Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Google menambal dua lagi zero day Chrome

by

Google hari ini telah merilis Chrome versi 86.0.4240.198 untuk menambal dua kerentanan zero-day yang dieksploitasi di alam liar.

Kedua bug ini menandai zero-day keempat dan kelima yang telah ditambal Google di Chrome selama tiga minggu terakhir. Sebelumnya Google menambal kerentanan CVE-2020-15999, CVE-2020-16009, CVE-2020-16010.

Perbedaannya kali ini adalah bahwa sementara tiga zero-day pertama ditemukan secara internal oleh peneliti keamanan Google, dua zero-day baru ini menjadi perhatian Google setelah mendapat tip dari sumber anonim.

Menurut changelog Chrome 86.0.4240.198, dua zero-day dilacak dan dijelaskan sebagai berikut:

  • CVE-2020-16013 – Dideskripsikan sebagai “penerapan yang tidak tepat di V8”, dimana V8 adalah komponen Chrome yang menangani kode JavaScript.
  • CVE-2020-16017 – Dijelaskan sebagai bug kerusakan memori “use after free” pada Site Isolation, komponen Chrome yang mengisolasi setiap data situs satu sama lain.

Meskipun tidak jelas tingkat bahayanya bagi pengguna biasa, pengguna Chrome masih disarankan untuk memperbarui ke versi 86.0.4240.198 melalui fungsi pembaruan bawaan browser sesegera mungkin.

Source: ZDNet

Desktop Gnome Ubuntu dapat ditipu untuk memberikan akses root

by

Kerentanan dalam GNOME Display Manager (gdm) dapat memungkinkan pengguna standar untuk membuat akun dengan hak istimewa yang lebih besar, memberikan penyerang lokal jalur untuk menjalankan kode dengan izin administrator (root).

Meskipun kondisi tertentu diperlukan, bug ini mudah dieksploitasi. Prosesnya melibatkan menjalankan beberapa perintah sederhana di terminal dan memodifikasi pengaturan sistem umum yang tidak memerlukan peningkatan hak.

Mengeksploitasi bug di gdm3 ini memanfaatkan kerusakan komponen AccountsService, yang terus melacak pengguna yang tersedia pada sistem.

Selain menangani graphical display manager, gdm3 juga bertanggung jawab untuk menampilkan antarmuka login pengguna pada sistem operasi Unix-like.

Peneliti keamanan GitHub Kevin Backhouse menemukan cara sederhana untuk mengelabui sistem Ubuntu yang sudah disiapkan agar menjalankan konfigurasi rutin akun untuk sistem baru. Skenario ini memerlukan akun administrator untuk menyiapkan mesin dan menginstal aplikasi.

Backhouse menemukan dua kerentanan di AccountsService yang menyebabkan komponen hang (CVE-2020-16127) dan menjatuhkan hak istimewa akun pengguna (CVE-2020-16126), memungkinkan pengguna standar untuk merusak daemon dengan mengirimkannya sinyal kesalahan segmentasi tertunda (kill -SIGSEGV).

Kerentanan ini memengaruhi Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04, dan Ubuntu 16.04.

Backhouse membuat video yang menunjukkan betapa mudahnya dia mengeksploitasi kerentanan gdm3 di Ubuntu 20.04:

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Chrome akan memblokir serangan tab-nabbing

by

Google akan menerapkan fitur keamanan baru di Chrome tahun depan untuk mencegah tab-nabbing, sejenis serangan web yang memungkinkan tab yang baru dibuka untuk membajak tab asli dari tempat tab tersebut dibuka.

Fitur baru ini dijadwalkan untuk dirilis dengan Chrome 88, yang akan rilis pada Januari 2021.

Sementara istilah “tab-nabbing” mengacu pada kelas luas serangan pembajakan tab [OWASP, Wikipedia], Google membahas skenario tertentu.

Skenario ini mengacu pada situasi ketika pengguna mengklik link, dan link terbuka di tab baru (melalui atribut “target= _blank”).

Tab baru ini memiliki akses ke halaman asli yang membuka link baru. Melalui fungsi JavaScript “window.opener”, tab yang baru dibuka dapat mengubah halaman asli dan mengarahkan pengguna ke situs berbahaya.

Sumber: OWASP

Jenis serangan ini telah mendukung beberapa kampanye phishing selama bertahun-tahun. Untuk mengurangi ancaman ini, pembuat browser seperti Apple, Google, dan Mozilla telah membuat atribut rel=”noopener”.

Dengan Chrome 88, Google akan mengejar dua pembuat browser utama lainnya. Selain menambahkan fitur ini di Chrome, perlindungan tab-nabbing baru juga akan ditambahkan ke semua browser berbasis Chromium lainnya, seperti Edge, Opera, Vivaldi, dan Brave.

Sumber: ZDNet

Microsoft November 2020 Patch Tuesday tiba dengan perbaikan untuk Windows zero-day

by

Microsoft merilis roll-up patch keamanan bulanan yang dikenal sebagai Patch Tuesday hari ini.

Bulan ini, Microsoft memperbaiki 112 bug keamanan di berbagai produk, dari Microsoft Edge hingga Windows WalletService. Tambalan bulan ini juga menyertakan perbaikan untuk kerentanan zero-day Windows yang dieksploitasi secara aktif.

Dilacak sebagai CVE-2020-17087, zero-day diungkapkan pada 30 Oktober oleh tim keamanan Google Project Zero dan TAG. Google mengatakan kerentanan ini sedang dieksploitasi bersama dengan Chrome zero-day untuk menargetkan pengguna Windows 7 dan Windows 10.

Penyerang akan menggunakan zero-day Chrome untuk menjalankan kode berbahaya di dalam Chrome dan kemudian menggunakan zero-day Windows untuk keluar dari sandbox keamanan Chrome dan meningkatkan hak istimewa kode untuk menyerang OS yang mendasarinya.

Menurut penasihat keamanan Microsoft untuk CVE-2020-17087, zero-day terletak pada kernel Windows dan memengaruhi semua versi OS Windows yang saat ini didukung. Ini termasuk semua versi setelah Windows 7, dan semua distribusi Windows Server.

Selain zero-day Windows, ada 111 kerentanan lain yang perlu ditambal juga, termasuk 24 bug yang memungkinkan serangan remote code execution (RCE) di aplikasi seperti Excel, Microsoft Sharepoint, Microsoft Exchange Server, Jaringan Windows Sistem File, komponen Windows GDI +, layanan spooler pencetakan Windows, dan bahkan di Microsoft Teams.

Meskipun sesegera mungkin menginstal patch adalah pendekatan yang aman bagi sebagian besar pengguna, administrator sistem dari jaringan besar disarankan untuk menguji patch tersebut sebelum diterapkan secara menyeluruh untuk menghindari bug atau perubahan yang merusak sistem internal.

Sumber: ZDNet

5,8 juta data pengguna RedDoorz dijual di hacking forum

by

Setelah mengalami pembobolan data pada bulan September, pelaku ancaman menjual database RedDoorz yang berisi 5,8 juta data pengguna di hacking forum.

Minggu ini aktor ancaman mulai menjual database berisi 5,8 juta catatan pengguna yang dicuri selama pembobolan data RedDoorz pada akhir September 2020.

Sebagai bagian dari penjualan, pelaku ancaman membagikan sampel database, termasuk struktur tabel dan catatan untuk 587 pengguna. Untuk setiap data pengguna dalam database, email anggota RedDoorz, kata sandi bcrypt hashed, nama lengkap, jenis kelamin, tautan ke foto profil, nomor telepon, nomor telepon sekunder, tanggal lahir, dan pekerjaan terungkap.

Untuk sejumlah besar catatan pengguna dalam sampel, BleepingComputer telah mengkonfirmasi bahwa alamat email dan nomor telepon yang terdaftar sudah benar untuk pengguna tertentu.

Sumber: BleepingComputer

Untuk amannya, jika Anda adalah pengguna RedDoorz, Anda harus segera mengubah kata sandi Anda.

Jika Anda menggunakan kata sandi yang sama di situs lain, Anda juga harus mengubah kata sandi di situs tersebut menjadi kata sandi unik dan kuat untuk setiap situs.

Menggunakan kata sandi unik di setiap situs yang Anda miliki, akan mencegah pelanggaran data di satu situs agar tidak memengaruhi Anda di situs web lain yang Anda gunakan.

Perusahaan juga sebaiknya melakukan langkah-langkah preventif untuk mencegah adanya kebocoran data, seperti mengimplementasikan teknologi yang dapat mendukung perlindungan terhadap data pribadi, contohnya Data Loss Prevention. NCD memiliki paket layanan yang bernama “Data Lost Protection” yang di dalamnya sudah termasuk Data Loss Prevention. Memesan dapat dilakukan melalui website kami atau melalui tim sales kami di nomor +628112652249.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Malware ‘Ghimob’ baru dapat memata-matai 153 aplikasi seluler Android

by

Peneliti keamanan telah menemukan trojan perbankan Android baru yang dapat memata-matai dan mencuri data dari 153 aplikasi Android.

Dinamakan Ghimob, trojan tersebut diyakini telah dikembangkan oleh kelompok yang sama di belakang malware Windows Astaroth (Guildma), menurut sebuah laporan yang diterbitkan pada hari Senin oleh perusahaan keamanan Kaspersky.

Kaspersky mengatakan trojan Android baru tersebut telah dipromosikan dengan dikemas ulang di dalam aplikasi Android berbahaya di situs dan server yang sebelumnya digunakan oleh operasi Astaroth (Guildama).

Distribusi tidak pernah dilakukan melalui Play Store resmi. Sebaliknya, grup Ghimob menggunakan email atau situs jahat untuk mengarahkan pengguna ke situs web yang mempromosikan aplikasi Android.

Aplikasi ini meniru aplikasi dan merek resmi, dengan nama seperti Google Defender, Google Docs, WhatsApp Updater, atau Flash Update.

Setelah diunduh, jika akses ke Aksesibilitas diberikan, aplikasi akan mencari di ponsel yang terinfeksi untuk daftar 153 aplikasi yang nantinya akan menampilkan halaman login palsu dalam upaya untuk mencuri kredensial pengguna.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Bagaimana operator Ryuk Ransomware menghasilkan $34 juta dari satu korban

by

Satu kelompok peretas yang menargetkan perusahaan berpenghasilan tinggi dengan ransomware Ryuk menerima $34 juta dari satu korban dengan imbalan kunci dekripsi yang membuka kunci komputer mereka.

Aktor ancaman sangat mahir bergerak secara lateral di dalam jaringan yang dikompromikan dan menghapus sebanyak mungkin jejak mereka sebelum meledakkan ransomware Ryuk.

Disebut sebagai grup “satu”, sesuai dengan identifikasi yang diterima dari botnet Trickbot yang memfasilitasi intrusi jaringan untuk malware pengenkripsi file Ryuk, pelaku ancaman ini tidak bermoral dalam hal target.

Menurut Vitali Kremez dari Advanced Intelligence, korban dari kelompok “satu” Ryuk termasuk perusahaan di bidang teknologi, perawatan kesehatan, energi, layanan keuangan, dan sektor pemerintah.

Dalam sebuah terbaru, Kremez mengatakan bahwa aktor ancaman berbahasa Rusia ini tangguh selama negosiasi dan jarang menunjukkan kelonggaran apapun. Pembayaran terkonfirmasi terbesar yang mereka dapatkan adalah 2.200 bitcoin, yang saat ini mendekati $34 juta.

Menganalisis aliran serangan, Kremez mencatat bahwa kelompok “satu” Ryuk menggunakan 15 langkah untuk menemukan host yang tersedia di jaringan, mencuri kredensial tingkat admin, dan menyebarkan ransomware Ryuk.

Rantai serangan dimulai dengan menjalankan perintah “invoke” Cobalt Strike untuk menjalankan skrip “DACheck.ps1” untuk memeriksa apakah pengguna saat ini adalah bagian dari grup Admin Domain.

Dari sana, sandi diambil melalui Mimikatz, jaringan dipetakan, dan host diidentifikasi mengikuti pemindaian port untuk protokol FTP, SSH, SMB, RDP, dan VNC.

Kremez merinci langkah lengkap serangan itu pada tautan di bawah ini:

Bleeping Computer

Kerentanan Injeksi Objek di Welcart e-Commerce Plugin

by

Pada tanggal 6 Oktober 2020, tim Intelijen Ancaman Wordfence menemukan kerentanan Injeksi Objek Keparahan Tinggi di Welcart e-Commerce, plugin WordPress dengan lebih dari 20.000 penginstalan yang mengklaim pangsa pasar teratas di Jepang. Setelah tim Intelijen Ancaman Wordfence menyelesaikan penyelidikan, Wordfence menghubungi penerbit plugin, Collne Inc. pada tanggal 9 Oktober 2020. Pengungkapan penuh telah dikirim pada 12 Oktober 2020, dan plugin telah ditambal di versi 1.9.36 pada tanggal 20 Oktober 2020.

Pelanggan Wordfence Premium menerima aturan firewall yang melindungi dari kerentanan ini pada 9 Oktober 2020. Situs yang masih menggunakan versi gratis Wordfence akan menerima aturan ini setelah 30 hari pada 8 November 2020. Welcart e-Commerce adalah plugin WordPress yang dapat digunakan untuk membuat toko online dengan area akun pelanggan terpisah. Ini menggunakan cookie sendiri, terpisah dari yang digunakan oleh WordPress, untuk melacak sesi pengguna. Sayangnya, ini berarti bahwa penyerang dapat mengirim permintaan dengan parameter usces_cookie yang disetel ke string yang dibuat khusus yang dapat akan memasukkan objek PHP.

Kabar baiknya, kerentanan ini tidak dapat dieksploitasi dengan patch yang baru-baru ini ditambal (versi terbaru, 1.9.36).

sumber : Wordfence