Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Microsoft Merilis Pembaruan Keamanan Darurat Untuk Memperbaiki Dua Bug Dalam Codec Windows

by

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band untuk menambal dua kerentanan di Microsoft Windows Codecs Library pada hari Selasa lalu.

Dilacak sebagai CVE-2020-1425 & CVE-2020-1457, kedua bug tersebut hanya berdampak pada distribusi Windows 10 dan Windows Server 2019.

Dalam penasihat keamanan yang diterbitkan pada hari Rabu, Microsoft mengatakan dua kelemahan keamanan dapat dieksploitasi dengan bantuan file gambar yang dibuat khusus.

Jika gambar yang cacat dibuka di dalam aplikasi yang memanfaatkan Libary Codec Windows bawaan untuk menangani konten multimedia, maka penyerang akan diizinkan untuk menjalankan kode berbahaya pada komputer Windows dan berpotensi mengambil alih perangkat.

Patch telah dikerahkan ke sistem pelanggan melalui pembaruan ke Library Codec Windows, dikirim melalui aplikasi Windows Store – bukan mekanisme Pembaruan Windows.

“Pengguna tidak perlu mengambil tindakan apa pun untuk menerima pembaruan,” kata Microsoft.

Redmond mengatakan bug dilaporkan secara pribadi dan mereka belum pernah digunakan di dunia nyata sebelum patch rilis kemarin.

Pembuat OS mengatakan mereka mengetahui bug setelah sebuah laporan dari Trend Micro’s Zero Day Initiative, sebuah program yang menjadi penengah komunikasi antara peneliti keamanan dan perusahaan besar. Microsoft memuji Abdul-Aziz Hariri yang pertama kali menemukan bug ini, sebelum meneruskannya ke tim ZDI.

Source: ZDNet

Hati-Hati! Segera Hapus 25 Aplikasi Android Ini Yang Bisa Mencuri Login Facebook Anda

by

Google telah menghapus 25 aplikasi berbahaya dari Google Play Store setelah perusahaan keamanan siber Perancis, Evina, menemukan malware peretas Facebook di dalam aplikasi-aplikasi tersebut. Sebelum dihapus, ke 25 aplikasi tersebut secara kolektif diunduh lebih dari 2,34 juta kali.

Daftar aplikasi mencakup alat senter, pedometer, editor gambar, dan lainnya, tetapi semua pada dasarnya adalah aplikasi yang sama. Memang tampilan dan fitur aplikasi berbeda-beda, namun mereka semua berisi kode jahat yang sama yang dibuat untuk mencuri informasi login Facebook Anda.

Saat dibuka, aplikasi jahat akan memeriksa apakah aplikasi Facebook terbuka di latar belakang, lalu menyelipkan tab browser dengan halaman login Facebook palsu ke jendela aplikasi latar belakang yang terbuka, yang membujuk Anda untuk mengisi nya. Halaman palsu akan menyalin login dan kata sandi Anda dan mengirimkannya ke sebuah server jarak jauh.

Sumber: Evina

Aplikasi yang dihapus dari Google Play seharusnya secara otomatis terhapus dari perangkat apa pun yang memasangnya, tetapi ada baiknya memeriksa ulang — terutama jika Anda memiliki aplikasi sideload di perangkat Anda. Jika terpengaruh, Anda harus mengatur ulang kata sandi Facebook Anda dan memperbarui pengaturan keamanan Anda dengan mengaktifkan otentikasi dua faktor segera.

Memeriksa izin aplikasi sebelum memasangnya memang sangat penting untuk keamanan data, tetapi Anda tidak boleh lengah hanya karena izinnya tampak baik-baik saja. Karena aplikasi ini menggunakan halaman facebook palsu untuk melancarkan serangannya, bukan dengan melakukan sesuatu yang tidak diinginkan di balik layar.

Banyak aplikasi malware dan kampanye phishing mencoba mencuri info akun media sosial Anda dengan halaman login palsu. Strategi teraman adalah hanya login melalui aplikasi resmi platform media sosial.

Itu sebabnya memiliki lapisan keamanan ekstra di semua akun Anda sangatlah penting: karena jika kata sandi Anda dicuri, akan sulit bagi seseorang untuk menerobos masuk jika mereka tidak memiliki akses ke kode 2FA Anda.

Berikut adalah dafat Aplikasi nya:

Sumber: Evina

 

Untuk berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Life Hacker

Alat Windows File Recovery baru dari Microsoft memungkinkan Anda mengambil dokumen yang Telah dihapus

by

Dilansir dari theverge.com, Microsoft telah merilis alat Windows File Recovery-nya sendiri, yang dirancang untuk mengambil file yang telah terhapus secara tidak sengaja. Windows File Recovery adalah aplikasi baris perintah (command line) yang akan memulihkan berbagai file dan dokumen dari hard drive lokal, drive USB, dan bahkan kartu SD dari kamera. Namun pemulihan file di penyimpanan cloud atau berbagi file jaringan lainnya tidak didukung.

Seperti alat pemulihan file lainnya, Anda harus menggunakannya sesegera mungkin pada file yang telah dihapus untuk memastikan mereka belum ditimpa (overwritten). Anda dapat menggunakan alat baru Microsoft ini untuk memulihkan file MP3, video MP4, dokumen PDF, gambar JPEG, dan dokumen Word, Excel, dan PowerPoint.

Alat pemulihan file Microsoft memiliki mode default yang dirancang terutama untuk sistem file NTFS. Ini akan memulihkan file dari disk yang rusak atau setelah Anda memformat disk. Mode signature kedua kemungkinan akan menjadi opsi yang lebih populer, memungkinkan pengguna untuk memulihkan jenis file tertentu di seluruh sistem file FAT, exFAT, dan ReFS. Mode signature ini juga membutuhkan waktu lebih lama untuk mengambil file.

Windows File Recovery akan menjadi alat yang berguna bagi siapa saja yang secara tidak sengaja menghapus dokumen penting, atau menghapus drive secara tidak sengaja. Microsoft sudah menyediakan fitur Versi Sebelumnya di Windows 10 yang memungkinkan Anda memulihkan dokumen yang mungkin telah Anda hapus, tetapi Anda harus mengaktifkannya secara khusus menggunakan fitur Riwayat File yang dinonaktifkan secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Verge

Ransomware Mac Baru Ditemukan di Aplikasi Mac Bajakan

by

Peneliti keamanan dari Malwarebytes menemukan adanya Varian baru ransomware Mac ‘EvilQuest’ menyebar melalui aplikasi Mac bajakan. Ransomware baru ini ditemukan dalam unduhan bajakan untuk aplikasi Little Snitch yang ditemukan di forum Rusia.

Tepat dari titik pengunduhan, jelas ada sesuatu yang salah dengan versi ilegal Snitch karena memiliki paket penginstal generik. Memang setelah diunduh akan menginstal versi Little Snitch yang sebenarnya, tetapi juga menginstal file tambahan yang dapat dieksekusi bernama “Patch” ke direktori /Users/Shared dan skrip post-install untuk menginfeksi mesin.

Script instalasi memindahkan file Patch ke lokasi baru dan menamainya CrashReporter, sebuah proses macOS yang sah, menjaganya tetap tersembunyi di Activity Monitor. Dari sana, file Patch menginstal dirinya sendiri di beberapa tempat di Mac.

Ransomware mengenkripsi pengaturan dan file data pada Mac, seperti file Keychain, dan menghasilkan kegagalan ketika mencoba mengakses Keychain iCloud. Finder juga tidak berfungsi setelah instalasi, dan ada masalah dengan dock dan aplikasi lainnya.

Malwarebytes menemukan bahwa ransomware ini berfungsi dengan buruk dan tidak ada instruksi untuk membayar uang tebusan, tetapi tangkapan layar yang ditemukan di forum tempat perangkat lunak berbahaya itu berawal menunjukkan bahwa pengguna dimeminta untuk membayar $50 untuk memulihkan akses ke file mereka.

Catatan: siapa pun yang terinfeksi ransomware ini atau ransomware apa pun tidak boleh membayar biaya, karena itu tidak menghapus malware.

Tangkapan layar pesan enkripsi yang dipost ke forum RUTracker

Bersamaan dengan aktivitas ransomeware, malware juga dapat menginstal keylogger, tetapi apa yang dilakukan malware dengan fungsi ini tidak diketahui.

Ransomware serupa juga ditemukan di aplikasi bajakan lainnya, pengguna Mac dapat menghindarinya dengan tidak mengunduh aplikasi bajakan dari situs web dan forum yang tidak dapat dipercaya.

 

Source: MacRumors

Peringatan — Apple Tiba-tiba Menangkap Bahas TikTok Sedang Memata-matai Jutaan Pengguna iPhone

by

Sebuah aplikasi, TikTok, tertangkap sedang mengintip pengguna iPhone, kata seorang peneliti keamanan Talal Haj Bakry dan Tommy Mysk. Mengingat kekhawatiran keamanan lain yang diangkat tentang aplikasi tersebut, serta kekhawatiran yang lebih luas mengingat asal-usul China-nya, ini menjadi masalah utama semua orang. Sebelumnya, pemilik TikTok Bytedance mengatakan kepada Forbes masalah ini terkait dengan adanya penggunaan SDK iklan Google yang sudah usang yang sedang diganti.

Dilansir dari Forbes, dengan dirilisnya peringatan clipboard baru dalam versi beta dari iOS 14, TikTok tampaknya telah tertangkap basah menyalahgunakan clipboard dengan cara yang sangat luar biasa. Jadi sepertinya TikTok tidak menghentikan praktik invasif ini pada bulan April seperti yang dijanjikan.

Menurut Telegraph, TikTok sekarang mengatakan masalah ini disebabkan oleh “fitur yang dirancang untuk mengidentifikasi perilaku spam yang berulang-ulang,” dan telah meyakinkan bahwa mereka telah “mengirimkan versi pembaruan aplikasi ke App Store dan menghapus fitur anti-spam untuk menghilangkan potensi kebingungan.”

TikTok juga mengatakan bahwa platform “berkomitmen untuk melindungi privasi pengguna dan transparan tentang cara kerja aplikasi kami.”

Sekarang ketika adanya perubahan keamanan dan privasi pada Apple iOS 14 telah menangkap mereka masih melakukan sesuatu yang seharusnya tidak mereka lakukan. Sesuatu yang mereka katakan sudah diperbaiki.

Masalah paling kritis dengan kerentanan ini adalah fungsionalitas clipboard universal Apple, yang berarti bahwa apa pun yang disalin di Mac atau iPad dapat dibaca oleh iPhone pengguna juga, dan sebaliknya. Jadi, jika TikTok aktif di ponsel Anda saat Anda bekerja, aplikasi ini pada dasarnya dapat membaca apa saja dan semua yang Anda salin di perangkat lain: Kata sandi, dokumen kerja, email sensitif, informasi keuangan. Apa pun.

Semua pengguna iPhone harus memperbarui ke versi terbaru TikTok segera setelah dirilis — dan mengingat itu secara aktif membaca clipboard Anda, Anda mungkin ingin mempertimbangkan menggunakan aplikasi itu sebelum adanya pembaruan.

 

Berita selengkapnya:
Source: Forbes

Lucifer: Malaikat Jahat Yang Menyalahgunakan Kerentanan Kritis Pada Mesin Windows

by

Jenis baru cryptojacking yang kuat dan malware berbasis DDoS mengeksploitasi kerentanan parah untuk menginfeksi mesin Windows.

Dilansir dari ZDNet, malware yang disebut Lucifer ini adalah bagian dari kampanye aktif yang menyerang host Windows dan menggunakan berbagai weaponized exploits dalam gelombang serangan terbaru yang diungkapkan oleh Unit 42 Palo Alto Networks.

Dalam sebuah blog, peneliti Ken Hsu, Durgesh Sangvikar, Zhibin Zhang dan Chris Navarrete mengatakan bahwa varian terbaru Lucifer, v.2, ditemukan pada 29 Mei ketika menyelidiki eksploitasi CVE-2019-9081, bug deserialisasi pada Laravel Framework yang dapat disalahgunakan untuk melakukan serangan eksekusi kode jarak jauh (RCE). Setelah diteliti lebih lanjut, tampaknya ini hanyalah satu dari banyak kerentanan yang digunakan oleh aktor malware.

Lucifer dianggap sebagai malware hybrid yang kuat yang mampu melakukan cryptojacking dan memanfaatkan mesin yang terinfeksi untuk melakukan serangan Distributed Denial-of-Service (DDoS).

Malware akan memindai TCP port 135 (RPC) dan 1433 (MSSQL) yang terbuka untuk menemukan target dan akan menggunakan serangan credential-stuffing untuk mendapatkan akses. Malware dapat menginfeksi targetnya melalui IPC, WMI, SMB, dan FTP melalui serangan brute-force, serta melalui MSSQL, RPC, dan berbagi jaringan, kata para peneliti.

Setelah berada pada mesin yang terinfeksi, malware menjatuhkan XMRig, sebuah program yang digunakan untuk menambang cryptocurrency Monero (XMR) secara diam-diam.

Lucifer juga akan terhubung ke server perintah-dan-kontrol (C2) untuk menerima perintah – seperti meluncurkan serangan DDoS – mentransfer data sistem curian, dan terus memberi informasi kepada operator tentang status penambang cryptocurrency Monero.

Untuk menyebar, Lucifer menggunakan berbagai kerentanan dan serangan brute-force untuk mengkompromikan host tambahan yang terhubung ke titik infeksi awal.

Lucifer juga akan berusaha menghindari deteksi atau melakukan reverse engineering dengan memeriksa keberadaan sanbox atau mesin virtual. Jika salah satunya ditemukan, maka malware akan memasuki “infinite loop” yang menghentikan operasi.

Gelombang serangan pertama menggunakan Lucifer v.1 terdeteksi pada 10 Juni. Sehari kemudian, malware ditingkatkan menjadi v.2, yang “mendatangkan malapetaka” pada mesin target, kata tim peneliti, dan pada saat penulisan serangan sedang berlangsung.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet

Eksploitasi Kritis Pada Windows 10 Telah Dikonfirmasi, Beberapa Bulan Setelah Pembaruan Darurat Microsoft

by

Badan keamanan siber pemerintah AS memperingatkan para actor cyber sedang menargetkan sistem Windows 10 yang masih rentan terhadap celah keamanan kritis yang telah 3 bulan diungkapkan.

CVE-2020-0796, yang lebih dikenal hari ini sebagai SMBGhost, dianggap sangat berbahaya jika digunakan sebagai senjata untuk menyerang, sehingga layak mendapat peringkat sistem penilaian kerentanan (CVSS) “sempurna” (10). Microsoft cepat bertindak. Mereka mengeluarkan pemberitahuan darurat dalam beberapa hari.

SMBGhost adalah sebuah kerentanan wormable yang dapat mengaktifkan eksekusi sembarang kode dari jarak jauh, kemudian pada akhirnya, mengendalikan sistem yang ditargetkan jika serangan berhasil diluncurkan.

Serangan seperti itu akan membutuhkan mesin Windows 10 atau Windows Server Core yang tidak ditambal dan rentan serta, yang terpenting, kode eksploit yang berfungsi dan tersedia.

Dalam sebuah pemberitahuan, CISA baru saja mengkonfirmasi bahwa mereka mengetahui kode proof of concept (PoC) yang tersedia untuk umum dan fungsional. Selain itu, CISA juga memperingatkan, “pelaku cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru, menurut laporan sumber terbuka baru-baru ini.”

CISA telah mengatakan bahwa “sangat merekomendasikan menggunakan firewall untuk memblokir port SMB dari internet,” dan bahwa aplikasi tambalan dan pembaruan untuk kerentanan kritis tersebut harus diterapkan sesegera mungkin.

Pembaruan keamanan Microsoft yang menangani SMBGhost di Windows 10 versi 1909 dan 1903 dan Server Core untuk versi yang sama, dapat ditemukan di sini.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Waspadalah — Jutaan Pengguna Android Harus Menghapus Aplikasi Video ‘Berbahaya’ ini Sekarang

by

Penyebaran malware berbahaya dalam aplikasi Android populer terus menjadi perhatian serius. Google telah berjanji untuk membersihkan rumahnya, meluncurkan App Defense Alliance “untuk memastikan keamanan Play Store,” namun malware berbahaya masih lolos dari jaring keamanan, membuat ratusan juta pengguna dalam bahaya.

Dalam sebuah laporan baru dari Upstream, tim keamanan mengatakan bahwa pada kuartal pertama tahun ini, jumlah aplikasi Android yang diidentifikasi sebagai aplikasi “Berbahaya” terus meningkat dari tahun ke tahun, dengan transaksi penipuan naik 55%. Yang lebih mengkhawatirkan lagi, adanya aplikasi paling berbahaya yang terdeteksi adalah ancaman yang diketahui yang telah diperingatkan tahun lalu dan kini telah diinstal oleh lebih dari 40 juta pengguna Android.

Risiko yang lebih besar untuk pengguna Android adalah opsi untuk menginstal aplikasi dari luar Play Store, sehingga Google telah melarang pemasangan semacam itu untuk pengguna dengan profil tinggi dan berisiko tinggi. Dan itulah tepatnya aplikasi video ini — SnapTube, aplikasi yang telah dipasang oleh 40 juta pengguna, menemukan jalannya ke ponsel — aplikasi ini tidak ada di Play Store.

Aplikasi ini memungkinkan pengguna memilih dan mengunduh video dari Facebook dan YouTube — tetapi di latar belakang, Upstream memperingatkan, aplikasi itu menipu pengguna dan pengiklan untuk menghasilkan financial return. Upstream juga mengklaim bahwa SnapTube menghasilkan panggilan dan teks premium, tanpa diketahui penggunanya, yang kemungkinan menghasilkan hampir $100 juta.

Tahun lalu, Upstream memperingatkan bahwa SnapTube tidak lebih dari “layar untuk aktivitas latar belakang yang mencurigakan … Kami tidak hanya menemukan penipuan klik iklan latar belakang, tetapi juga banyak contoh pengguna yang mendaftar untuk layanan atau langganan digital premium.” Terlepas dari peringatan itu, Upstream sekarang mengatakan telah memblokir lebih dari 32 juta transaksi SnapTube dari Januari hingga Mei tahun ini.

SnapTube dikembangkan oleh Mobiuspace China, yang mengklaim “100 juta pengguna per bulan di seluruh dunia,” dan menyebut Tencent dan China Growth Capital di antara para investornya.

Oktober lalu, Mobiuspace mengatakan kepada Forbes bahwa masalah “terkait kolaborasi kami dengan pihak ketiga yang dikenal sebagai Mango SDK, yang memungkinkan praktik iklan penipuan yang bertentangan dengan keyakinan dan komitmen kami dengan pengguna kami.” Perusahaan berjanji telah mengambil “tindakan segera … dan merilis pembaruan tanpa Mango SDK pada versi berikutnya, serta mengirimkan pemberitahuan kepada semua pengguna untuk memperbarui ke versi terbaru melalui dorongan dan pemberitahuan dalam aplikasi.” Masalahnya bagi pengguna, adalah bahwa mereka perlu menghapus versi lama aplikasi dan menginstal versi baru yang aman.

Upstream mengakui bahwa adanya volume yang menurun dari masalah SnapTube menunjukkan versi aplikasi yang baru kemungkinan telah diperbaiki. Namun, ia masih berada di puncak grafik Upstream untuk transaksi penipuan, yang menunjukkan bahwa puluhan juta pengguna masih perlu menghapus aplikasi lama dan menginstal yang lebih baru. Dan mereka perlu melakukannya sekarang. Versi aplikasi yang lebih lama penuh dengan malware, ini merupakan ancaman serius.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes