Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Pembaruan Darurat Apple iOS 15.0.2 Memperbaiki Zero-Day

by

Apple telah merilis iOS 15.0.2 dan iPadOS 15.0.2 untuk memperbaiki kerentanan zero-day yang secara aktif dieksploitasi dalam serangan yang menargetkan Ponsel dan iPad.

Kerentanan ini, dilacak sebagai CVE-2021-30883, adalah bug korupsi memori kritis di IOMobileFrameBuffer yang memungkinkan aplikasi untuk menjalankan perintah pada perangkat yang rentan dengan hak istimewa kernel.

Karena hak istimewa kernel memungkinkan aplikasi untuk menjalankan perintah apa pun di perangkat, pelaku ancaman berpotensi menggunakannya untuk mencuri data atau menginstal malware lebih lanjut.

Sementara Apple belum memberikan perincian tentang bagaimana kerentanan ini digunakan dalam serangan, mereka menyatakan bahwa ada laporan bahwa itu digunakan secara aktif dalam serangan.

Namun, segera setelah kerentanan dirilis, peneliti keamanan Saar Amar menerbitkan penulisan teknis dan eksploitasi bukti konsep yang berasal dari rekayasa balik patch.

Daftar perangkat yang terpengaruh cukup luas, memengaruhi model lama dan baru, termasuk iPhone 6s dan lebih baru, iPad Pro (semua model), iPad Air 2 dan lebih baru, iPad generasi ke-5 dan lebih baru, iPad mini 4 dan lebih baru, dan iPod touch (generasi ke-7).

Meskipun ada kemungkinan bahwa kerentanan digunakan dalam serangan yang ditargetkan dan tidak digunakan secara luas, sangat disarankan untuk menginstal pembaruan sesegera mungkin mengingat tingkat keparahannya yang tinggi.

Selengkapnya: Bleeping Computer

Malware FontOnLake menginfeksi sistem Linux melalui utilitas trojan

by

Keluarga malware yang baru saja ditemukan telah menginfeksi sistem Linux yang bersembunyi di dalam binari yang sah. Dijuluki FontOnLake, malware ini memberikan komponen backdoor dan rootkit.

Malware ini memiliki prevalensi rendah di alam liar dan mendapat manfaat dari desain canggih yang memungkinkannya mempertahankan persistensi yang diperpanjang pada sistem yang terinfeksi.

FontOnLake memiliki beberapa modul yang berinteraksi satu sama lain dan memungkinkan komunikasi dengan operator malware, mencuri data sensitif, dan tetap tersembunyi di sistem.

Para peneliti di ESET menemukan beberapa sampel malware yang diunggah ke layanan pemindaian VirusTotal sepanjang tahun lalu, yang pertama muncul pada Mei 2020.

Ditandai dengan desain tersembunyi dan canggih, FontOnLake kemungkinan digunakan dalam serangan yang ditargetkan oleh operator yang cukup berhati-hati untuk menggunakan server perintah dan kontrol (C2) yang unik untuk “hampir semua sampel” dan berbagai port non-standar.

Di antara utilitas Linux yang diubah oleh aktor ancaman untuk mengirimkan FontOnLake adalah:

  • cat – digunakan untuk mencetak konten file
  • kill – daftar semua proses yang berjalan
  • sftp – secure FTP utility
  • sshd – the OpenSSH server process

Menurut para peneliti, utilitas trojan kemungkinan dimodifikasi pada tingkat kode sumber, menunjukkan bahwa aktor ancaman mengkompilasinya dan menggantikan yang asli.

Selain membawa malware, peran binari yang dimodifikasi ini adalah memuat muatan tambahan, mengumpulkan informasi, atau melakukan tindakan jahat lainnya.

Para peneliti menemukan tiga pintu belakang khusus yang ditulis dalam C++ yang terkait dengan keluarga malware FontOnLake, yang memberikan akses jarak jauh kepada operator ke sistem yang terinfeksi.

ESET mengatakan bahwa FontOnLake mungkin merupakan malware yang sama yang sebelumnya dianalisis oleh para peneliti di Tencent Security Response Center, yang mengaitkannya dengan insiden ancaman persisten tingkat lanjut.

Selengkapnya: Bleeping Computer

Amnesty International menghubungkan perusahaan keamanan siber dengan operasi spyware

by

Sebuah laporan oleh Amnesty International menghubungkan perusahaan keamanan siber India dengan program spyware Android yang digunakan untuk menargetkan aktivis terkemuka.

Penyelidikan berasal dari tim Amnesty International, yang mengkonfirmasi kasus spionase terhadap seorang aktivis Togo dan juga mengamati tanda-tanda penyebaran spyware di beberapa wilayah utama Asia.

Menurut Amnesty International, spyware Android telah dikaitkan dengan perusahaan keamanan siber India Innefu Labs setelah alamat IP milik perusahaan itu berulang kali digunakan untuk distribusi muatan spyware.

Namun, deployment yang sebenarnya bisa menjadi pekerjaan ‘Tim Donot’ (APT-C-35), sekelompok peretas India yang telah menargetkan pemerintah di Asia Tenggara setidaknya sejak 2018.

Amnesty mencatat bahwa mungkin saja Innefu tidak mengetahui bagaimana pelanggannya atau pihak ketiga lainnya menggunakan alatnya. Namun, audit eksternal dapat mengungkapkan semuanya setelah detail teknis lengkap terungkap.

Serangan terhadap para aktivis dimulai dengan pesan yang tidak diminta melalui WhatsApp, menyarankan instalasi aplikasi obrolan yang seharusnya aman bernama ‘ChatLite’.

Dalam kasus ChatLite, ini adalah spyware aplikasi Android yang dikembangkan khusus yang memungkinkan penyerang mengumpulkan data sensitif dari perangkat dan mengunduh alat malware tambahan.

Untuk spyware yang didistribusikan melalui dokumen Word berbahaya, ia memiliki kemampuan berikut:

  • Merekam penekanan tombol
  • Mengambil tangkapan layar secara teratur
  • Mencuri file dari penyimpanan lokal dan yang dapat dilepas
  • Mengunduh modul spyware tambahan

Dengan menganalisis sampel spyware Android, penyelidik Amnesty menemukan beberapa kesamaan dengan “Kashmir_Voice_v4.8.apk” dan “SafeShareV67.apk”, dua alat malware yang terkait dengan operasi Tim Donot sebelumnya.

Kesalahan opsec aktor ancaman memungkinkan penyelidik untuk menemukan server “pengujian” di AS tempat aktor ancaman menyimpan tangkapan layar dan data keylogging dari ponsel Android yang disusupi.

Di sinilah Amnesty pertama kali melihat alamat IP Innefu Labs, karena jika tidak, sumber sebenarnya bersembunyi di balik VPN.

Selengkapnya: Bleeping Computer

Microsoft Exec: Persyaratan CPU Windows 11 Memungkinkan Fitur Keamanan Utama Untuk Dijalankan ‘Secara Default’

by

Microsoft telah menetapkan persyaratan CPU minimum untuk Windows 11 pada generasi kedelapan Intel karena chip memungkinkan beberapa fitur keamanan penting untuk diaktifkan secara default di sistem operasi, menawarkan peningkatan keamanan utama atas Windows 10, seorang eksekutif keamanan Microsoft mengatakan kepada CRN.

Dengan ketersediaan umum Windows 11 yang akan diluncurkan pada hari Selasa, David Weston, direktur OS dan keamanan perusahaan Microsoft, berbicara tentang bagaimana persyaratan CPU bertujuan untuk meningkatkan keamanan dalam sistem operasi baru tanpa menyebabkan pertukaran dalam pengurangan kinerja.

Chip Intel generasi kedelapan dan lebih tinggi mendukung penggunaan fitur keamanan utama tertentu—seperti keamanan berbasis virtualisasi (VBS)—sementara juga memberikan kinerja optimal saat menjalankan fitur tersebut secara otomatis, kata Weston dalam sebuah wawancara dengan CRN.

Di Windows 10, fitur keamanan yang kuat seperti VBS bersifat opsional dan tidak berjalan secara otomatis—dan akibatnya jarang digunakan, katanya.

“Strategi untuk rilis awal Windows 11 sangat sederhana: meningkatkan baseline. Aktifkan hal-hal yang opsional di Windows 10 secara default,” kata Weston.

Salah satu contohnya adalah fitur yang disebut kontrol eksekusi berbasis mode, yang—bersamaan dengan CPU Intel generasi kedelapan dan lebih tinggi—membantu memastikan kinerja optimal saat menjalankan perlindungan keamanan berbasis virtualisasi tertentu, katanya.

Selain kontrol eksekusi berbasis mode, chip generasi kedelapan Intel juga memastikan bahwa enkripsi Trusted Platform Module (TPM) dan kemampuan secure boot hadir, kata Weston.

Selengkapnya: CRN

Peneliti merilis tiga iOS zero-day yang ditolak Apple untuk diperbaiki

by

Kode eksploitasi bukti konsep untuk tiga kerentanan zero-day iOS (dan yang keempat ditambal pada bulan Juli) diterbitkan di GitHub setelah Apple menunda penambalan dan gagal memberi kredit kepada orang yang melaporkannya.

Denis Tokarev (yang menggunakan pegangan Twitter Illusion Of Chaos), pengembang perangkat lunak yang menemukan empat zero day, melaporkannya ke Apple antara 10 Maret dan 4 Mei. Namun, perusahaan diam-diam menambal salah satunya pada bulan Juli dengan rilis 14,7 tanpa memberikan kredit dalam penasihat keamanan.

“Ketika saya bertemu mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya,” kata Tokarev. “Ada tiga rilis sejak itu dan mereka selalu melanggar janji mereka.”

Sejak itu, semua upaya yang dilakukan untuk mendapatkan penjelasan atas kegagalan Apple untuk memperbaiki kerentanan yang belum ditambal ini dan penolakan mereka untuk memberi kredit diabaikan meskipun lebih banyak nasihat keamanan, untuk iOS 14.7.1, iOS 14.8, dan iOS 15.0, telah diterbitkan sejak saat itu.

Setelah Apple menolak untuk menanggapi permintaan penjelasan, tanggal 24 September peneliti menerbitkan kode eksploit proof-of-concept untuk keempat iOS zero-days yang dia laporkan di GitHub, bersama dengan aplikasi yang mengumpulkan informasi sensitif dan menampilkannya di antarmuka pengguna:

  • Gamed 0-day (iOS 15.0): Bug dapat dieksploitasi melalui aplikasi yang diinstal pengguna dari App Store dan memberikan akses tidak sah ke data sensitif yang biasanya dilindungi oleh perintah TCC atau sandbox platform ($100.000 di halaman Program Bounty Keamanan Apple)
  • Nehelper Enumerate Installed Apps 0-day (iOS 15.0): Mengizinkan aplikasi yang dipasang pengguna untuk menentukan apakah ada aplikasi yang diinstal pada perangkat yang diberikan ID bundelnya.
  • Nehelper Wifi Info 0-day (iOS 15.0): Memungkinkan aplikasi apa pun yang memenuhi syarat (misalnya, memiliki otorisasi akses lokasi) untuk mendapatkan akses ke informasi Wifi tanpa hak yang diperlukan.
  • Analyticsd (diperbaiki di iOS 14.7): Mengizinkan aplikasi yang dipasang pengguna untuk mengakses log analitik:

Selengkapnya: Bleeping Computer

Bug zero-day macOS baru memungkinkan penyerang menjalankan perintah dari jarak jauh

by

Peneliti keamanan mengungkapkan kerentanan baru di MacOS Finder Apple, yang memungkinkan penyerang menjalankan perintah di Mac yang menjalankan versi macOS apa pun hingga rilis terbaru, Big Sur.

Bug, yang ditemukan oleh peneliti keamanan independen Park Minchan, disebabkan oleh cara macOS memproses file inetloc, yang secara tidak sengaja menyebabkannya menjalankan perintah apa pun yang disematkan oleh penyerang tanpa peringatan apa pun.

Di macOS, file lokasi Internet dengan ekstensi .inetloc adalah penanda seluruh sistem yang dapat digunakan untuk membuka sumber daya online (news://, ftp://, afp://) atau file lokal (file://).

“Kerentanan di macOS Finder memungkinkan file yang ekstensinya inetloc untuk menjalankan perintah arbitrer,” advisory SSD Secure Disclosure mengungkapkan.

“File-file ini dapat disematkan di dalam email yang jika pengguna mengkliknya akan menjalankan perintah yang tertanam di dalamnya tanpa memberikan prompt atau peringatan kepada pengguna.”

Sementara Apple diam-diam memperbaiki masalah tanpa menetapkan nomor identifikasi CVE, seperti yang ditemukan kemudian oleh Minchan, patch Apple hanya mengatasi sebagian kekurangannya karena masih dapat dieksploitasi dengan mengubah protokol yang digunakan untuk menjalankan perintah yang disematkan dari file:// ke File://.

Meskipun peneliti tidak memberikan informasi apa pun tentang bagaimana penyerang dapat menyalahgunakan bug ini, bug ini berpotensi digunakan oleh pelaku ancaman untuk membuat lampiran email berbahaya yang dapat meluncurkan paket atau muatan jarak jauh saat dibuka oleh target.

Seumber: Bleeping Computer

Bug Baru di Microsoft Windows Dapat Membiarkan Peretas Menginstal Rootkit dengan Mudah

by

Peneliti keamanan telah mengungkapkan kelemahan yang belum ditambal di Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi untuk menginstal rootkit dan membahayakan integritas perangkat.

“Kelemahan ini membuat setiap sistem Windows rentan terhadap serangan yang dibuat dengan mudah yang memasang tabel khusus vendor palsu,” kata peneliti dari Eclypsium dalam sebuah laporan yang diterbitkan pada hari Senin. “Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, dengan akses jarak jauh, atau melalui rantai pasokan pabrikan. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan inisiatif seperti Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT di mana-mana.”

WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan “boot firmware untuk menyediakan Windows dengan platform binary yang dapat dijalankan oleh sistem operasi.”

Dengan kata lain, ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari image ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan kode sistem operasi apa pun.

Tujuan utama WPBT adalah untuk memungkinkan fitur penting seperti perangkat lunak anti-theft tetap ada bahkan dalam skenario di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu “menempel pada perangkat tanpa batas waktu,” Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.

Kerentanan yang ditemukan oleh perusahaan keamanan enterprise firmware berakar pada kenyataan bahwa mekanisme WPBT dapat menerima binary yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani binary berbahaya dengan dengan sertifikat kedaluwarsa yang sudah tersedia dan menjalankan kode berbahaya dengan hak kernel saat perangkat melakukan booting.

Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk mengontrol secara ketat binari apa yang dapat diizinkan untuk berjalan di perangkat.

Selengkapnya: The Hacker News

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

by

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News