Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Zero Day

Zero Day

Pencarian Windows baru zero-day ditambahkan ke mimpi buruk protokol Microsoft

by

Kerentanan zero-day Windows Search yang baru dapat digunakan untuk secara otomatis membuka jendela pencarian yang berisi executable malware yang di-host dari jarak jauh hanya dengan meluncurkan dokumen Word.

Masalah keamanan dapat dimanfaatkan karena Windows mendukung penangan protokol URI yang disebut ‘search-ms’ yang memungkinkan aplikasi dan tautan HTML untuk meluncurkan pencarian yang disesuaikan pada perangkat.

Sementara sebagian besar pencarian Windows akan melihat pada indeks perangkat lokal, juga dimungkinkan untuk memaksa Pencarian Windows untuk menanyakan pembagian file pada host jarak jauh dan menggunakan judul khusus untuk jendela pencarian.

Misalnya, kumpulan alat Sysinternals yang populer memungkinkan Anda memasang live.sysinternals.com dari jarak jauh sebagai jaringan berbagi untuk meluncurkan utilitas mereka. Untuk mencari berbagi jarak jauh ini dan hanya mencantumkan file yang cocok dengan nama tertentu, Anda dapat menggunakan URI ‘search-ms’ berikut:

search-ms:query=proc&crumb=lokasi:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Seperti yang dapat Anda lihat dari perintah di atas, variabel ‘crumb’ search-ms menentukan lokasi yang akan dicari, dan variabel ‘displayname’ menentukan judul pencarian.

Jendela pencarian yang disesuaikan akan muncul ketika perintah ini dijalankan dari dialog Run atau bilah alamat browser web pada Windows 7, Windows 10, dan Windows 11, seperti yang ditunjukkan di bawah ini.

Pencarian Windows pada berbagi file jarak jauh
Sumber: BleepingComputer

Perhatikan bagaimana judul jendela diatur ke nama tampilan ‘Searching Sysinternals’ yang kami tentukan di URI ms pencarian.

Pelaku ancaman dapat menggunakan pendekatan yang sama untuk serangan berbahaya, di mana email phishing dikirim dengan berpura-pura sebagai pembaruan keamanan atau patch yang perlu diinstal.

Mereka kemudian dapat mengatur berbagi Windows jarak jauh yang dapat digunakan untuk meng-host malware yang disamarkan sebagai pembaruan keamanan dan kemudian menyertakan URI ms pencarian dalam lampiran phishing atau email mereka.

Namun, tidak mudah untuk membuat pengguna mengklik URL seperti ini, terutama ketika muncul peringatan, seperti yang ditunjukkan di bawah ini.

Peringatan browser saat meluncurkan penangan protokol URI
Sumber: BleepingComputer

Tetapi salah satu pendiri dan peneliti keamanan Hacker House Matthew Hickey menemukan cara dengan menggabungkan kelemahan objek Microsoft Office OLEO yang baru ditemukan dengan pengendali protokol pencarian-ms untuk membuka jendela pencarian jarak jauh hanya dengan membuka dokumen Word.

Minggu ini, para peneliti menemukan bahwa pelaku ancaman memanfaatkan kerentanan zero-day Windows baru di Microsoft Windows Support Diagnostic Tool (MSDT). Untuk mengeksploitasinya, pelaku ancaman membuat dokumen Word berbahaya yang meluncurkan pengendali protokol URI ‘ms-msdt’ untuk menjalankan perintah PowerShell hanya dengan membuka dokumen.

Diidentifikasi sebagai CVE-2022-30190, cacat memungkinkan untuk memodifikasi dokumen Microsoft Office untuk melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi oleh pengguna, yang hanya akan menyebabkan penyalahgunaan lebih lanjut terhadap penangan protokol.

Ini terlihat kemarin ketika Hickey mengonversi eksploitasi Microsoft Word MSDT yang ada untuk menggunakan pengendali protokol pencarian-ms yang kami jelaskan sebelumnya.

Dengan PoC baru ini, ketika pengguna membuka dokumen Word, maka secara otomatis akan meluncurkan perintah ‘search-ms’ untuk membuka jendela Pencarian Windows yang mencantumkan executable pada share SMB jarak jauh. Pembagian ini dapat diberi nama apa pun yang diinginkan oleh pelaku ancaman, seperti ‘Pembaruan Penting’, yang mendorong pengguna untuk menginstal malware yang terdaftar.

Seperti eksploitasi MSDT, Hickey juga menunjukkan bahwa Anda dapat membuat versi RTF yang secara otomatis membuka jendela Pencarian Windows saat dokumen ditampilkan di panel pratinjau Explorer.

Dengan menggunakan jenis dokumen Word berbahaya ini, pelaku ancaman dapat membuat kampanye phishing yang rumit yang secara otomatis meluncurkan jendela Pencarian Windows di perangkat penerima untuk mengelabui mereka agar meluncurkan malware.

Meskipun eksploitasi ini tidak separah kerentanan eksekusi kode jarak jauh MS-MSDT, ini dapat menyebabkan penyalahgunaan oleh aktor ancaman yang rajin yang ingin membuat kampanye phishing yang canggih.

Untuk mengurangi kerentanan ini, Hickey mengatakan Anda dapat menggunakan mitigasi yang sama untuk eksploitasi ms-msdt – hapus pengendali protokol pencarian-ms dari Windows Registry.

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\search-ms /f”

Contoh penyalahgunaan MSDT dan search-ms bukanlah hal baru, awalnya diungkapkan oleh Benjamin Altpeter pada tahun 2020 dalam tesisnya tentang keamanan aplikasi Elektron.

Namun, baru-baru ini mereka mulai dijadikan senjata dalam dokumen Word untuk serangan phishing tanpa interaksi pengguna, yang mengubahnya menjadi kerentanan zero-day.

Berdasarkan panduan Microsoft untuk CVE-2022-30190, perusahaan tampaknya mengatasi kelemahan dalam penangan protokol dan fitur Windows yang mendasarinya, daripada fakta bahwa pelaku ancaman dapat menyalahgunakan Microsoft Office untuk meluncurkan URI ini tanpa interaksi pengguna.

Seperti yang dikatakan oleh analis kerentanan CERT/CC Will Dormann, eksploitasi ini sebenarnya memanfaatkan dua kelemahan yang berbeda. Tanpa memperbaiki masalah URI Microsoft Office, penangan protokol lebih lanjut akan disalahgunakan.

Hickey juga mengatakan bahwa ia percaya bahwa ini tidak selalu merupakan cacat pada protokol penangan, melainkan kombinasi yang mengarah ke ‘Microsoft Office OLEObject search-ms Location Path Spoofing Vulnerability.’

Pada bulan Juni, para peneliti secara tidak sengaja mengungkapkan detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan Windows Spooler RCE bernama PrintNightmare.

Sementara komponen RCE diperbaiki dengan cepat, berbagai kerentanan elevasi hak istimewa lokal ditemukan yang terus diungkapkan di bawah klasifikasi ‘PrintNightmare’.

Tidak sampai Microsoft membuat beberapa perubahan drastis pada Windows Printing yang akhirnya mereka kendalikan kelas kerentanan ini, meskipun menyebabkan banyak masalah pencetakan untuk beberapa waktu.

Dengan mengatasi masalah hanya di sisi fitur penangan protokol/Windows, Microsoft menghadapi klasifikasi ‘ProtocolNightmare’ yang sama sekali baru di mana para peneliti akan terus menemukan penangan URI baru untuk disalahgunakan dalam serangan.

Sampai Microsoft tidak memungkinkan untuk meluncurkan penangan URI di Microsoft Office tanpa interaksi pengguna, bersiaplah untuk serangkaian artikel berita serupa saat eksploitasi baru dirilis.

Sumber: Bleeping Computer

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

by

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

  • Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
  • Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
  • Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

Pembaruan darurat Apple memperbaiki zero-day yang digunakan untuk meretas Mac, Jam Tangan

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dapat dieksploitasi oleh pelaku ancaman dalam serangan yang menargetkan perangkat Mac dan Apple Watch.

Zero-days adalah kelemahan keamanan yang tidak disadari oleh vendor perangkat lunak dan belum ditambal. Dalam beberapa kasus, jenis kerentanan ini mungkin juga memiliki eksploitasi konsep yang tersedia untuk umum sebelum tambalan tiba atau dapat dieksploitasi secara aktif di alam liar.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan bug keamanan ini “mungkin telah dieksploitasi secara aktif.”

Cacat tersebut adalah masalah penulisan di luar batas (CVE-2022-22675) di AppleAVD (ekstensi kernel untuk decoding audio dan video) yang memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak istimewa kernel.

Bug tersebut dilaporkan oleh peneliti anonim dan diperbaiki oleh Apple di macOS Big Sur 11.6., watchOS 8.6, dan tvOS 15.5 dengan pemeriksaan batas yang ditingkatkan.

Daftar perangkat yang terpengaruh termasuk Apple Watch Series 3 atau lebih baru, Mac yang menjalankan macOS Big Sur, Apple TV 4K, Apple TV 4K (generasi ke-2), dan Apple TV HD.

Sementara Apple mengungkapkan laporan eksploitasi aktif di alam liar, itu tidak merilis info tambahan mengenai serangan ini.

Dengan menahan informasi, perusahaan kemungkinan bertujuan untuk memungkinkan pembaruan keamanan menjangkau sebanyak mungkin Apple Watch dan Mac sebelum penyerang mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan lain.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, tetap sangat disarankan untuk menginstal pembaruan keamanan macOS dan watchOS hari ini sesegera mungkin untuk memblokir upaya serangan.

Pada bulan Januari, Apple menambal dua zero-days lainnya yang dieksploitasi di alam liar untuk memungkinkan penyerang mendapatkan eksekusi kode arbitrer dengan hak kernel (CVE-2022-22587) dan melacak aktivitas penelusuran web dan identitas pengguna secara real-time (CVE-2022-22594) .

Satu bulan kemudian, Apple merilis pembaruan keamanan untuk menambal bug zero-day baru (CVE-2022-22620) yang dieksploitasi untuk meretas iPhone, iPad, dan Mac, yang menyebabkan crash OS dan eksekusi kode jarak jauh pada perangkat Apple yang disusupi.

Pada bulan Maret, dua lagi mengeksploitasi zero-days secara aktif di Intel Graphics Driver (CVE-2022-22674) dan dekoder media AppleAVD (CVE-2022-22675), yang terakhir juga di-backport hari ini di versi macOS yang lebih lama, di watchOS 8.6, dan di tvOS 15.5.

Lima zero-days ini berdampak pada iPhone (iPhone 6s dan yang lebih baru), Mac yang menjalankan macOS Monterey, dan beberapa model iPad.

Sepanjang tahun lalu, perusahaan juga menambal daftar panjang zero-days yang dieksploitasi di alam liar untuk menargetkan perangkat iOS, iPadOS, dan macOS.

Berikut daftar produk yang di update:

  • watchOS 8.6
  • tvOS 15.3
  • macOS Catalina
  • macOS Big Sur 11.6.6
  • macOS Monterey 12.4
  • iOS 15.5 and iPad OS 15.5
  • Xcode 13.4

Sumber: Bleeping Computer
Update Links: Software Patches Update

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

by

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

  • CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
  • CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Keamanan seluler 2021: Android lebih banyak kerentanan, iOS lebih banyak zero-days

by

Perusahaan keamanan seluler Zimperium telah merilis laporan ancaman seluler tahunannya di mana tren dan penemuan keamanan di tahun yang berlalu meletakkan dasar untuk memprediksi apa yang akan terjadi pada tahun 2022.

Secara umum, fokus pelaku kejahatan di platform seluler telah meningkat dibandingkan tahun-tahun sebelumnya, Fokus ini diwujudkan dalam volume distribusi malware yang lebih signifikan, serangan phishing dan smishing, dan lebih banyak upaya untuk menemukan dan memanfaatkan eksploitasi zero-day.

Volume situs phishing yang menargetkan pengguna seluler (Zimperium)

Kerentanan zero-day diungkapkan secara publik atau bug yang dieksploitasi secara aktif tanpa perbaikan yang tersedia dari vendor atau pengembang. Karena sangat penting untuk memperbaiki bug zero-day, vendor biasanya terburu-buru untuk merilis pembaruan keamanan setelah mereka diungkapkan.

Namun, menurut statistik klien Zimperium dan survei yang dilakukan untuk laporan tersebut, hanya sekitar 42% orang yang bekerja di lingkungan BYOD (bawa perangkat Anda sendiri) yang menerapkan perbaikan prioritas tinggi dalam waktu dua hari sejak dirilis.

Kira-kira sepertiga diperlukan hingga satu minggu, sementara 20% yang signifikan belum menambal perangkat seluler mereka sebelum mencapai tanda dua minggu.

Pada tahun 2021, para aktor lebih fokus pada tenaga kerja jarak jauh atau perangkat seluler di lokasi, yang mengarah pada peningkatan pemindaian jaringan berbahaya dan serangan man-in-the-middle (MiTM). Serangan ini ditujukan untuk mencuri informasi sensitif yang memainkan peran penting dalam serangan yang lebih signifikan terhadap jaringan perusahaan.

Secara global, malware seluler merupakan masalah yang dihadapi di 23% dari semua titik akhir yang dilindungi oleh Zimperium pada tahun 2021, diikuti oleh MiTM (13%), situs web berbahaya (12%), dan pemindaian (12%).

Jenis ancaman seluler yang dicatat secara global pada tahun 2021 (Zimperium)(Zimperium)

Android vs. iOS
Dilihat berdasarkan volume, Android memiliki 574 kerentanan yang ditemukan pada tahun 2021, penurunan yang mencolok dari 859 pada tahun 2020, sementara 79% di antaranya ditandai dengan kompleksitas serangan yang rendah. Kategorisasi ini menunjukkan kelemahan yang mudah dieksploitasi.

Dari 574 kelemahan Android, 135 (23%) memiliki skor CVSS lebih tinggi dari 7,2, sementara 18 dinilai kritis.

Di iOS, peneliti keamanan menemukan 357 kerentanan baru di tahun yang telah berlalu, tetapi hanya 24% di antaranya yang dianggap sebagai bug dengan kompleksitas rendah.

Selain itu, hanya 63 (17%) yang memiliki peringkat keparahan CVSS lebih tinggi dari 7,2, tetapi 45 kelemahannya kritis, yang berarti memanfaatkannya dapat mengakibatkan kompromi yang signifikan pada perangkat.

Hal ini membuat iOS menjadi target yang lebih menantang tetapi menguntungkan karena kelemahannya sulit untuk diterapkan, tetapi hasilnya lebih besar.

Hipotesis ini dikonfirmasi oleh statistik zero-day untuk tahun 2021, dengan kerentanan iOS menyumbang 64% dari semua 17 serangan zero-day yang dieksploitasi yang menargetkan perangkat seluler pada tahun 2021.

OS seluler zero-days dieksploitasi di alam liar (Zimperium)

Zimperium juga menganalisis aplikasi paling populer dalam kategori keuangan, perawatan kesehatan, ritel, dan gaya hidup di Google Play Store dan Apple App Store. Kesimpulannya adalah bahwa aplikasi adalah titik tanggung jawab keamanan yang signifikan untuk perangkat seluler.

Evaluasi keamanan aplikasi massal Zimperium

Terutama, 80% aplikasi keuangan untuk Android menggunakan enkripsi yang rentan, sementara 82% aplikasi retail di iOS tidak memiliki perlindungan kode apa pun.

2022 Outlook
Survei Zimperium mengungkapkan bahwa 84% profesional keamanan saat ini telah mengaktifkan Microsoft Office 365 di perangkat seluler, dengan 38% di antaranya sedang dalam proses mengamankan penerapan ini pada fase kedua.

Statistik ini secara sempurna mencerminkan berapa banyak organisasi yang mengorbankan kontrol keamanan yang ketat untuk mendukung produktivitas dan kelangsungan bisnis selama masa perubahan dramatis.

Dibandingkan tahun-tahun sebelumnya, baik Google (Android) dan Apple (iOS) telah melangkah jauh dalam hal keamanan, dan sistem seluler mereka cukup kuat untuk mengesampingkan eksploitasi yang mudah.

Saat ini, pelaku ancaman dipaksa untuk menemukan dan mengaitkan berbagai kerentanan untuk mencapai tujuan yang berarti, sehingga serangan ini semakin sulit dilakukan.

Oleh karena itu, kunci untuk menjaga keamanan perangkat Anda adalah dengan mengurangi jumlah aplikasi yang diinstal seminimal mungkin. Sayangnya, semakin banyak aplikasi yang Anda gunakan, semakin besar risiko data Anda.

Terakhir, perbarui OS seluler Anda dengan menerapkan pembaruan keamanan yang tersedia, dan untuk Android, gunakan alat AV, aktifkan Play Protect, dan tinjau izin aplikasi secara teratur.

Sumber : Bleeping Computer

Microsoft Patch Tuesday Bulan Maret 2022 Memperbaiki 71 Kelemahan, 3 Zero Day

by

Microsoft telah merilis Patch Tuesday bulan MAret 2022, dan dengan itu datang perbaikan untuk 3 kerentanan zero-day dan total 71 kelemahan keamanan.

Microsoft telah memperbaiki 71 kerentanan (tidak termasuk 21 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Patch Tuesday bulan ini juga mencakup perbaikan untuk tiga kerentanan zero-day yang diungkapkan secara publik. Kabar baiknya adalah bahwa tidak satu pun dari kerentanan ini yang dieksploitasi secara aktif dalam serangan.

Kerentanan yang diungkapkan kepada publik yang diperbaiki sebagai bagian dari Patch Tuesday Maret 2022 adalah:

  • CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2022-24459 – Windows Fax and Scan Service Elevation of Privilege Vulnerability
  • CVE-2022-24512 – .NET and Visual Studio Remote Code Execution Vulnerability

Meskipun tidak satu pun dari kerentanan ini telah digunakan dalam serangan, Microsoft menyatakan bahwa ada eksploit proof-of-concept untuk CVE-2022-21990 dan CVE-2022-24459.

Kerentanan lain yang menarik bulan ini yang diyakini Microsoft lebih mungkin menjadi sasaran pelaku ancaman adalah:

  • CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
  • CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Selengkapnya: Bleeping Computer