Threat

Bug Windows Defender berusia 12 tahun memberi hak admin kepada peretas

February 12, 2021 by Winnie the Pooh

Microsoft telah memperbaiki kerentanan eskalasi hak istimewa di Microsoft Defender Antivirus (sebelumnya Windows Defender) yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem Windows yang belum ditambal.

Peningkatan hak istimewa yang dilacak sebagai CVE-2021-24092 memengaruhi versi Defender sejak 2009, dan memengaruhi rilis klien dan server yang dimulai dengan Windows 7 dan yang lebih baru.

Aktor ancaman dengan hak pengguna dasar dapat mengeksploitasinya secara lokal, sebagai bagian dari serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan juga memengaruhi produk keamanan Microsoft lainnya termasuk namun tidak terbatas pada Microsoft Endpoint Protection, Microsoft Security Essentials, dan Microsoft System Center Endpoint Protection.

SentinelOne menemukan dan melaporkan kerentanan tersebut pada November 2020. Microsoft merilis patch pada hari Selasa, bersama dengan pembaruan keamanan lainnya yang diterbitkan sebagai bagian dari Patch pada Februari 2021 pada Selasa.

Kerentanan tersebut ditemukan di driver BTR.sys (juga dikenal sebagai Boot Time Removal Tool) yang digunakan selama proses perbaikan untuk menghapus file dan entri registri yang dibuat oleh malware pada sistem yang terinfeksi.

Versi Microsoft Malware Protection Engine terakhir yang terpengaruh oleh kerentanan ini adalah versi 1.1.17700.4. Versi pertama yang menangani bug adalah 1.1.17800.5.

Sistem yang ditambal terhadap kerentanan ini harus menjalankan Microsoft Malware Protection Engine versi 1.1.17800.5 atau yang lebih baru.

Sumber: Bleeping Computer

Singtel mengalami pelanggaran keamanan vendor pihak ketiga, data pelanggan kemungkinan bocor

February 12, 2021 by Winnie the Pooh

Singtel mengatakan sedang menyelidiki dampak pelanggaran keamanan siber yang mungkin telah membahayakan data pelanggan, setelah dipastikan pada 9 Februari bahwa “file telah diambil”.

Serangan tersebut telah memengaruhi sistem berbagi file yang dikembangkan dua dekade lalu oleh vendor pihak ketiga Accellion, yang telah digunakan oleh perusahaan telekomunikasi Singapura secara internal dan dengan stakeholders eksternal.

Singtel mengungkapkan dalam sebuah pernyataan hari Kamis bahwa mereka telah diberitahu oleh Accellion bahwa sistem berbagi file, yang disebut FTA (File Transfer Appliance), telah dilanggar oleh peretas tak dikenal.

Semua penggunaan sistem telah ditarik kembali dan otoritas terkait, termasuk Badan Keamanan Siber Singapura dan polisi setempat, telah diberitahu mengenai hal ini.

“Informasi pelanggan mungkin telah diakses,” kata perusahaan telekomunikasi itu. “Prioritas kami adalah bekerja secara langsung dengan pelanggan dan stakeholders yang informasinya mungkin telah disusupi agar mereka tetap didukung dan membantu mereka mengelola risiko apa pun. Kami akan menghubungi mereka secepatnya setelah kami mengidentifikasi file mana yang relevan dengan mereka yang diakses secara ilegal.”

Accellion pada 1 Februari mengatakan sistem FTA-nya adalah perangkat lunak transfer file besar berusia 20 tahun yang mendekati akhir siklus hidupnya. Itu telah menjadi target dari “serangan cyber yang canggih”, yang pertama kali diketahui pada tanggal 23 Desember ketika Accellion menginformasikan semua pelanggannya tentang serangan yang melibatkan sistem berbagi file.

Selengkapnya: ZDNet

Proofpoint menuntut Facebook untuk mendapatkan izin menggunakan domain yang mirip untuk pengujian phishing

February 11, 2021 by Winnie the Pooh

Pusat kekuatan keamanan siber Proofpoint telah mengajukan gugatan minggu ini terhadap Facebook sehubungan dengan upaya jaringan sosial untuk menyita nama domain yang digunakan perusahaan keamanan untuk pelatihan kesadaran phishing.

Kasus ini adalah tuntutan balasan untuk pengajuan Facebook mulai 30 November 2020, ketika jejaring sosial menggunakan permintaan UDRP (Uniform Domain-Name Dispute-Resolution) untuk memaksa pencatat nama domain Namecheap menyerahkan beberapa nama domain yang meniru Facebook dan Instagram merek.

Di antara nama domain yang terdaftar adalah orang-orang seperti facbook-login.com, facbook-login.net, instagrarn.ai, instagrarn.net, dan instagrarn.org.

PROOFPOINT KATAKAN DOMAIN ADALAH GAME FAIR
Dalam dokumen pengadilan yang diajukan pada hari Selasa, Proofpoint mengatakan UDRP tidak boleh berlaku untuk domain ini, yang harus diizinkan untuk disimpan dan terus digunakan.

Facebook dan Proofpoint belum menanggapi permintaan komentar.

selengkapnya : ZDNET

‘Favicons’ Browser Dapat Digunakan sebagai ‘Supercookies’ yang Tidak Dapat Dihapus untuk Melacak Anda Secara Online

February 11, 2021 by Winnie the Pooh

Favicons adalah salah satu hal yang pada dasarnya digunakan setiap situs web tetapi tidak ada yang memikirkannya.

Namun, menurut seorang peneliti, ikon-ikon ini bisa menjadi kerentanan keamanan yang memungkinkan situs web melacak pergerakan Anda dan melewati VPN, status penjelajahan penyamaran, dan metode tradisional lainnya untuk menyembunyikan pergerakan Anda secara online.

Metode pelacakan tersebut disebut Supercookie, dan ini hasil karya perancang perangkat lunak Jerman Jonas Strehle.

“Supercookie menggunakan favicon untuk menetapkan pengenal unik bagi pengunjung situs web. Tidak seperti metode pelacakan tradisional, ID ini dapat disimpan hampir secara terus-menerus dan tidak dapat dengan mudah dihapus oleh pengguna, ”kata Strehle di Github-nya.

Untuk lebih jelasnya, ini adalah proof of the concept dan bukan sesuatu yang ditemukan Strehle di alam liar. Program supercookie Strehle (yang menggunakan favicon Cookie Monster) adalah proof of the concept yang dijelaskan oleh peneliti universitas.

“Favicon harus dibuat sangat mudah diakses oleh browser. Oleh karena itu, mereka di-cache dalam database lokal terpisah pada sistem, yang disebut cache favicon (F-Cache), “kata Strehle.

Entri F-Cache menyertakan banyak data tentang di mana pengguna berada, semuanya dalam layanan untuk mengirimkan ikon kecil cepat ke jendela penelusuran Anda. Data ini memungkinkan server web untuk mengetahui sedikit tentang pengunjungnya.

Selengkapnya: Vice

Google: Inilah mengapa beberapa orang mendapatkan lebih banyak email phishing dan spam malware

February 11, 2021 by Winnie the Pooh

Penjahat siber terus-menerus mengadaptasi teknik untuk mendistribusikan email phishing, tetapi hanya dengan alamat email Anda atau detail pribadi lainnya terungkap dalam pelanggaran data membuat Anda lima kali lebih mungkin menjadi target.

Google bekerja sama dengan Universitas Stanford untuk menganalisis lebih dari satu miliar email phishing yang coba dikirim oleh penjahat siber ke pengguna Gmail antara April dan Agustus tahun lalu dan menemukan bahwa informasi pribadi yang bocor dalam pelanggaran data pihak ketiga setelah insiden peretasan secara drastis meningkatkan kemungkinan menjadi sasaran email phishing, dibandingkan dengan pengguna yang detailnya belum dipublikasikan.

Faktor lain yang mungkin membuat Anda lebih mungkin terkena phishing menurut model Google meliputi;

Tempat tinggal Anda juga: di Australia, pengguna menghadapi 2X kemungkinan serangan dibandingkan dengan AS, meskipun AS adalah target paling populer berdasarkan volume (bukan per kapita).
Peluang mengalami serangan 1,64X lebih tinggi untuk usia 55 hingga 64 tahun, dibandingkan dengan usia 18 hingga 24 tahun.
Pengguna khusus seluler mengalami peluang serangan yang lebih rendah: 0,80X dibandingkan dengan pengguna multi-perangkat. Google mengatakan ini “mungkin berasal dari faktor sosial ekonomi yang terkait dengan kepemilikan perangkat dan penyerang yang menargetkan kelompok yang lebih kaya.”

Gmail menghentikan 99,9 persen serangan phishing agar tidak mencapai kotak masuk – tetapi itu tidak menghentikan penipu mencoba hal-hal baru dalam upaya menyelinap menembus pertahanan.

Google mengatakan bahwa phishing dan malware Gmail diaktifkan secara default, tetapi juga mendorong pengguna untuk menggunakan fungsi Pemeriksaan Keamanan untuk mendapatkan saran yang dipersonalisasi tentang cara menjaga kotak masuk mereka aman dari phishing dan serangan jahat lainnya.

Juga disarankan agar pengguna perusahaan menerapkan perlindungan phishing dan malware tingkat lanjut Google.

Sumber: ZDNet

Setelah serangan di Florida, FBI memperingatkan tentang penggunaan TeamViewer dan Windows 7

February 11, 2021 by Winnie the Pooh

Setelah insiden di Oldsmar, Florida, di mana seorang penyerang tak dikenal memperoleh akses ke jaringan instalasi pengolahan air dan mengubah dosis kimiawi ke tingkat berbahaya, FBI telah mengirimkan peringatan (PIN) pada hari Selasa, meningkatkan perhatian pada tiga masalah keamanan yang telah terlihat di jaringan pabrik setelah peretasan minggu lalu.

Peringatan itu memperingatkan tentang penggunaan sistem Windows 7 yang kedaluwarsa, kata sandi yang buruk, dan perangkat lunak TeamViewer, mendesak perusahaan swasta dan organisasi federal dan pemerintah untuk meninjau jaringan internal dan mengakses kebijakan yang sesuai.

FBI secara khusus menyebut TeamViewer sebagai perangkat lunak desktop sharing yang harus diwaspadai setelah aplikasi tersebut dikonfirmasi sebagai titik masuk penyerang ke jaringan pabrik pengolahan air Oldsmar.

Meskipun peringatan PIN FBI tidak memberikan nada atau sikap kritis terhadap TeamViewer, FBI ingin organisasi sektor federal dan swasta memperhatikan aplikasi tersebut.

Selain itu, peringatan FBI juga memperingatkan tentang berlanjutnya penggunaan Windows 7, sistem operasi yang telah mencapai akhir masa pakainya, pada 14 Januari 2020, sebuah masalah yang juga diperingatkan oleh FBI kepada perusahaan-perusahaan AS tahun lalu.

Sumber: ZDNet

Mengapa Ahli Keamanan Siber Membenci TeamViewer, Perangkat Lunak yang Digunakan untuk Mengutak-atik Pasokan Air Florida

February 11, 2021 by Winnie the Pooh

Otoritas penegak hukum di Florida mengumumkan pada hari Senin bahwa seorang peretas telah mencoba untuk meningkatkan kadar natrium hidroksida dalam upaya untuk meracuni pasokan air.

Peretas, yang masih belum teridentifikasi, memperoleh akses ke panel kontrol yang dilindungi kata sandi tetapi dapat diakses menggunakan TeamViewer, perangkat lunak kendali jarak jauh, menurut otoritas setempat.

TeamViewer adalah perangkat lunak populer yang memungkinkan pengguna untuk terhubung ke komputer lain dan menggunakannya dari jarak jauh.

Ini sangat mudah digunakan, tetapi para ahli keamanan mengatakan itu juga berpotensi menjadi mimpi buruk khususnya karena seberapa banyak akses yang dimilikinya ke komputer yang mendasarinya. Dengan kata lain, ini mungkin bukan perangkat lunak yang Anda inginkan jika Anda mengelola infrastruktur penting.

“TeamViewer hampir ada di mana-mana di lingkungan industri, terutama sejak pandemi dimulai,” kata Lesley Carhart, analis ancaman utama di perusahaan keamanan sistem kontrol industri Dragos.

Carhart mengatakan bahwa untuknya, idealnya adalah tidak menggunakan TeamViewer dan sebagai gantinya menyiapkan VPN aman ke jaringan internal organisasi, lalu secure login dengan otentikasi multi-faktor wajib ke host perantara, dan kemudian secure login aman lainnya di dalam jaringan yang mengontrol infrastruktur kritis.

Sumber: Vice

Perangkat Android Diburu oleh Malware Windows LodaRAT

February 11, 2021 by Winnie the Pooh

Varian baru dari malware LodaRAT, yang secara historis menargetkan perangkat Windows, sedang didistribusikan dalam kampanye yang sedang berlangsung yang sekarang juga memburu perangkat Android dan memata-matai korban.

Bersamaan dengan ini, versi terbaru LodaRAT untuk Windows juga telah diidentifikasi; kedua versi terlihat dalam kampanye baru-baru ini yang menargetkan Bangladesh, kata para peneliti.

Kampanye tersebut mencerminkan perubahan menyeluruh dalam strategi untuk pengembang LodaRAT, karena serangan tersebut tampaknya didorong oleh spionase daripada tujuan keuangan sebelumnya. Sementara versi LodaRAT sebelumnya berisi kemampuan mencuri kredensial yang menurut para peneliti digunakan untuk menguras rekening bank korban, versi yang lebih baru ini hadir dengan kumpulan lengkap perintah pengumpulan informasi.

LodaRAT, pertama kali ditemukan pada September 2016, adalah trojan akses jarak jauh (RAT) yang hadir dengan berbagai kemampuan untuk memata-matai korban, seperti merekam mikrofon dan webcam perangkat korban. Nama “Loda” berasal dari direktori yang dipilih pembuat malware untuk menulis log keylogger.

Versi Android dari malware LodaRAT, yang oleh para peneliti disebut “Loda4Android,” “relatif sederhana jika dibandingkan dengan malware Android lainnya,” kata para peneliti. Misalnya, RAT secara khusus menghindari teknik yang sering digunakan oleh trojan perbankan Android, seperti memanfaatkan Accessibility API, untuk mencuri data.

selengkapnya : ThreatPost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings