Threat

Chrome akan memblokir serangan tab-nabbing

November 11, 2020 by Mally

Google akan menerapkan fitur keamanan baru di Chrome tahun depan untuk mencegah tab-nabbing, sejenis serangan web yang memungkinkan tab yang baru dibuka untuk membajak tab asli dari tempat tab tersebut dibuka.

Fitur baru ini dijadwalkan untuk dirilis dengan Chrome 88, yang akan rilis pada Januari 2021.

Sementara istilah “tab-nabbing” mengacu pada kelas luas serangan pembajakan tab [OWASP, Wikipedia], Google membahas skenario tertentu.

Skenario ini mengacu pada situasi ketika pengguna mengklik link, dan link terbuka di tab baru (melalui atribut “target= _blank”).

Tab baru ini memiliki akses ke halaman asli yang membuka link baru. Melalui fungsi JavaScript “window.opener”, tab yang baru dibuka dapat mengubah halaman asli dan mengarahkan pengguna ke situs berbahaya.

Jenis serangan ini telah mendukung beberapa kampanye phishing selama bertahun-tahun. Untuk mengurangi ancaman ini, pembuat browser seperti Apple, Google, dan Mozilla telah membuat atribut rel=”noopener”.

Dengan Chrome 88, Google akan mengejar dua pembuat browser utama lainnya. Selain menambahkan fitur ini di Chrome, perlindungan tab-nabbing baru juga akan ditambahkan ke semua browser berbasis Chromium lainnya, seperti Edge, Opera, Vivaldi, dan Brave.

Sumber: ZDNet

Microsoft November 2020 Patch Tuesday tiba dengan perbaikan untuk Windows zero-day

November 11, 2020 by Mally

Microsoft merilis roll-up patch keamanan bulanan yang dikenal sebagai Patch Tuesday hari ini.

Bulan ini, Microsoft memperbaiki 112 bug keamanan di berbagai produk, dari Microsoft Edge hingga Windows WalletService. Tambalan bulan ini juga menyertakan perbaikan untuk kerentanan zero-day Windows yang dieksploitasi secara aktif.

Dilacak sebagai CVE-2020-17087, zero-day diungkapkan pada 30 Oktober oleh tim keamanan Google Project Zero dan TAG. Google mengatakan kerentanan ini sedang dieksploitasi bersama dengan Chrome zero-day untuk menargetkan pengguna Windows 7 dan Windows 10.

Penyerang akan menggunakan zero-day Chrome untuk menjalankan kode berbahaya di dalam Chrome dan kemudian menggunakan zero-day Windows untuk keluar dari sandbox keamanan Chrome dan meningkatkan hak istimewa kode untuk menyerang OS yang mendasarinya.

Menurut penasihat keamanan Microsoft untuk CVE-2020-17087, zero-day terletak pada kernel Windows dan memengaruhi semua versi OS Windows yang saat ini didukung. Ini termasuk semua versi setelah Windows 7, dan semua distribusi Windows Server.

Selain zero-day Windows, ada 111 kerentanan lain yang perlu ditambal juga, termasuk 24 bug yang memungkinkan serangan remote code execution (RCE) di aplikasi seperti Excel, Microsoft Sharepoint, Microsoft Exchange Server, Jaringan Windows Sistem File, komponen Windows GDI +, layanan spooler pencetakan Windows, dan bahkan di Microsoft Teams.

Meskipun sesegera mungkin menginstal patch adalah pendekatan yang aman bagi sebagian besar pengguna, administrator sistem dari jaringan besar disarankan untuk menguji patch tersebut sebelum diterapkan secara menyeluruh untuk menghindari bug atau perubahan yang merusak sistem internal.

Sumber: ZDNet

5,8 juta data pengguna RedDoorz dijual di hacking forum

November 10, 2020 by Mally

Setelah mengalami pembobolan data pada bulan September, pelaku ancaman menjual database RedDoorz yang berisi 5,8 juta data pengguna di hacking forum.

Minggu ini aktor ancaman mulai menjual database berisi 5,8 juta catatan pengguna yang dicuri selama pembobolan data RedDoorz pada akhir September 2020.

Sebagai bagian dari penjualan, pelaku ancaman membagikan sampel database, termasuk struktur tabel dan catatan untuk 587 pengguna. Untuk setiap data pengguna dalam database, email anggota RedDoorz, kata sandi bcrypt hashed, nama lengkap, jenis kelamin, tautan ke foto profil, nomor telepon, nomor telepon sekunder, tanggal lahir, dan pekerjaan terungkap.

Untuk sejumlah besar catatan pengguna dalam sampel, BleepingComputer telah mengkonfirmasi bahwa alamat email dan nomor telepon yang terdaftar sudah benar untuk pengguna tertentu.

Untuk amannya, jika Anda adalah pengguna RedDoorz, Anda harus segera mengubah kata sandi Anda.

Jika Anda menggunakan kata sandi yang sama di situs lain, Anda juga harus mengubah kata sandi di situs tersebut menjadi kata sandi unik dan kuat untuk setiap situs.

Menggunakan kata sandi unik di setiap situs yang Anda miliki, akan mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.

Perusahaan juga sebaiknya melakukan langkah-langkah preventif untuk mencegah adanya kebocoran data, seperti mengimplementasikan teknologi yang dapat mendukung perlindungan terhadap data pribadi, contohnya Data Loss Prevention. NCD memiliki paket layanan yang bernama “Data Lost Protection” yang di dalamnya sudah termasuk Data Loss Prevention. Memesan dapat dilakukan melalui website kami atau melalui tim sales kami di nomor +628112652249.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Malware ‘Ghimob’ baru dapat memata-matai 153 aplikasi seluler Android

November 10, 2020 by Mally

Peneliti keamanan telah menemukan trojan perbankan Android baru yang dapat memata-matai dan mencuri data dari 153 aplikasi Android.

Dinamakan Ghimob, trojan tersebut diyakini telah dikembangkan oleh kelompok yang sama di belakang malware Windows Astaroth (Guildma), menurut sebuah laporan yang diterbitkan pada hari Senin oleh perusahaan keamanan Kaspersky.

Kaspersky mengatakan trojan Android baru tersebut telah dipromosikan dengan dikemas ulang di dalam aplikasi Android berbahaya di situs dan server yang sebelumnya digunakan oleh operasi Astaroth (Guildama).

Distribusi tidak pernah dilakukan melalui Play Store resmi. Sebaliknya, grup Ghimob menggunakan email atau situs jahat untuk mengarahkan pengguna ke situs web yang mempromosikan aplikasi Android.

Aplikasi ini meniru aplikasi dan merek resmi, dengan nama seperti Google Defender, Google Docs, WhatsApp Updater, atau Flash Update.

Setelah diunduh, jika akses ke Aksesibilitas diberikan, aplikasi akan mencari di ponsel yang terinfeksi untuk daftar 153 aplikasi yang nantinya akan menampilkan halaman login palsu dalam upaya untuk mencuri kredensial pengguna.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Bagaimana operator Ryuk Ransomware menghasilkan $34 juta dari satu korban

November 9, 2020 by Mally

Satu kelompok peretas yang menargetkan perusahaan berpenghasilan tinggi dengan ransomware Ryuk menerima $34 juta dari satu korban dengan imbalan kunci dekripsi yang membuka kunci komputer mereka.

Aktor ancaman sangat mahir bergerak secara lateral di dalam jaringan yang dikompromikan dan menghapus sebanyak mungkin jejak mereka sebelum meledakkan ransomware Ryuk.

Disebut sebagai grup “satu”, sesuai dengan identifikasi yang diterima dari botnet Trickbot yang memfasilitasi intrusi jaringan untuk malware pengenkripsi file Ryuk, pelaku ancaman ini tidak bermoral dalam hal target.

Menurut Vitali Kremez dari Advanced Intelligence, korban dari kelompok “satu” Ryuk termasuk perusahaan di bidang teknologi, perawatan kesehatan, energi, layanan keuangan, dan sektor pemerintah.

Dalam sebuah terbaru, Kremez mengatakan bahwa aktor ancaman berbahasa Rusia ini tangguh selama negosiasi dan jarang menunjukkan kelonggaran apapun. Pembayaran terkonfirmasi terbesar yang mereka dapatkan adalah 2.200 bitcoin, yang saat ini mendekati $34 juta.

Menganalisis aliran serangan, Kremez mencatat bahwa kelompok “satu” Ryuk menggunakan 15 langkah untuk menemukan host yang tersedia di jaringan, mencuri kredensial tingkat admin, dan menyebarkan ransomware Ryuk.

Rantai serangan dimulai dengan menjalankan perintah “invoke” Cobalt Strike untuk menjalankan skrip “DACheck.ps1” untuk memeriksa apakah pengguna saat ini adalah bagian dari grup Admin Domain.

Dari sana, sandi diambil melalui Mimikatz, jaringan dipetakan, dan host diidentifikasi mengikuti pemindaian port untuk protokol FTP, SSH, SMB, RDP, dan VNC.

Kremez merinci langkah lengkap serangan itu pada tautan di bawah ini:

Bleeping Computer

Kerentanan Injeksi Objek di Welcart e-Commerce Plugin

November 8, 2020 by Mally

Pada tanggal 6 Oktober 2020, tim Intelijen Ancaman Wordfence menemukan kerentanan Injeksi Objek Keparahan Tinggi di Welcart e-Commerce, plugin WordPress dengan lebih dari 20.000 penginstalan yang mengklaim pangsa pasar teratas di Jepang. Setelah tim Intelijen Ancaman Wordfence menyelesaikan penyelidikan, Wordfence menghubungi penerbit plugin, Collne Inc. pada tanggal 9 Oktober 2020. Pengungkapan penuh telah dikirim pada 12 Oktober 2020, dan plugin telah ditambal di versi 1.9.36 pada tanggal 20 Oktober 2020.

Pelanggan Wordfence Premium menerima aturan firewall yang melindungi dari kerentanan ini pada 9 Oktober 2020. Situs yang masih menggunakan versi gratis Wordfence akan menerima aturan ini setelah 30 hari pada 8 November 2020. Welcart e-Commerce adalah plugin WordPress yang dapat digunakan untuk membuat toko online dengan area akun pelanggan terpisah. Ini menggunakan cookie sendiri, terpisah dari yang digunakan oleh WordPress, untuk melacak sesi pengguna. Sayangnya, ini berarti bahwa penyerang dapat mengirim permintaan dengan parameter usces_cookie yang disetel ke string yang dibuat khusus yang dapat akan memasukkan objek PHP.

Kabar baiknya, kerentanan ini tidak dapat dieksploitasi dengan patch yang baru-baru ini ditambal (versi terbaru, 1.9.36).

sumber : Wordfence

Pembuat mainan Mattel mengungkapkan serangan ransomware

November 8, 2020 by Mally

Pembuat mainan AS Mattel hari ini mengungkapkan bahwa mereka mengalami serangan ransomware yang melumpuhkan beberapa fungsi bisnis, tetapi perusahaan mengatakan pulih dari serangan itu tanpa kerugian finansial yang signifikan. Insiden itu terjadi pada 28 Juli, menurut formulir triwulanan 10-Q yang diajukan perusahaan ke Komisi Bursa Efek AS hari ini. Mattel mengatakan bahwa serangan ransomware awalnya berhasil dan menghasilkan enkripsi yang berhasil pada beberapa sistemnya.

Selama lebih dari setahun, geng ransomware telah mencuri data dan terlibat dalam skema pemerasan ganda, mengancam akan mengunggah data perusahaan yang diretas tersebut ke “situs kebocoran” publik kecuali korban membayar permintaan tebusan. Namun, pembuat mainan tersebut mengatakan bahwa penyelidikan forensik berikutnya menyimpulkan bahwa geng ransomware di balik intrusi Juli tidak mencuri “data bisnis sensitif atau data pelanggan ritel, pemasok, konsumen, atau karyawan.”

Secara keseluruhan, Mattel tampaknya telah lolos dari insiden tersebut hanya dengan waktu henti yang singkat dan tanpa kerusakan yang serius.
Sementara perusahaan seperti Cognizant mengatakan mereka memperkirakan akan kehilangan antara $ 50 juta dan $ 70 juta, dan Norsk Hydro melaporkan kerugian setidaknya $ 40 juta setelah insiden ransomware, Mattel mengatakan serangan ransomware yang dideritanya “tidak berdampak material pada operasi atau kondisi keuangannya.”

sumber : ZDNET

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

November 8, 2020 by Mally

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings