Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Penipu memanfaatkan Clubhouse yang sedang populer untuk mendorong aplikasi Android berbahaya

by

Sebuah aplikasi jahat baru sedang berputar-putar dengan berpura-pura menjadi versi Android Clubhouse yang paling banyak dicari.

Clubhouse adalah aplikasi obrolan audio khusus undangan yang memungkinkan pengguna mendengarkan percakapan secara real-time. Perhatian di sekitar aplikasi meledak setelah Elon Musk men-tweet tentang aplikasi tersebut, tetapi sebagai layanan gratis yang hanya tersedia saat ini di iOS, pemegang perangkat Android mungkin merasa agak ketinggalan.

Startup tersebut belum meluncurkan Clubhouse versi Android, tetapi hingga saat itu, para penipu berharap untuk dapat menipu pengguna agar mengunduh perangkat lunak berbahaya.

Pada hari Jumat, ESET mengungkapkan penemuan aplikasi Android yang disajikan dari tiruan situs web Clubhouse. Meskipun untungnya tidak ditemukan telah terselip pada jaring keamanan di Google Play – gudang resmi untuk aplikasi Android – peneliti Lukas Stefanko mengatakan situs web tersebut menggunakan tombol “Dapatkan di Google Play” untuk mencoba dan membodohi pengunjung agar percaya bahwa aplikasi itu sah.

Sumber: ESET

Jika diunduh dan dijalankan, .APK berbahaya akan menyebarkan BlackRock, Trojan perbankan yang mampu melakukan pencurian data ekstensif.

Dalam hal pencurian informasi, BlackRock tidak hanya dapat mencuri informasi perangkat / OS dan pesan teks. Sebaliknya, ESET mengatakan malware tersebut dilengkapi untuk mencuri konten dari 458 layanan online.

Selengkapnya: ZDNet

Microsoft Defender Antivirus sekarang secara otomatis memitigasi kerentanan Exchange Server

by

Microsoft telah menerapkan alat mitigasi otomatis dalam Defender Antivirus untuk mengatasi kerentanan kritis di Exchange Server.

Pada 18 Maret, raksasa Redmond mengatakan perangkat lunak tersebut akan secara otomatis memitigasi CVE-2021-26855, kerentanan parah yang secara aktif dieksploitasi di alam liar.

Microsoft merilis perbaikan darurat untuk kelemahan keamanan pada 2 Maret dan memperingatkan bahwa kelompok ancaman yang disponsori negara bernama Hafnium secara aktif mengeksploitasi bug, dan sejak itu, puluhan ribu organisasi dicurigai telah diserang.

Setidaknya ada 10 grup advanced persistent threat (APT) lainnya telah memanfaatkan peluang pada patch yang lambat atau terfragmentasi.

Penerapan pembaruan intelijen keamanan terkini untuk Microsoft Defender Antivirus dan System Center Endpoint Protection berarti bahwa mitigasi akan diterapkan pada server Exchange yang rentan saat perangkat lunak diterapkan, tanpa masukan lebih lanjut dari pengguna.

Menurut perusahaan, Antivirus Pertahanan Microsoft akan secara otomatis mengidentifikasi jika server rentan dan menerapkan perbaikan mitigasi sekali per mesin.

Jika pembaruan otomatis tidak diaktifkan, disarankan agar pengguna menginstal pembaruan baru secara manual dan memastikan perangkat lunak mereka ditingkatkan ke setidaknya versi 1.333.747.0, atau yang lebih baru. Perlindungan cloud tidak diperlukan untuk menerima perbaikan mitigasi tetapi perusahaan merekomendasikan agar fitur ini diaktifkan sebagai praktik terbaik.

Sumber: ZDNet

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

by

Pembuat undang-undang dan lembaga penegak hukum di seluruh dunia, termasuk di Amerika Serikat, semakin menyerukan backdoor dalam skema enkripsi yang melindungi data Anda, dengan alasan bahwa keamanan nasional dipertaruhkan.

Tetapi penelitian baru menunjukkan pemerintah sudah memiliki metode dan alat yang, baik atau buruk, memungkinkan mereka mengakses smartphone yang terkunci berkat kelemahan dalam skema keamanan Android dan iOS.

Kriptografer di Universitas Johns Hopkins menggunakan dokumentasi yang tersedia untuk umum dari Apple dan Google serta analisis mereka sendiri untuk menilai kekuatan enkripsi Android dan iOS.

Saat Anda mengunci ponsel dengan kode sandi, kunci sidik jari, atau kunci pengenalan wajah, ini mengenkripsi konten pada perangkat. Bahkan jika seseorang mencuri ponsel Anda dan menarik datanya, mereka tidak akan mendapatkan apapun. Mendekode semua data akan membutuhkan kunci yang hanya dibuat ulang saat Anda membuka kunci ponsel dengan kode sandi, atau pengenalan wajah atau jari. Dan ponsel cerdas saat ini menawarkan banyak lapisan perlindungan ini dan kunci enkripsi yang berbeda untuk berbagai tingkat data sensitif.

Dengan semua pemikiran itu, para peneliti berasumsi akan sangat sulit bagi penyerang untuk menemukan salah satu kunci itu dan membuka kunci sejumlah data. Tapi bukan itu yang mereka temukan.

Saat iPhone dimatikan dan dinyalakan, semua data berada dalam status yang disebut Apple “Perlindungan Lengkap”. Anda masih bisa dipaksa untuk membuka kunci ponsel Anda, tentu saja, tetapi alat forensik yang ada akan kesulitan menarik data yang dapat dibaca darinya.

Namun, setelah Anda membuka kunci ponsel Anda pertama kali setelah reboot, banyak data berpindah ke mode yang berbeda — Apple menyebutnya “Protected Until First User Authentication”, tetapi peneliti sering menyebutnya “After First Unlock” (AFU). Jadi seberapa efektif keamanan AFU? Di situlah para peneliti mulai khawatir.

Perbedaan utama antara Complete Protection dan AFU berkaitan dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Saat data dalam status Complete Protection, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan dalam memori akses cepat, bahkan saat ponsel terkunci. Pada titik ini, penyerang dapat menemukan dan mengeksploitasi jenis kerentanan keamanan tertentu di iOS untuk mengambil kunci enkripsi yang dapat diakses di memori dan mendekripsi potongan besar data dari ponsel.

Para peneliti menemukan bahwa Android memiliki pengaturan yang mirip dengan iOS dengan satu perbedaan penting. Jika Apple memberikan opsi bagi pengembang untuk menyimpan beberapa data di bawah kunci Complete Protection yang lebih ketat sepanjang waktu — sesuatu yang mungkin diterapkan oleh aplikasi perbankan — Android tidak memiliki mekanisme itu setelah membuka kunci pertama. Alat forensik yang mengeksploitasi kerentanan yang tepat dapat mengambil lebih banyak kunci dekripsi, dan pada akhirnya mengakses lebih banyak data, di ponsel Android.

Untuk memahami perbedaan dalam status enkripsi ini, Anda dapat melakukan sedikit demo untuk diri Anda sendiri di iOS atau Android. Saat teman Anda menelepon ponsel Anda, namanya biasanya muncul di layar panggilan karena ada di kontak Anda. Tetapi jika Anda me-restart perangkat Anda, tidak membuka kunci terlebih dahulu, dan kemudian teman Anda menelepon Anda, hanya nomor mereka yang akan muncul, bukan nama mereka. Itu karena kunci untuk mendekripsi data buku alamat Anda belum ada di memori.

Selengkapnya: Wired

Pengembang Apple menjadi sasaran malware baru, EggShell backdoor

by

Proyek Xcode berbahaya digunakan untuk membajak sistem pengembang dan menyebarkan backdoor EggShell khusus.

Malware, yang dijuluki XcodeSpy, menargetkan Xcode, lingkungan pengembangan terintegrasi (IDE) yang digunakan di macOS untuk mengembangkan perangkat lunak dan aplikasi Apple.

Menurut penelitian yang diterbitkan oleh SentinelLabs pada hari Kamis, fitur Run Script di IDE sedang dieksploitasi dalam serangan bertarget terhadap pengembang iOS melalui proyek Trojanized Xcode yang dibagikan secara bebas secara online.

Proyek Xcode sumber terbuka yang sah dapat ditemukan di GitHub. Namun, dalam kasus ini, proyek XcodeSpy menawarkan “advanced features” untuk menganimasikan bilah tab iOS – dan setelah versi awal diunduh dan diluncurkan, skrip berbahaya diterapkan untuk memasang backdoor EggShell.

Dua varian EggShell telah terdeteksi – dan salah satunya berbagi string terenkripsi dengan XcodeSpy. Backdoor ini mampu membajak mikrofon, kamera, dan keyboard pengembang korban, serta mengambil dan mengirim file ke C2 penyerang.

SentinelLabs mengatakan bahwa setidaknya satu organisasi AS telah terperangkap dalam serangan seperti ini dan pengembang di Asia mungkin juga telah terpengaruh oleh kampanye, yang beroperasi setidaknya antara Juli dan Oktober tahun lalu.

Selengkapnya: ZDNet

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

by

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

    • Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.
      Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.
      Ini adalah pendekatan yang disarankan untuk penyebaran Exchange dengan akses Internet dan bagi mereka yang ingin mencoba remediasi otomatis.
      Sejauh ini, kami belum mengamati dampak apa pun pada fungsionalitas Exchange Server saat metode mitigasi ini diterapkan.

    • Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

    Source : Microsoft

    Bug kernel Linux berusia 15 tahun memungkinkan penyerang mendapatkan hak akses root

    by

    Tiga kerentanan yang ditemukan di subsistem iSCSI dari kernel Linux dapat memungkinkan penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

    Bug keamanan ini hanya dapat dieksploitasi secara lokal, yang berarti bahwa penyerang potensial harus mendapatkan akses ke perangkat yang rentan dengan mengeksploitasi kerentanan lain atau menggunakan vektor serangan alternatif.

    Peneliti GRIMM menemukan bug 15 tahun setelah diperkenalkan pada tahun 2006 selama tahap pengembangan awal subsistem kernel iSCSI.
    Menurut peneliti keamanan GRIMM Adam Nichols, kelemahan tersebut mempengaruhi semua distribusi Linux, tetapi untungnya, modul kernel scsi_transport_iscsi yang rentan tidak dimuat secara default.
    Namun, bergantung pada distribusi Linux yang mungkin ditargetkan penyerang, modul dapat dimuat dan dieksploitasi untuk eskalasi hak istimewa.

    “Kernel Linux memuat modul baik karena perangkat keras baru terdeteksi atau karena fungsi kernel mendeteksi bahwa ada modul yang hilang,” kata Nichols.
    “Kasus pemuatan otomatis implisit yang terakhir lebih mungkin untuk disalahgunakan dan dengan mudah dipicu oleh penyerang, memungkinkan mereka untuk meningkatkan permukaan serangan di kernel.”
    Pada sistem CentOS 8, RHEL 8, dan Fedora, pengguna yang tidak memiliki hak istimewa dapat secara otomatis memuat modul yang diperlukan jika paket rdma-core diinstal, “tambah Nichols.
    “Pada sistem Debian dan Ubuntu, paket rdma-core hanya akan secara otomatis memuat dua modul kernel yang diperlukan jika perangkat keras RDMA tersedia. Dengan demikian, cakupan kerentanannya jauh lebih terbatas.”

    Penyerang dapat menyalahgunakan bug untuk melewati fitur keamanan yang memblokir eksploitasi seperti Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP), dan Kernel Page-Table Isolation (KPTI).

    Tiga kerentanan dapat menyebabkan peningkatan lokal hak istimewa, kebocoran informasi, dan penolakan layanan:

    CVE-2021-27365: heap buffer overflow (Eskalasi Hak Istimewa Lokal, Kebocoran Informasi, Denial of Service)
    CVE-2021-27363: kebocoran penunjuk kernel (Kebocoran Informasi)
    CVE-2021-27364: pembacaan di luar batas (Kebocoran Informasi, Penolakan Layanan)

    Ketiga kerentanan ditambal pada kernel versi 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260, dan 4.4.260, dan tambalan tersedia di kernel Linux jalur utama pada 7 Maret. Tidak ada patch yang akan dirilis untuk versi kernel yang tidak didukung EOL seperti 3.x dan 2.6.23. kami sarankan untuk segera melakukan patch pada kernel anda.

    Source : Bleeping Computer

    Para ahli menemukan tiga bug baru berusia 15 tahun dalam modul kernel Linux

    by

    Peneliti GRIMM menemukan tiga kerentanan dalam komponen SCSI (Small Computer System Interface) dari kernel Linux, masalah tersebut dapat dieksploitasi oleh penyerang lokal dengan hak pengguna dasar untuk mendapatkan hak akses root pada sistem Linux yang belum ditambal.

    Antarmuka Sistem Komputer Kecil mendefinisikan bus I / O paralel dan protokol data untuk menghubungkan berbagai periferal (disk drive, tape drive, modem, printer, pemindai, drive optik, peralatan uji, dan perangkat medis) ke host komputer.
    Cacat ada pada komponen sejak dikembangkan pada tahun 2006.

    Kerentanan pertama, dilacak sebagai CVE-2021-27365, adalah heap buffer overflow di subsistem iSCSI.

    “Kerentanan dipicu dengan menyetel atribut string iSCSI ke nilai yang lebih besar dari satu halaman, lalu mencoba membacanya.” membaca analisis yang diterbitkan oleh peneliti GRIMM. “Lebih khusus lagi, pengguna tanpa hak istimewa dapat mengirim pesan netlink ke subsistem iSCSI (dalam driver / scsi / scsi_transport_iscsi.c) yang menetapkan atribut yang terkait dengan koneksi iSCSI, seperti nama host, nama pengguna, dll, melalui fungsi helper di driver / scsi /libiscsi.c. Atribut ini hanya dibatasi ukurannya dengan panjang maksimum pesan netlink (baik 232 atau 216 bergantung pada kode tertentu yang memproses pesan). ”

    Kerentanan kedua, dilacak sebagai CVE-2021-27363, adalah kerentanan heap overflow. Para peneliti menemukan kebocoran kernel pointer yang dapat digunakan untuk menentukan alamat struktur iscsi_transport.

    Cacat terakhir, dilacak sebagai CVE-2021-27364, adalah masalah pembacaan kernel di luar batas yang terdapat dalam modul libiscsi (drivers / scsi / libiscsi.c).

    selengkapnya : securityaffairs.co

    Kritikus muncul setelah Github menghapus kode eksploitasi untuk kerentanan Exchange

    by

    Github telah memicu badai api setelah repositori berbagi kode milik Microsoft menghapus eksploitasi bukti konsep untuk kerentanan kritis di Microsoft Exchange yang telah menyebabkan sebanyak 100.000 infeksi server dalam beberapa minggu terakhir.

    ProxyLogon adalah nama yang diberikan peneliti untuk empat kerentanan Exchange yang diserang di alam liar dan kode yang mengeksploitasinya. Para peneliti mengatakan bahwa Hafnium, sebuah grup peretas yang disponsori negara yang berbasis di China, mulai mengeksploitasi ProxyLogon pada bulan Januari, dan dalam beberapa minggu, lima APT lainnya — kependekan dari grup ancaman persisten tingkat lanjut — mengikutinya. Sampai saat ini, tidak kurang dari 10 APT telah menggunakan ProxyLogon untuk menargetkan server di seluruh dunia.

    Pada hari Rabu, seorang peneliti menerbitkan apa yang diyakini sebagai eksploitasi bukti-konsep (PoC) pertama yang berfungsi untuk kerentanan. Berbasis di Vietnam, peneliti juga menerbitkan postingan di Medium yang menjelaskan cara kerja exploit. Dengan beberapa penyesuaian, peretas akan memiliki sebagian besar dari apa yang mereka butuhkan untuk meluncurkan RCE mereka sendiri di alam liar, kata keamanan untuk eksploitasi eksekusi kode jarak jauh.

    Menerbitkan eksploitasi PoC untuk kerentanan yang ditambal adalah praktik standar di antara peneliti keamanan. Ini membantu mereka memahami cara kerja serangan sehingga mereka dapat membangun pertahanan yang lebih baik. Kerangka peretasan Metasploit open source menyediakan semua alat yang dibutuhkan untuk mengeksploitasi puluhan ribu eksploitasi yang ditambal dan digunakan oleh topi hitam dan topi putih.

    Dalam beberapa jam setelah PoC ditayangkan, Github menghapusnya. Pada hari Kamis, beberapa peneliti mengomel tentang penghapusan tersebut. Kritikus menuduh Microsoft menyensor konten yang sangat penting bagi komunitas keamanan karena merugikan kepentingan Microsoft. Beberapa kritikus berjanji untuk menghapus sebagian besar karya mereka di Github sebagai tanggapan.

    selengkapnya : Arstechnica