan hak administrator. Naceri juga mencatat bahwa varian baru, yang belum menerima pengenal CVE, “lebih kuat daripada yang asli.”

Mitja Kolsek, salah satu pendiri layanan 0patch yang memberikan perbaikan terbaru yang tidak memerlukan reboot sistem, menjelaskan bahwa masalah berasal dari cara installer Windows membuat File Rollback (.RBF) yang memungkinkan pemulihan data yang dihapus atau diubah selama proses instalasi.

Pada satu titik, Windows mengubah lokasi file RBF dari “Config.msi” ke folder sementara dan memodifikasi izinnya untuk memungkinkan akses tulis pengguna.

Kode dari 0Patch memeriksa bahwa tidak ada persimpangan atau tautan di jalur tujuan file RBF; jika tidak, ini memblokir pemindahan file untuk menghilangkan risiko eksploitasi.

Micropatch gratis dan berfungsi di Windows 7 ESU, Windows 10, Server 2008 ESU/2012/2016/2019.

Perlu dicatat, kode koreksi 0Patch adalah solusi sementara yang ditujukan untuk menjaga keamanan sistem hingga Microsoft merilis tambalan permanen untuk masalah tersebut.

Selengkapnya: Bleeping Computer

Google memperingatkan pengguna Android: Tanda-tanda ini bisa berarti seseorang memata-matai Anda

by

Google memperingatkan jutaan pengguna Android ketika aplikasi mungkin memata-matai mereka.

Fitur baru ini memperingatkan pengguna ketika mikrofon atau kamera telah diaktifkan. Ini sangat mirip dengan peringatan yang sudah ada di iPhone saingan Apple.

Fitur Google telah ditambahkan ke ponsel dalam pembaruan Android 12 terbaru. Jadi jika Anda tidak memilikinya, Anda tidak akan dapat melihatnya.

Indikator baru muncul di sudut kanan atas layar. Anda akan melihat ikon kamera atau mikrofon saat aplikasi mencoba mengakses keduanya. Ini mencegah aplikasi diam-diam mendengarkan — atau bahkan menonton melalui kamera Anda. Anda juga dapat melihat rolling log dari aplikasi mana yang memiliki akses ke kamera, mikrofon, atau lokasi Anda — dan kapan. Informasi itu tersedia di Dasbor Privasi baru di dalam Pengaturan.

Sumber: New York Post

Anda juga dapat menonaktifkan mikrofon dan kamera Anda sepenuhnya di seluruh telepon melalui Quick Settings Anda.

Perlu diingat bahwa melihat ikon tidak berarti sesuatu yang jahat sedang terjadi. Terkadang aplikasi benar-benar perlu menggunakan kamera Anda — seperti Instagram. Tetapi jika Anda memperhatikan bahwa kamera Anda digunakan oleh aplikasi aneh, itu bisa berarti Anda sedang dimata-matai.

Selengkapnya: New York Post

KMSPico Windows Activator Berbahaya Mencuri Dompet Cryptocurrency Pengguna

by

Pengguna yang ingin mengaktifkan Windows tanpa menggunakan lisensi digital atau product key sedang ditargetkan oleh installer berbahaya untuk menyebarkan malware yang dirancang untuk mencuri kredensial dan informasi lainnya di dompet cryptocurrency.

Malware, yang dijuluki sebagai “CryptBot,” adalah pencuri informasi yang mampu memperoleh kredensial untuk browser, dompet cryptocurrency, cookie browser, kartu kredit, dan menangkap tangkapan layar dari sistem yang terinfeksi. Disebarkan melalui software bajakan, serangan terbaru melibatkan malware yang menyamar sebagai KMSPico.

KMSPico adalah alat tidak resmi yang digunakan untuk mengaktifkan fitur lengkap salinan perangkat lunak bajakan seperti Microsoft Windows dan Office suite tanpa benar-benar memiliki kunci lisensi.

“Pengguna terinfeksi dengan mengklik salah satu tautan berbahaya dan mengunduh KMSPico, Cryptbot, atau malware lain tanpa KMSPico,” kata peneliti Red Canary Tony Lambert dalam laporan yang diterbitkan minggu lalu. “Penyerang akan menginstal KMSPico juga, karena itulah yang diharapkan korban terjadi, sambil secara bersamaan menyebarkan Cryptbot di belakang layar.”

Perusahaan keamanan siber Amerika mengatakan juga mengamati beberapa departemen TI menggunakan perangkat lunak tidak sah alih-alih lisensi Microsoft yang valid untuk mengaktifkan sistem, ditambah installer KMSpico yang diubah didistribusikan melalui sejumlah situs web yang mengklaim menawarkan versi “resmi” dari aktivator.

Selengkapnya: The Hacker News

Ransomware Cerber baru menargetkan server Confluence dan GitLab

by

Cerber ransomware kembali, karena keluarga ransomware baru mengadopsi nama lama dan menargetkan server Atlassian Confluence dan GitLab menggunakan kerentanan eksekusi kode jarak jauh.

Ketika ransomware mulai meningkat pada tahun 2016, operasi ransomware Cerber baru muncul dan dengan cepat menjadi salah satu geng paling produktif pada saat itu. Namun, aktivitasnya perlahan mereda hingga menghilang pada akhir tahun 2019.

Mulai bulan lalu, sebuah ransomware bernama Cerber sekali lagi muncul, karena mulai menginfeksi korban di seluruh dunia dengan encryptor Windows dan Linux.

Versi baru Cerber membuat catatan tebusan bernama __$$RECOVERY_README$$__.html dan menambahkan ekstensi .locked ke file terenkripsi.

Cerber Tor payment site
Source: BleepingComputer

CTO Emsisoft dan ahli ransomware Fabian Wosar memeriksa varian baru dan mengatakan itu tidak cocok dengan kode keluarga yang lebih lama. Versi baru menggunakan pustaka Crypto+++, sedangkan varian yang lebih lama menggunakan pustaka Windows CryptoAPI.

Perbedaan kode ini dan fakta bahwa Cerber asli tidak memiliki varian Linux membuktikan bahwa aktor ancaman baru telah mengadopsi nama, catatan tebusan, dan situs pembayaran Tor, dan bukan operasi asli.

Para peneliti dan vendor keamanan telah melihat server peretasan operasi ransomware Cerber yang baru menggunakan kerentanan eksekusi kode jarak jauh di Atlassian Confluence dan GitLab.

Peneliti keamanan BoanBird juga membagikan sampel ransomware Cerber baru yang menunjukkan strain baru ini secara khusus menargetkan folder Atlassian Confluence yang tercantum di bawah ini.

C:\Program Files\Atlassian\Application Data
C:\Program Files\Atlassian\Application Data\Confluence
C:\Program Files\Atlassian\Application Data\Confluence\backups

BoanBird juga membagikan tautan ke forum GitLab di mana admin mengungkapkan bahwa Cerber mengeksploitasi kerentanan yang baru-baru ini diungkapkan dalam komponen ExifTool GitLab.

Kerentanan ini dilacak sebagai CVE-2021-26084 (Confluence) dan CVE-2021-22205 (GitLab) dan dapat dieksploitasi dari jarak jauh tanpa otentikasi. Selain itu, kedua kerentanan telah secara terbuka mengungkapkan eksploitasi proof-of-concept (PoC), memungkinkan penyerang untuk menembus server dengan mudah.

Para peneliti di Tencent menunjukkan bahwa serangan yang menyebarkan ransomware Cerber baru sebagian besar menargetkan Amerika Serikat, Jerman, dan China.

Meskipun versi Cerber sebelumnya mengecualikan target di CIS (Commonwealth of Independent States), data telemetri Tencent dari serangan baru-baru ini menunjukkan sebaliknya.

Saat ini, pendekatan terbaik untuk melindungi dari Cerber adalah dengan menerapkan pembaruan keamanan yang tersedia untuk Atlassian Confluence dan GitLab.

Selengkapnya : Bleeping Computer

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Finlandia memperingatkan malware Flubot yang menargetkan pengguna Android

by

Pusat Keamanan Siber Nasional Finlandia (NCSC-FI) telah mengeluarkan “peringatan parah” kampanye besar-besaran yang menargetkan pengguna Android negara itu dengan malware perbankan Flubot yang didorong melalui pesan teks yang dikirim dari perangkat yang disusupi.

Kampanye spam tersebut menggunakan tema pesan suara, meminta target untuk membuka tautan yang memungkinkan mereka mengakses pesan pesan suara atau pesan dari operator seluler.

Namun, penerima SMS dialihkan ke situs berbahaya yang mendorong penginstal APK untuk menyebarkan malware perbankan Flubot di perangkat Android mereka alih-alih membuka pesan suara.

Target yang menggunakan iPhone atau perangkat lain hanya akan dialihkan ke halaman penipuan dan kemungkinan juga berbahaya lainnya seperti halaman arahan phishing yang mencoba mengelabui detail kartu kredit mereka.

“Kami berhasil menghilangkan FluBot hampir sepenuhnya dari Finlandia pada akhir musim panas berkat kerja sama antara pihak berwenang dan operator telekomunikasi. Kampanye malware yang aktif saat ini adalah yang baru, karena tindakan pengendalian yang diterapkan sebelumnya tidak efektif,” kata NCSC-FI penasihat keamanan informasi Aino-Maria Väyrynen.

Malware perbankan ini (juga dikenal sebagai Fedex Banker dan Cabassous) telah aktif sejak akhir 2020 dan digunakan untuk mencuri kredensial perbankan, informasi pembayaran, pesan teks, dan kontak dari perangkat yang terinfeksi.

Awalnya, botnet terutama menargetkan pengguna Android dari Spanyol. Namun, sekarang telah diperluas untuk menargetkan negara-negara Eropa tambahan (Jerman, Polandia, Hongaria, Inggris, Swiss) dan Australia dan Jepang dalam beberapa bulan terakhir.

Setelah menginfeksi perangkat Android, Flubot menyebar ke orang lain dengan mengirim spam pesan teks ke kontak yang dicuri dan menginstruksikan target untuk menginstal aplikasi yang mengandung malware dalam bentuk APK. Bulan lalu, Flubot juga mulai menipu korbannya agar menginfeksi diri mereka sendiri menggunakan pembaruan keamanan palsu yang memperingatkan infeksi Flubot.

Setelah digunakan pada perangkat baru, ia akan mencoba mengelabui korban agar memberikan izin tambahan dan memberikan akses ke layanan Aksesibilitas Android, yang memungkinkannya menyembunyikan dan menjalankan tugas berbahaya di latar belakang.

Kemudian mengambil alih perangkat yang terinfeksi, mendapatkan akses ke pembayaran korban dan info perbankan melalui halaman webview phishing yang dihamparkan di atas antarmuka aplikasi mobile banking dan cryptocurrency yang sah.

Flubot juga mengekstrak buku alamat ke server perintah-dan-kontrol (dengan kontak kemudian dikirim ke bot Flubot lain untuk mendorong spam), membaca pesan SMS, membuat panggilan telepon, dan memantau pemberitahuan sistem untuk aktivitas aplikasi.

Mereka yang telah menginfeksi perangkat mereka dengan malware Flubot disarankan untuk mengambil langkah-langkah berikut:

  • Lakukan reset pabrik pada perangkat. Jika Anda memulihkan pengaturan dari cadangan, pastikan Anda memulihkan dari cadangan yang dibuat sebelum malware diinstal.
  • Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.
  • Laporkan kerugian finansial apa pun kepada polisi.
  • Atur ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri kata sandi Anda jika Anda masuk setelah menginstal malware.
  • Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirim pesan teks dari perangkat yang terinfeksi.

Sumber : Bleeping Computer

Lebih dari 300.000 pengguna Android telah mengunduh aplikasi malware trojan perbankan ini

by

Dirinci oleh peneliti ThreatFabric, empat bentuk malware yang berbeda dikirimkan ke korban melalui versi berbahaya dari aplikasi yang biasa diunduh, termasuk pemindai dokumen, pembaca kode QR, pemantau kebugaran, dan aplikasi cryptocurrency. Aplikasi sering datang dengan fungsi yang diiklankan untuk menghindari pengguna curiga.

Dalam setiap kasus, pengiriman malware hanya dimulai setelah aplikasi diinstal sehingga memungkinkan mereka untuk melewati deteksi Play Store.

Yang paling produktif dari empat keluarga malware adalah Anatsa, yang telah diinstal oleh lebih dari 200.000 pengguna Android – peneliti menggambarkannya sebagai trojan perbankan yang dapat mencuri nama pengguna dan kata sandi, dan menggunakan pencatatan aksesibilitas untuk menangkap semua yang ditampilkan di layar pengguna , sementara keylogger memungkinkan penyerang untuk merekam semua informasi yang dimasukkan ke dalam telepon.

Salah satu aplikasi ini adalah pemindai kode QR yang telah dipasang oleh 50.000 pengguna saja dan halaman unduhan menampilkan sejumlah besar ulasan positif, sesuatu yang dapat mendorong orang untuk mengunduh aplikasi. Pengguna diarahkan ke aplikasi melalui email phishing atau kampanye iklan berbahaya.

Setelah pengunduhan awal, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakannya – pembaruan inilah yang menghubungkan ke server perintah dan kontrol dan mengunduh muatan Anatsa ke perangkat, memberikan penyerang sarana untuk mencuri detail perbankan dan informasi lainnya.

Keluarga malware paling produktif kedua yang dirinci oleh para peneliti di ThreatFabric adalah Alien, trojan perbankan Android yang juga dapat mencuri kemampuan otentikasi dua faktor dan yang telah aktif selama lebih dari setahun. Malware telah menerima 95.000 instalasi melalui aplikasi berbahaya di Play Store.

Salah satunya adalah aplikasi gym dan pelatihan kebugaran yang ketika dilengkapi dengan situs web pendukung yang dirancang untuk meningkatkan legitimasi, tetapi pemeriksaan ketat terhadap situs tersebut mengungkapkan teks placeholder di mana-mana. Situs web ini juga berfungsi sebagai pusat komando dan kendali untuk malware Alien.

Seperti Anasta, unduhan awal tidak mengandung malware, tetapi pengguna diminta untuk menginstal pembaruan palsu – menyamar sebagai paket rezim kebugaran baru – yang mendistribusikan muatan.

Dua bentuk malware lainnya yang telah dijatuhkan menggunakan metode serupa dalam beberapa bulan terakhir adalah Hydra dan Ermac, yang memiliki total gabungan setidaknya 15.000 unduhan. ThreatFabric telah menautkan Hydra dan Ermac ke Brunhilda, kelompok kriminal dunia maya yang diketahui menargetkan perangkat Android dengan malware perbankan.

ThreatFabric telah melaporkan semua aplikasi berbahaya ke Google dan mereka telah dihapus atau sedang ditinjau.

“Aturan praktis yang baik adalah selalu memeriksa pembaruan dan selalu sangat berhati-hati sebelum memberikan hak aksesibilitas layanan – yang akan diminta oleh muatan berbahaya, setelah “pembaruan” instalasi – dan waspada terhadap aplikasi yang meminta untuk menginstal perangkat lunak tambahan, ” ucap Durando.

ZDNet