Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Google menerapkan mitigasi Chrome terhadap serangan Slipstreaming NAT baru

by

Google telah memblokir delapan port tambahan di dalam browser web Chrome untuk mencegah variasi baru dari serangan bernama NAT Slipstreaming, para insinyur perusahaan mengumumkan hari ini.

Serangan Slipstreaming NAT asli pertama kali diungkapkan pada 31 Oktober 2020 oleh Samy Kamkar, seorang peneliti keamanan terkenal.

Serangan itu bekerja dengan memikat pengguna di situs web jahat di mana kode JavaScript akan membuat sambungan ke perangkat korban secara langsung, melewati pertahanan yang disediakan oleh firewall dan tabel terjemahan alamat jaringan (NAT).

Penyerang dapat menyalahgunakan koneksi ini ke sistem pengguna untuk meluncurkan serangan pada perangkat yang terletak di jaringan internal korban.

Versi awal serangan NAT Slipstreaming menyalahgunakan protokol Session Initiation Protocol (SIP) untuk membuat sambungan lubang jarum ini ke perangkat di jaringan internal melalui port 5060 dan 5061.

Dua minggu setelah serangan tersebut diketahui publik, Google menanggapi penemuan Kamkar dengan memblokir dua porta di Chrome 87 ini untuk mencegah penyerang menyalahgunakan teknik ini, yang oleh pembuat browser dianggap sebagai ancaman yang parah dan mudah disalahgunakan.

Apple dan Mozilla juga mengirimkan blok serupa di dalam Safari dan Firefox beberapa minggu kemudian.

selengkapnya : ZDNET

Kerentanan zero-day Windows Installer mendapat micropatch gratis

by

Kerentanan dalam komponen Penginstal Windows, yang coba diperbaiki Microsoft beberapa kali tetapi tidak berhasil, hari ini menerima micropatch untuk menolak opsi peretas untuk mendapatkan hak istimewa tertinggi pada sistem yang disusupi.

Masalah memengaruhi Windows 7 hingga 10. Upaya terbaru Microsoft untuk mengatasi masalah ini (CVE-2020-16902) dilakukan pada bulan Oktober. Sebuah bypass, lengkap dengan kode eksploitasi bukti-konsep (PoC) muncul pada akhir Desember 2020.

Hingga Microsoft membuat tambalan permanen, tambalan sementara tersedia melalui platform 0Patch. Ini adalah perbaikan satu instruksi yang tidak memerlukan boot ulang sistem.

Video di bawah ini menunjukkan bahwa micropatch mencegah pengguna non-admin lokal mengubah nilai registri yang mengarah ke Layanan Faks yang dapat dijalankan, yang akan menyebabkan menjalankan kode penyerang.

Perbaikan sementara dan gratis dari 0Patch berfungsi untuk sistem berikut:

  1. Windows 10 v20H2, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  2. Windows 10 v2004, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  3. Windows 10 v1909, 32 / 64bit, diperbarui dengan pembaruan Januari 2021
  4. Windows 7, 32 / 64bit, dengan ESU, diperbarui dengan pembaruan Januari 2021
  5. Windows 7, 32 / 64bit, tanpa ESU, diperbarui dengan pembaruan Januari 2020

selengkapnya : BleepingComputer

Tawaran penyelesaian Citrix sebesar $ 2,3 juta untuk karyawan yang terkena dampak pelanggaran data disetujui

by

Karyawan Citrix yang terkena dampak pelanggaran data yang mengakibatkan pencurian data mereka telah mendapatkan penyelesaian $ 2,275 juta.

Penyelesaian, yang pertama kali disepakati pada Juni 2020, kini telah mendapat persetujuan dari Hakim Ron Altman, seperti dilansir Bloomberg Law.

Minggu ini, hakim mengeluarkan persetujuan awal untuk angka penyelesaian di Pengadilan Distrik AS untuk Distrik Selatan Florida.

Gugatan class action, yang melibatkan sekitar 24.300 anggota, akan diselesaikan dengan imbalan Citrix menyediakan dana $ 2.275 juta, dapat digunakan untuk layanan pemantauan kredit, pemulihan pencurian ID, dan hingga $ 15.000 sebagai penggantian biaya dan kerugian per penggugat.

Citrix mengungkapkan pelanggaran data pada Maret 2019 setelah diberi tahu oleh FBI tentang kemungkinan intrusi jaringan. Penyerang siber telah menyusup ke server internal raksasa perangkat lunak itu selama kira-kira lima bulan antara 2018 dan 2019.

selengkapnya : ZDNET

Serangan DDoS: Peningkatan besar dalam ancaman untuk membebani jaringan bisnis

by

Serangan Distributed Denial of Service (DDoS) telah meningkat lebih dari dua kali lipat dalam setahun terakhir, bersamaan dengan lonjakan signifikan dalam upaya penyerang untuk mengancam serangan tersebut kecuali uang tebusan dibayarkan.

Analisis ancaman siber dan aktivitas kriminal oleh peneliti keamanan di Neustar menemukan bahwa jumlah serangan DDoS (DDoS) tumbuh sebesar 154% antara tahun 2019 dan 2020. Layanan keuangan, telekomunikasi, dan lembaga pemerintah adalah beberapa sektor yang paling banyak menjadi sasaran penyerang.

Salah satu alasan serangan DDoS semakin populer adalah karena serangan tersebut relatif mudah dilakukan, bahkan untuk penjahat dunia maya tingkat rendah.

selengkapnya : ZDNET

Potensi kerentanan eksekusi kode jarak jauh yang ditemukan di aplikasi Node.js

by

Kerentanan dalam kerangka aplikasi web Node.js dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh (RCE).

Dipublikasikan oleh peneliti keamanan “wannabe” yang dideskripsikan sendiri, Shoeb ‘CaptainFreak’ Patel pada tanggal 23 Januari, penelitian tersebut menunjukkan bahwa Express.js mungkin rentan terhadap kesalahan pembacaan file lokal. Jika digabungkan dengan mesin Handlebars versi lama, cacat ini juga dapat dieksploitasi untuk mengeksekusi kode berbahaya dari jarak jauh.

Handlebars adalah mesin template yang populer untuk aplikasi web.

Berbicara kepada The Daily Swig, Patel mengatakan bahwa dia memutuskan untuk mencari kerentanan di Node.js, Express.js, dan Handlebars karena dia terbiasa dengan kode sebagai pengembang.

selengkapnya : Portswigger

Badan Kejahatan Nasional memperingatkan pedagang pemula dan veteran sama-sama meningkat dalam penipuan perusahaan klon

by

Pada hari Rabu, Badan Kejahatan Nasional (NCA) Inggris dan Otoritas Perilaku Keuangan (FCA) mengeluarkan peringatan kepada publik tentang penipuan “perusahaan kloning” yang tampaknya tidak hanya mengklaim investor pemula tetapi juga pemain veteran di pasar.

FCA mengatakan bahwa bentuk penipuan ini sedang meningkat, dengan peningkatan tingkat yang dilaporkan sejak Inggris melakukan lockdown pertama selama Maret 2020.

Secara total, investor telah kehilangan lebih dari £78 juta ($107 juta), angka yang kemungkinan akan terus meningkat. Kerugian rata-rata dilaporkan sebagai £45.242 per korban, menurut penelitian Action Fraud.

Penipuan investasi perusahaan klon melampaui email phishing biasa atau tautan media sosial yang meragukan yang menjanjikan pengembalian langsung atas uang Anda. Penipu menggunakan nama, alamat, dan Nomor Referensi Perusahaan (FRN) yang sama yang dikeluarkan untuk perusahaan investasi resmi oleh FCA dan kemudian selama phishing, media sosial, dan pesan cold-call, mereka mengirimkan materi penjualan yang berisi tautan ke situs web perusahaan yang sah.

Namun, penyamaran hanya berlaku sejauh ini: begitu kepercayaan terbentuk, investor tertipu untuk berpisah dengan dana yang ditujukan untuk perusahaan yang sah, hanya agar uang mereka langsung masuk ke pundi-pundi penipu.

Selengkapnya: ZDNet

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

by

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Italy CERT Memperingatkan adanya Kredensial Baru yang Mencuri Malware Android

by

Para peneliti telah mengungkap keluarga baru malware Android yang menyalahgunakan layanan aksesibilitas di perangkat untuk membajak kredensial pengguna dan merekam audio dan video.

Dijuluki “Oscorp” oleh CERT-AGID Italia dan ditemukan oleh AddressIntel, malware “mendorong pengguna untuk menginstal layanan aksesibilitas yang dengannya [penyerang] dapat membaca apa yang ada dan apa yang diketik di layar.”

Dinamakan demikian karena judul halaman login dari server command-and-control (C2), APK berbahaya (disebut “Assistenzaclienti.apk” atau “Perlindungan Pelanggan”) didistribusikan melalui domain bernama “supportoapp [.] Com , “yang setelah penginstalan, meminta izin mengganggu untuk mengaktifkan layanan aksesibilitas dan menjalin komunikasi dengan server C2 untuk mengambil perintah tambahan.

Selain itu, malware berulang kali membuka kembali layar Pengaturan setiap delapan detik hingga pengguna mengaktifkan izin untuk aksesibilitas dan statistik penggunaan perangkat, sehingga menekan pengguna agar memberikan hak istimewa ekstra.

Setelah akses diberikan, malware mengeksploitasi izin untuk mencatat penekanan tombol, mencopot aplikasi di perangkat, melakukan panggilan, mengirim pesan SMS, mencuri cryptocurrency dengan mengarahkan pembayaran yang dilakukan melalui aplikasi Dompet Blockchain.com, dan mengakses kode otentikasi dua faktor dari Google Aplikasi Authenticator.

Pada langkah terakhir, malware mengeksfiltrasi data yang diambil – bersama dengan informasi sistem (misalnya, aplikasi yang diinstal, model ponsel, operator) – ke server C2, selain mengambil perintah dari server yang memungkinkannya meluncurkan aplikasi Google Authenticator , mencuri pesan SMS, menghapus aplikasi, meluncurkan URL tertentu, dan merekam audio dan video layar melalui WebRTC.

selengkapnya : TheHackerNews