Zero Day

Malware tertangkap menggunakan zero-day macOS untuk mengambil tangkapan layar secara diam-diam

May 26, 2021 by Winnie the Pooh

Hampir tepat sebulan yang lalu, para peneliti mengungkapkan keluarga malware terkenal mengeksploitasi kerentanan yang belum pernah terlihat sebelumnya yang memungkinkannya melewati pertahanan keamanan macOS dan berjalan tanpa hambatan. Sekarang, beberapa peneliti yang sama mengatakan malware lain dapat menyelinap ke sistem macOS, berkat kerentanan lain.

Jamf mengatakan menemukan bukti bahwa malware XCSSET mengeksploitasi kerentanan yang memungkinkannya mengakses bagian macOS yang memerlukan izin – seperti mengakses mikrofon, webcam, atau merekam layar – tanpa pernah mendapatkan persetujuan.

XCSSET pertama kali ditemukan oleh Trend Micro pada tahun 2020 yang menargetkan pengembang Apple, khususnya proyek Xcode yang mereka gunakan untuk membuat kode dan membuat aplikasi.

Dengan menginfeksi proyek pengembangan aplikasi tersebut, pengembang tanpa disadari mendistribusikan malware ke pengguna mereka, yang digambarkan oleh para peneliti Trend Micro sebagai “serangan seperti rantai pasokan”. Malware ini terus dikembangkan, dengan varian yang lebih baru juga menargetkan Mac yang menjalankan chip M1 yang lebih baru.

Setelah malware berjalan di komputer korban, ia menggunakan dua zero day – satu untuk mencuri cookie dari browser Safari untuk mendapatkan akses ke akun online korban, dan yang lainnya untuk diam-diam menginstal versi pengembangan Safari, memungkinkan penyerang untuk memodifikasi dan mengintip hampir semua situs web.

Tidak jelas berapa banyak Mac yang dapat diinfeksi oleh malware menggunakan teknik ini. Tetapi Apple mengonfirmasi kepada TechCrunch bahwa mereka memperbaiki bug di macOS 11.4, yang tersedia sebagai pembaruan hari ini.

Selengkapnya: Tech Crunch

Grup peretasan Lemon Duck mengadopsi kerentanan Microsoft Exchange Server dalam serangan baru

May 11, 2021 by Winnie the Pooh

Para peneliti telah menjelajahi aktivitas terbaru dari grup peretasan Lemon Duck, termasuk pemanfaatan kerentanan Microsoft Exchange Server dan penggunaan umpan domain tingkat atas.

Eksploitasi aktif dari kerentanan Server Microsoft Exchange zero-day di alam liar adalah bencana keamanan bagi ribuan organisasi.

Pada akhir Maret, Microsoft mengatakan botnet Lemon Duck telah diamati mengeksploitasi server yang rentan dan menggunakan sistem untuk menambang cryptocurrency.

Sekarang, para peneliti dari Cisco Talos telah mendalami taktik para penyerang dunia maya saat ini.

Operator Lemon Duck menggabungkan alat baru untuk “memaksimalkan efektivitas kampanye mereka” dengan menargetkan kerentanan tingkat tinggi di Microsoft Exchange Server dan data telemetri mengikuti kueri DNS ke domain Lemon Duck menunjukkan bahwa aktivitas kampanye melonjak pada bulan April.

Mayoritas kueri datang dari AS, diikuti oleh Eropa dan Asia Tenggara. Lonjakan besar dalam kueri ke satu domain Lemon Duck juga tercatat di India.

Lemon Duck juga telah membuat umpan domain tingkat atas (TLD) untuk China, Jepang, dan Korea Selatan untuk mencoba dan mengaburkan infrastruktur pusat perintah dan kontrol (C2).

Tumpang tindih antara botnet Lemon Duck dan malware cryptocurrency Beapy / Pcastle juga telah diamati.

Selengkapnya: ZDNet

Apple memperbaiki 2 kerentanan zero-day iOS yang digunakan secara aktif dalam serangan

May 4, 2021 by Winnie the Pooh

Hari ini, Apple telah merilis pembaruan keamanan yang memperbaiki dua kerentanan zero-day iOS yang dieksploitasi secara aktif di mesin Webkit yang digunakan oleh peretas untuk menyerang perangkat iPhone, iPad, iPod, macOS, dan Apple Watch.

Webkit adalah mesin rendering browser Apple yang harus digunakan oleh semua browser web seluler di iOS dan aplikasi lain yang membuat HTML, seperti Apple Mail dan App Store.

Kerentanan ini dilacak sebagai CVE-2021-30665 dan CVE-2021-30663, dan keduanya memungkinkan eksekusi kode jarak jauh (RCE) pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya.

Kerentanan RCE dianggap paling berbahaya karena memungkinkan penyerang menargetkan perangkat yang rentan dan menjalankan perintah pada perangkat tersebut dari jarak jauh.

Daftar perangkat yang terpengaruh meliputi:

iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
macOS Big Sur
Apple Watch Series 3 dan lebih baru

Zero-day tersebut telah ditangani oleh Apple hari ini di iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, dan pembaruan watchOS 7.4.1. Pengguna disarankan untuk memperbarui perangkat mereka sesegera mungking.

Selengkapnya: Bleeping Computer

Grup ransomware baru menggunakan SonicWall zero-day untuk menerobos jaringan

May 1, 2021 by Winnie the Pooh

Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Seri SonicWall SMA 100 untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.

Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 SonicWall untuk menerobos jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.

Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian pintu belakang SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.

Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.

selengkapnya : www.bleepingcomputer.com

Google memperbaiki zero-day Chrome yang dibagikan di Twitter minggu lalu

April 22, 2021 by Winnie the Pooh

Google telah merilis Chrome 90.0.4430.85 untuk mengatasi zero-day yang dieksploitasi secara aktif dan empat kerentanan keamanan tingkat tinggi lainnya yang memengaruhi browser web terpopuler saat ini.

Versi yang dirilis pada 20 April 2021, ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux akan diluncurkan ke semua pengguna selama beberapa minggu mendatang.

Google tidak membagikan detail apa pun mengenai zero-day selain menggambarkannya sebagai ‘Type Confusion in V8’ dan mengatakan bahwa itu dilaporkan oleh Jose Martinez dari VerSprite Inc.

Namun, Martinez menautkannya ke eksploitasi bukti konsep (PoC) yang dibagikan secara publik di Twitter satu minggu lalu setelah laporan awal Program Penghargaan Kerentanan Chrome dari tanggal 5 April.

Kerentanan eksekusi kode jarak jauh ini tidak dapat dimanfaatkan oleh penyerang untuk keluar dari fitur keamanan sandbox Chromium (fitur keamanan yang dirancang untuk memblokir eksploitasi agar tidak mengakses file atau menjalankan kode di komputer host).

Namun, itu dapat dengan mudah digabungkan dengan bug keamanan lain yang dapat memungkinkan eksploitasi untuk keluar dari sandbox dan mengeksekusi kode arbitrer pada sistem pengguna yang ditargetkan.

Selengkapnya: Bleeping Computer

SonicWall memperingatkan pelanggan untuk menambal 3 zero-day yang dieksploitasi di alam liar

April 21, 2021 by Winnie the Pooh

Produsen perangkat keras keamanan SonicWall mendesak pelanggan untuk menambal serangkaian tiga kerentanan zero-day yang memengaruhi produk Keamanan Email lokal dan yang dihosting.

“Setidaknya dalam satu kasus yang diketahui, kerentanan ini telah diamati untuk dieksploitasi ‘di alam liar'”, kata SonicWall dalam sebuah advisory keamanan yang mereka terbitkan.

Perusahaan mengatakan itu “keharusan” bahwa organisasi yang menggunakan peralatan perangkat keras Keamanan Email, peralatan virtual, atau instalasi perangkat lunak pada mesin Microsoft Windows Server segera meningkatkan ke versi yang terbaru.

Tiga zero-day yang dilaporkan oleh Josh Fleischer dan Chris DiGiamo dari Mandiant adalah:

CVE-2021-20021: Kerentanan Pembuatan Akun Administratif Pra-Otentikasi Keamanan Email yang memungkinkan penyerang membuat akun administratif dengan mengirim permintaan HTTP yang dibuat ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
CVE-2021-20022: Kerentanan Pembuatan File Sewenang-wenang Pasca-Autentikasi Keamanan Email yang memungkinkan penyerang pasca-otentikasi mengunggah file sewenang-wenang ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
CVE-2021-20023: Kerentanan keamanan Email Pasca-Otentikasi Membaca File Sewenang-wenang yang memungkinkan penyerang pasca-otentikasi membaca file sewenang-wenang dari host jarak jauh (pembaruan keamanan dirilis pada 19 April)

Selengkapnya: Bleeping Computer

Eksploitasi zero-day Google Chrome kedua dibagikan di twitter minggu ini

April 15, 2021 by Winnie the Pooh

Eksploitasi eksekusi kode jarak jauh zero-day Chromium kedua telah dirilis di Twitter minggu ini yang memengaruhi versi terbaru Google Chrome, Microsoft Edge, dan kemungkinan browser berbasis Chromium lainnya.

Kerentanan zero-day adalah ketika informasi mendetail tentang kerentanan atau exploit dirilis sebelum pengembang perangkat lunak yang terpengaruh dapat memperbaikinya. Kerentanan ini menimbulkan risiko yang signifikan bagi pengguna karena memungkinkan pelaku ancaman untuk mulai menggunakannya sebelum perbaikan dirilis.

Seorang peneliti keamanan yang dikenal sebagai frust menjatuhkan eksploitasi PoC di Twitter untuk bug zero-day browser berbasis Chromium yang menyebabkan aplikasi Windows Notepad terbuka.

another chrome 0dayhttps://t.co/QJy24ARKlU
Just here to drop a chrome 0day. Yes you read that right.

— frust (@frust93717815) April 14, 2021

Kerentanan zero-day baru ini muncul sehari setelah Google merilis Chrome 89.0.4389.128 untuk memperbaiki kerentanan zero-day Chromium lain yang dirilis secara publik pada hari Senin.

Frust merilis video yang menunjukkan kerentanan yang dieksploitasi untuk membuktikan bahwa eksploitasi PoC mereka berfungsi.

Selengkapnya: Bleeping Computer

Kerentanan zero-day Google Chrome, Microsoft Edge dibagikan di Twitter

April 14, 2021 by Winnie the Pooh

Seorang peneliti keamanan telah merilis kerentanan eksekusi kode jarak jauh zero-day di Twitter yang berfungsi pada versi Google Chrome dan Microsoft Edge saat ini.

Kerentanan zero-day adalah bug keamanan yang telah diungkapkan secara publik tetapi belum ditambal dalam versi rilis perangkat lunak yang terpengaruh.

Peneliti keamanan Rajvardhan Agarwal merilis eksploitasi bukti-konsep (PoC) yang berfungsi untuk kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium.

Just here to drop a chrome 0day. Yes you read that right.https://t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR

— Rajvardhan Agarwal (@r4j0x00) April 12, 2021

Meskipun Agarwal menyatakan bahwa kerentanan telah diperbaiki di versi terbaru mesin JavaScript V8, tidak jelas kapan Google akan meluncurkan versi terbaru Google Chrome.

Meskipun tidak ada pengembang yang menyukai perilisan zero-day untuk perangkat lunak mereka, hal baiknya adalah zero-day Agarwal saat ini tidak dapat keluar dari sandbox browser. Sandbox Chrome adalah batas keamanan browser yang mencegah kerentanan eksekusi kode jarak jauh agar tidak meluncurkan program di komputer host.

Agar eksploitasi RCE zero-day Agarwal berfungsi, eksploitasi tersebut perlu digabungkan dengan kerentanan lain yang memungkinkan eksploitasi tersebut keluar dari sandbox Chromium.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zero Day

Cookies Settings