Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Perubahan pada iOS 14.5 membuat eksploitasi iPhone ‘zero-click’ lebih sulit untuk dilakukan

by

Perubahan yang akan datang di iOS 14.5 membuat eksploitasi zero-click jauh lebih sulit untuk dilakukan di iPhone, beberapa peneliti malware telah menyatakan.

Apple diam-diam membuat perubahan pada cara mengamankan kode yang berjalan di iOS dalam iOS 14.5 beta, menyarankan bahwa itu dapat dirilis dengan pembaruan publik berikutnya. Beberapa peneliti keamanan menemukan kontrol tersebut, Vice melaporkan Senin.

Secara khusus, perusahaan telah menambahkan Pointer Authentication Codes (PAC) untuk melindungi pengguna dari eksploitasi yang menyuntikkan kode berbahaya melalui kerusakan memori. Sistem sekarang mengautentikasi dan memvalidasi apa yang disebut pointer ISA – fitur yang memberi tahu program iOS kode apa yang harus dijalankan – sebelum digunakan.

Peneliti keamanan memberi tahu Motherboard bahwa mitigasi keamanan akan membuat eksploitasi zero-click lebih sulit untuk dilakukan. Zero-click mengacu pada eksploitasi yang memungkinkan penyerang menyusupi iPhone tanpa interaksi apa pun dari pengguna. Itu juga bisa memperumit pelarian kotak pasir, yang merupakan serangan yang mencoba melewati sistem keamanan isolasi bawaan di iOS

Eksploitasi zero-click telah digunakan dalam beberapa serangan profil tinggi pada pengguna iPhone di masa lalu. Pada 2016, peretas yang bekerja untuk pemerintah Uni Emirat Arab menggunakan alat klik nol yang disebut Karma untuk membobol ratusan iPhone. Pada tahun 2020, sebuah laporan menunjukkan bahwa eksploitasi zero-click digunakan untuk mengawasi iPhone milik 37 jurnalis. Tim Project Zero Google juga telah menemukan kerentanan yang memungkinkan terjadinya serangan zero-click.

Peneliti keamanan memberi tahu Motherboard bahwa mitigasi keamanan akan membuat eksploitasi zero-click lebih sulit untuk dilakukan. Zero-click mengacu pada eksploitasi yang memungkinkan penyerang menyusupi iPhone tanpa interaksi apa pun dari pengguna. Itu juga bisa memperumit pelarian kotak pasir, yang merupakan serangan yang mencoba melewati sistem keamanan isolasi bawaan di iOS

Eksploitasi zero-click telah digunakan dalam beberapa serangan profil tinggi pada pengguna iPhone di masa lalu. Pada 2016, peretas yang bekerja untuk pemerintah Uni Emirat Arab menggunakan alat klik nol yang disebut Karma untuk membobol ratusan iPhone. Pada tahun 2020, sebuah laporan menunjukkan bahwa eksploitasi zero-click digunakan untuk mengawasi iPhone milik 37 jurnalis. Tim Project Zero Google juga telah menemukan kerentanan yang memungkinkan terjadinya serangan zero-click.

Source : Appleinsider

“Shadow Attack” Memungkinkan Penyerang Mengganti Konten dalam PDF yang Ditandatangani Secara Digital

by

Para peneliti telah mendemonstrasikan kelas serangan baru yang dapat memungkinkan aktor jahat untuk berpotensi menghindari tindakan balasan yang ada dan merusak perlindungan integritas dokumen PDF yang ditandatangani secara digital.

Disebut “Serangan bayangan” oleh akademisi dari Ruhr-University Bochum, teknik ini menggunakan “fleksibilitas luar biasa yang disediakan oleh spesifikasi PDF sehingga dokumen bayangan tetap memenuhi standar.”

Gambar dari TheHackerNews

Penemuan ini dipresentasikan kemarin di Network and Distributed System Security Symposium (NDSS), dengan 16 dari 29 PDF viewer yang diuji – termasuk Adobe Acrobat, Foxit Reader, Perfect PDF, dan Okular – ditemukan rentan terhadap serangan bayangan.

Untuk melakukan serangan, pelaku kejahatan membuat dokumen PDF dengan dua konten berbeda: satu konten yang diharapkan oleh pihak yang menandatangani dokumen, dan yang lainnya, sepotong konten tersembunyi yang akan ditampilkan setelah PDF ditandatangani.

Dalam dunia analog, serangan tersebut setara dengan sengaja meninggalkan ruang kosong di dokumen kertas dan membuatnya ditandatangani oleh pihak terkait, yang pada akhirnya memungkinkan pihak lawan untuk memasukkan konten sewenang-wenang di ruang tersebut.

Meskipun vendor telah menerapkan langkah-langkah keamanan untuk memperbaiki masalah tersebut, studi baru ini bertujuan untuk memperluas model serangan ini untuk memastikan kemungkinan bahwa musuh dapat memodifikasi konten yang terlihat dari PDF yang ditandatangani secara digital tanpa membatalkan tanda tangannya, dengan asumsi bahwa mereka dapat memanipulasi PDF. sebelum ditandatangani.

Cacatnya – dilacak sebagai CVE-2020-9592 dan CVE-2020-9596 – telah diatasi oleh Adobe dalam pembaruan yang dirilis pada 12 Mei 2020. Per 17 Desember 2020, 11 dari 29 aplikasi PDF yang diuji tetap belum ditambal.

Source : https://thehackernews.com/2021/02/shadow-attacks-let-attackers-replace.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

Keybase menambal bug yang menyimpan gambar di penyimpanan cleartext di Mac, klien Windows

by

Keybase telah memperbaiki cacat keamanan di klien perpesanan yang menyimpan konten gambar di cache untuk tampilan cleartext.

Aplikasi obrolan terenkripsi end-to-end yang berfokus pada keamanan, yang diakuisisi oleh pengembang alat konferensi video jarak jauh Zoom pada Mei tahun lalu, mengandung kerentanan yang dapat membahayakan data pribadi pengguna.

Dilacak sebagai CVE-2021-23827, bug dideskripsikan sebagai masalah yang “memungkinkan penyerang untuk mendapatkan media yang berpotensi sensitif (seperti gambar pribadi) di cache dan direktori uploadtemps”.

Diidentifikasi oleh John Jackson, penguji penetrasi dan pendiri Sakura Samurai mengatakan dalam sebuah posting blog pada hari Senin bahwa klien Keybase sebelum 5.6.0 di Windows dan macOS, dan sebelum 5.6.1 di Linux, terpengaruh.

Jackson memeriksa klien dan melihat bahwa di dalam unggahan Keybase dan direktori cache, foto yang sebelumnya telah disisipkan ke dalam percakapan tersedia dan tidak dienkripsi. Meskipun pengguna telah menyetel konten ke ‘explode’ atau dihapus, cache masih berisi file gambar sisa karena Keybase gagal untuk menghapusnya.

Sumber: ZDNet

Ransomware: Peningkatan tajam serangan terhadap universitas seiring pembelajaran online

by

Jumlah serangan ransomware yang menargetkan universitas telah berlipat ganda selama setahun terakhir dan biaya permintaan ransomware meningkat karena tim keamanan informasi berjuang untuk melawan serangan siber.

Analisis kampanye ransomware terhadap pendidikan tinggi menemukan bahwa serangan terhadap universitas selama tahun 2020 naik 100 persen dibandingkan dengan 2019, dan permintaan tebusan rata-rata sekarang mencapai $ 447.000.

Kenaikan tajam dalam jumlah serangan ransomware, dikombinasikan dengan permintaan geng ransomware berjumlah enam digit sebagai ganti kunci dekripsi berarti ransomware mewakili ancaman keamanan siber nomor satu bagi universitas, menurut penelitian oleh perusahaan teknologi BlueVoyant.

Ransomware adalah masalah di semua sektor, tetapi untuk pendidikan tinggi saat ini merupakan masalah khusus karena pandemi COVID-19 yang sedang berlangsung membuat siswa menerima pengajaran secara online sementara banyak akademisi juga bekerja dari rumah.

Departemen TI yang kewalahan mungkin tidak memiliki kemampuan untuk sepenuhnya menangani keamanan, memberikan celah kepada penjahat siber untuk dieksploitasi.

Selengkapnya: ZDNet

Versi WACUP baru memperbaiki sejumlah besar bug Winamp

by

Proyek Pembaruan Komunitas Winamp (WACUP) telah merilis versi Pratinjau 1.0.20.7170 dengan banyak perbaikan dan peningkatan untuk pemutar media Winamp.

WACUP adalah proyek oleh mantan pengembang Winamp, Darren Owen untuk memperbaiki bug dan memperluas fungsionalitas pemutar media Winamp 5.66 melalui fitur plugin program.

Salah satu fitur terkuat Winamp adalah penyeraakan sistem plugin yang memungkinkan pengembang pihak ketiga untuk memperluas atau memodifikasi fungsionalitas program. Plugin ini dapat berkisar dari alat visualisasi baru, equalizer, dan cara untuk mengubah pemutaran media.

Dengan menggunakan fitur plugin ini, WACUP dapat memperbaiki bug yang diketahui dalam rilis asli Winamp 5.66 dan menambahkan fitur baru untuk sistem operasi dan layanan modern.

Pada hari Senin, proyek ini merilis Pratinjau WACUP 1.0.20.7170 yang memperbaiki sejumlah besar bug dan mencakup fitur-fitur baru seperti integrasi Windows 10 yang lebih baik, opsi pemutaran, dan kompatibilitas yang lebih baik dengan plugin streaming.

Source : Bleeping

Bahasa pemrograman Python mempercepat pembaruan untuk mengatasi kerentanan kode jarak jauh

by

Python Software Foundation (PSF) telah meluncurkan Python 3.9.2 dan 3.8.8 untuk mengatasi dua kelemahan keamanan yang terkenal, termasuk satu yang dapat dieksploitasi dari jarak jauh tetapi dalam istilah praktis hanya dapat digunakan untuk menjatuhkan mesin secara offline.

PSF mendesak asosiasi pengguna Python untuk meningkatkan sistem ke Python 3.8.8 atau 3.9.2, khususnya untuk mengatasi kerentanan eksekusi kode jarak jauh (RCE) yang dilacak sebagai CVE-2021-3177.

Proyek ini mempercepat perilisan setelah menerima tekanan tak terduga dari beberapa pengguna yang mengkhawatirkan kelemahan keamanan.

Python 3.x hingga 3.9.1 memiliki buffer overflow di PyCArg_repr di ctypes/callproc.c, yang dapat menyebabkan eksekusi kode jarak jauh.

Ini mempengaruhi aplikasi Python yang “menerima bilangan floating-point sebagai input tidak tepercaya, seperti yang ditunjukkan oleh argumen 1e300 ke c_double.from_param.”

Bug terjadi karena “sprintf” digunakan secara tidak aman. Dampaknya luas karena Python sudah diinstal sebelumnya dengan banyak distribusi Linux dan Windows 10.

Meskipun kerentanan eksekusi kode jarak jauh adalah berita buruk, RedHat mencatat bahwa “ancaman tertinggi dari kerentanan ini adalah ketersediaan sistem.” Dengan kata lain, penyerang kemungkinan hanya bisa melakukan serangan denial of service.

Selengkapnya: ZDNet

Data Bombardier pembuat pesawat diposting di situs kebocoran ransomware setelah peretasan FTA

by Leave a Comment

Produsen pesawat Kanada Bombardier hari ini telah mengungkapkan pelanggaran keamanan setelah beberapa datanya dipublikasikan di portal dark web yang dioperasikan oleh geng ransomware Clop.

Meskipun perusahaan tidak secara spesifik menyebutkan nama alat tersebut, kemungkinan besar mereka mengacu pada Accellion FTA, server web yang dapat digunakan oleh perusahaan untuk menghosting dan berbagi file besar yang tidak dapat dikirim melalui email ke pelanggan dan karyawan.

Pada Desember 2020, sebuah grup peretas menemukan zero-day di perangkat lunak FTA dan mulai menyerang perusahaan di seluruh dunia. Penyerang mengambil alih sistem, memasang shell web, dan kemudian mencuri data sensitif.

Para penyerang kemudian mencoba memeras perusahaan yang diretas, meminta pembayaran tebusan, atau mereka akan membuat data yang dicuri itu publik, menurut firma keamanan FireEye.

Data dari perusahaan data geo-spasial Fugro, firma teknologi Danaher, perusahaan telekomunikasi terbesar Singapura Singtel, dan firma hukum AS Jones Day sejauh ini telah dipublikasikan di situs yang sama.

Hari ini, nama Bombardier menambah daftar panjang dari korban peretasan tersebut, yang mendorong pembuat pesawat itu untuk mengumumkan pelanggaran keamanannya.

Data yang dibagikan di situs termasuk dokumen desain untuk berbagai pesawat Bombardier dan bagian pesawat. Tidak ada data pribadi yang dibagikan, tetapi pembuat pesawat kemungkinan besar marah karena beberapa kekayaan intelektual pribadinya sekarang ditawarkan sebagai unduhan gratis di dark web.

Sumber: ZDNet

Blockchain bitcoin membantu menjaga botnet agar tidak dihapus

by

Baru-baru ini, botnet yang telah diikuti para peneliti selama sekitar dua tahun mulai menggunakan cara baru untuk mencegah penghapusan server perintah-dan-kontrol: dengan menyamarkan salah satu alamat IP-nya di blockchain bitcoin.

Ketika semuanya bekerja normal, mesin yang terinfeksi akan melapor ke server kontrol yang terpasang untuk menerima instruksi dan pembaruan malware.

Dalam event server tersebut akan sinkholed, namun, botnet akan menemukan alamat IP untuk server cadangan yang dikodekan dalam blockchain bitcoin, buku besar terdesentralisasi yang melacak semua transaksi yang dilakukan menggunakan mata uang digital.

Dengan memiliki server tempat botnet dapat digunakan, operator mencegah sistem yang terinfeksi menjadi yatim piatu. Menyimpan alamat di blockchain memastikannya tidak akan pernah bisa diubah, dihapus, atau diblokir, seperti yang terkadang terjadi ketika peretas menggunakan metode pencadangan yang lebih tradisional.

Sementara peneliti Akamai mengatakan mereka belum pernah melihat botnet di alam liar menggunakan blockchain terdesentralisasi untuk menyimpan alamat server, mereka dapat menemukan penelitian ini yang menunjukkan server perintah yang berfungsi penuh yang dibangun di atas blockchain untuk cryptocurrency Ethereum.

Selengkapnya: Ars Technica