Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Mengapa Google memperingatkan pengguna Android untuk memperbarui Microsoft Teams secepatnya

by

Google telah mengirimkan peringatan penting kepada pengguna Android tentang aplikasi Microsoft Teams.

Sebuah bug ditemukan di aplikasi Microsoft Teams versi Android bulan lalu yang dapat memblokir panggilan yang dilakukan ke nomor darurat.

Awalnya, diperkirakan hanya panggilan yang dilakukan ke nomor darurat AS, 911, yang diblokir tetapi sekarang Google telah mengungkapkan panggilan ke nomor darurat lain seperti 999 di Inggris dan 112 di Eropa juga dapat terpengaruh.

Meskipun perbaikan penuh akan datang ke ponsel Android pada pembaruan Januari 2022, Google telah mengeluarkan email kepada semua pengguna yang mendesak mereka untuk memperbarui aplikasi Microsoft Teams mereka.

Email yang dikirim oleh Google mengatakan: “Halo, Anda mungkin memiliki versi aplikasi Microsoft Teams yang diinstal pada perangkat Android yang mungkin secara tidak sengaja mencegah panggilan darurat (misalnya 911, 999, 112, dll. tergantung pada wilayah Anda) saat Anda berada tidak masuk ke aplikasi.

“Masalah ini disebabkan oleh interaksi yang tidak disengaja antara aplikasi Microsoft Teams dan sistem operasi Android yang mendasarinya. Silakan kunjungi Google Play Store dan segera perbarui ke versi terbaru Microsoft Teams.”

Pesan tersebut menambahkan: “Jika Anda telah memperbarui aplikasi Microsoft Teams setelah 10 Desember 2021, Anda dapat mengabaikan email ini.”

Versi terbaru Microsoft Teams untuk Android dirilis pada 18 Desember, dengan build 1416/1.0.0.2021195305.

Selengkapnya: NYPost

Samsung Galaxy Store mendistribusikan aplikasi yang dapat menginfeksi ponsel dengan malware

by

Aplikasi pembajakan film ‘Showbox’ yang berpotensi palsu memicu peringatan Play Protect, dan penyelidikan menunjukkan bahwa mereka dapat mengunduh malware

Max Weinbach dari Android Police pertama kali mencatat masalah tadi malam, melihat beberapa aplikasi berbasis Showbox yang didistribusikan di Galaxy Store, beberapa di antaranya memicu peringatan Google Play Protect saat diinstal.

Analisis salah satu apk Showbox di Virustotal menunjukkan lebih dari selusin peringatan tingkat rendah dari vendor keamanan mulai dari “riskware” hingga adware. Beberapa aplikasi juga meminta izin lebih dari yang Anda harapkan, termasuk akses ke kontak, log panggilan, dan telepon.

Penyelidikan selanjutnya mengungkapkan bahwa teknologi iklan dalam aplikasi mampu melakukan eksekusi kode dinamis, sementara aplikasi itu sendiri saat didistribusikan tidak secara langsung mengandung malware, namun dapat mengunduh dan menjalankan kode lain yang dapat mencakup malware. Linuxct menambahkan bahwa ada sangat sedikit kasus penggunaan yang sah untuk fungsi ini, dan itu dapat dipersenjatai dengan mudah. “Jadi sewaktu-waktu bisa menjadi trojan/malware, oleh karena itu tidak aman dan oleh karena itu banyak vendor menandainya di VT/Play Protect.” Masalah serupa didokumentasikan di setidaknya dua aplikasi Showbox di Galaxy Store, meskipun itu juga dapat memengaruhi yang lain.

Deskripsi aplikasi mengklaim bahwa mereka tidak menghosting konten bajakan dan tidak mengaktifkan pembajakan. Kami belum menguji setiap aplikasi yang melanggar satu per satu, mengingat sifat peringatan yang dilampirkan pada pemasangannya, dan tidak dapat secara langsung mengonfirmasi apakah aplikasi saat ini menyediakan akses ke konten bajakan. Namun, nama tersebut memiliki reputasi itu, dan “pakar” lain yang lebih memilih untuk tetap anonim meyakinkan saya bahwa aplikasi tersebut pada satu titik memungkinkan pembajakan. Sumber aplikasi Showbox yang dihosting sendiri membuat klaim serupa, mengiklankan aplikasi sebagai aplikasi “basis data film” dengan VPN terintegrasi — wink wink

Subreddit Showbox mencatat bahwa Showbox “turun”, telah berlangsung selama hampir dua tahun, dan bahwa situs web dan aplikasi pihak ketiga yang mengaku terkait adalah “palsu.” Google, kami harus perhatikan, tidak meng-host aplikasi apa pun yang dipermasalahkan di Play Store.

Samsung Galaxy Store tidak melacak jumlah penginstalan, tetapi aplikasi yang dipermasalahkan secara kumulatif memiliki ratusan ulasan, termasuk beberapa yang mencatat peringatan malware pada saat penginstalan. Kami telah menghubungi Samsung untuk menanyakan apakah mereka mengetahui bahwa Galaxy Store-nya mungkin mendistribusikan malware atau apakah mereka mengetahui reputasi Showbox untuk mengaktifkan pembajakan, tetapi perusahaan tidak segera menanggapi pertanyaan kami. Kami juga telah menghubungi pengembang beberapa aplikasi yang dipermasalahkan, tetapi setidaknya salah satu email kontak yang terdaftar terpental kembali.

Sumber : Android Police

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer

Malware BLISTER menyelinap masuk tanpa diketahui di sistem Windows

by

Peneliti keamanan telah menemukan kampanye jahat yang mengandalkan sertifikat penandatanganan kode yang valid untuk menyamarkan kode berbahaya sebagai file executable yang sah.

Salah satu muatan yang oleh para peneliti disebut Blister, bertindak sebagai pemuat malware lain dan tampaknya menjadi ancaman baru yang menikmati tingkat deteksi rendah.

Pelaku ancaman di balik Blister telah mengandalkan beberapa teknik untuk menjaga serangan mereka di bawah radar, penggunaan sertifikat penandatanganan kode hanya salah satu trik mereka.

Dalam posting blog minggu ini, Elastic mengatakan bahwa mereka secara bertanggung jawab melaporkan sertifikat yang disalahgunakan ke Sectigo sehingga dapat dicabut.

Para peneliti mengatakan bahwa pelaku ancaman mengandalkan berbagai teknik untuk menjaga agar serangan tidak terdeteksi. Salah satu metodenya adalah menyematkan malware Blister ke pustaka yang sah (mis. colorui.dll).

Malware kemudian dieksekusi dengan hak istimewa melalui perintah rundll32. Ditandatangani dengan sertifikat yang valid dan digunakan dengan hak administrator membuat Blister lolos dari solusi keamanan.

Pada langkah berikutnya, Blister memecahkan kode dari kode bootstrap bagian sumber daya yang “sangat dikaburkan,” kata peneliti Elastic. Selama sepuluh menit, kode tetap tidak aktif, kemungkinan dalam upaya untuk menghindari analisis sandbox.

Kemudian beraksi dengan mendekripsi muatan tertanam yang menyediakan akses jarak jauh dan memungkinkan gerakan lateral: Cobalt Strike dan BitRAT – keduanya telah digunakan oleh beberapa pelaku ancaman di masa lalu.

Selengkapnya: Bleeping Computer

Windows 10 21H2 menambahkan perlindungan ransomware ke Dasar Keamanan

by

Microsoft telah merilis versi final pengaturan dasar konfigurasi keamanan untuk Windows 10, versi 21H2, tersedia hari ini dari Microsoft Security Compliance Toolkit.

“Pembaruan fitur Windows 10 ini membawa sangat sedikit pengaturan kebijakan baru,” kata konsultan keamanan Microsoft Rick Munck.

“Satu pengaturan telah ditambahkan untuk rilis ini untuk pembatasan penginstalan driver printer (yang juga ditambahkan ke rilis Windows 11). Selain itu, semua pengaturan Microsoft Edge Legacy telah dihapus,”

Namun, sorotan dari dasar keamanan Windows 10 yang baru adalah penambahan tamper protection sebagai pengaturan yang diaktifkan secara default (ini juga dibuat sebagai pengaturan default di dasar keamanan Windows 11 dua bulan lalu).

Saat mengaktifkan Microsoft Security Baseline untuk Windows 10 21H2, Microsoft mendesak admin untuk mengaktifkan fitur perlindungan tamper Defender for Endpoint untuk melindungi dari serangan ransomware yang dioperasikan oleh manusia.

Fitur ini melakukannya dengan memblokir upaya operator ransomware atau malware untuk menonaktifkan fitur keamanan OS dan solusi keamanan untuk mendapatkan akses yang lebih mudah ke data sensitif dan menyebarkan malware atau alat berbahaya lainnya.

Perlindungan tamper secara otomatis mengunci Microsoft Defender Antivirus menggunakan nilai aman default, menggagalkan upaya untuk mengubahnya menggunakan registri, cmdlet PowerShell, atau kebijakan grup.

Dengan dasar keamanan Windows 10 21H2 yang baru, Microsoft menghapus semua pengaturan Microsoft Edge Legacy setelah browser web berbasis EdgeHTML-nya mencapai masa akhir dukungan pada bulan Maret.

Dasar keamanan Windows 10 21H2 sekarang tersedia untuk diunduh melalui Microsoft Security Compliance Toolkit, dan mencakup pencadangan dan laporan Group Policy Object (GPO), skrip yang diperlukan untuk menerapkan pengaturan ke GPO lokal, serta aturan Policy Analyzer.

Selengkapnya: Bleeping Computer

Mengapa Kamu Harus Menghapus Cookie, Cache Di Browser Ponsel Android Kamu

by

Aplikasi browser web ponsel Android kamu mungkin diisi dengan data yang terkumpul setiap hari saat kamu menjelajah internet. Data ini memiliki beberapa fungsi yang berbeda, biasanya mengisi cache dan cookie browser web kamu. Ini dapat membantu meningkatkan seberapa cepat browser mu memuat dengan menyimpan aset dari situs web yang sering kamu kunjungi serta menyimpan preferensi, seperti membiarkan kamu tetap login ke situs web tertentu.

Tapi, cookie juga dapat digunakan oleh situs web untuk melacak riwayat penjelajahan kamu, seringkali dengan tujuan untuk menayangkan iklan yang dipersonalisasi hampir ke mana pun kamu pergi.

Selain itu, semakin besar cache browser mu, semakin membengkak aplikasi browser kamu dengan data dari situs web yang mungkin tidak kamu kunjungi lagi — namun beberapa aset mereka dan mungkin beberapa cookie pelacak mungkin masih tersimpan di sana.

Jadi, tidak ada salahnya untuk sesekali menghapus data ini agar browser web kamu tetap ramping, berjalan efisien dan ideal, menyimpan cookie pelacakan sesedikit mungkin.

Google Chrome

Kamu dapat menghapus cookie dan cache dari dalam Google Chrome versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol History, lalu pilih Clear browsing data

Atau :

  • Kamu juga dapat mengakses ini dari menu Chrome Settings
  • Kemudian pilih Privacy and Security
  • Pilih Time Range yang diinginkan
  • lalu Klik Clear browsing data.

Mozilla Firefox

Kamu dapat menghapus cookie dan cache dari dalam Mozilla Firefox versi Android dengan mengikuti langkah berikut:

  • Tap Tombol More (dilambangkan sebagai tiga titik vertikal) di pojok kanan atas browser
  • Kemudian tap tombol Settings, lalu pilih Delete browsing data

Firefox juga memberi opsi terbanyak di bawah menu Delete browsing data, yang memungkinkan kamu untuk menghapus Open tabs, Browsing history dan site data, Site permissions dan bahkan folder Downloads kamu bersama dengan Cookie dan Cached Gambar dan file.

Selengkapnya: CNET

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

by

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 21 Elevation of Privilege Vulnerabilities
  • 26 Remote Code Execution Vulnerabilities
  • 10 Information Disclosure Vulnerabilities
  • 3 Denial of Service Vulnerabilities
  • 7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer