Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Zero Day

Zero Day

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Google Mendeskripsikan Dua Bug Zero-Day yang Dilaporkan di Klien Zoom dan Server MMR

by

Eksplorasi permukaan serangan nol klik untuk solusi konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan, mengeksekusi kode berbahaya, dan bahkan membocorkan area sewenang-wenang dari memorinya.

Natalie Silvanovich dari Google Project Zero, yang menemukan dan melaporkan dua kekurangan tahun lalu, mengatakan masalah tersebut berdampak pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten audio dan video antara klien dalam penyebaran di tempat.

Kelemahan sejak itu telah ditangani oleh Zoom sebagai bagian dari pembaruan yang dikirim pada 24 November 2021.

Tujuan dari serangan nol-klik adalah untuk diam-diam mendapatkan kontrol atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna, seperti mengklik tautan.

Sementara spesifik dari eksploitasi akan bervariasi tergantung pada sifat kerentanan yang dieksploitasi, sifat kunci dari hacks nol-klik adalah kemampuan mereka untuk tidak meninggalkan jejak aktivitas berbahaya, membuat mereka sangat sulit untuk dideteksi.

Dua kelemahan yang diidentifikasi oleh Project Zero adalah sebagai berikut –

  • CVE-2021-34423 (skor CVSS: 9.8) – Kerentanan buffer overflow yang dapat dimanfaatkan untuk merusak layanan atau aplikasi, atau mengeksekusi kode sewenang-wenang.
  • CVE-2021-34424 (skor CVSS: 7.5) – Cacat paparan memori proses yang dapat digunakan untuk berpotensi mendapatkan wawasan tentang area sewenang-wenang dari memori produk.

Dengan menganalisis lalu lintas RTP (Real-time Transport Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP, Silvanovich menemukan bahwa adalah mungkin untuk memanipulasi isi buffer yang mendukung membaca berbagai jenis data dengan mengirim pesan obrolan yang cacat, menyebabkan klien dan server MMR macet.

Selain itu, kurangnya pemeriksaan NULL – yang digunakan untuk menentukan akhir string – memungkinkan untuk membocorkan data dari memori saat bergabung dengan rapat Zoom melalui browser web.

Peneliti juga mengaitkan cacat korupsi memori dengan fakta bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat, mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan serangan buffer overflow.

“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan risiko bahwa penyerang dapat membahayakannya,” kata Silvanovich. “ASLR bisa dibilang mitigasi yang paling penting dalam mencegah eksploitasi korupsi memori, dan sebagian besar mitigasi lainnya bergantung padanya pada tingkat tertentu agar efektif. Tidak ada alasan yang baik untuk itu untuk dinonaktifkan di sebagian besar perangkat lunak. ”

Sementara sebagian besar sistem konferensi video menggunakan perpustakaan open-source seperti WebRTC atau PJSIP untuk menerapkan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol berpemilik Zoom serta biaya lisensinya yang tinggi (hampir $ 1.500) sebagai hambatan untuk penelitian keamanan.

“Perangkat lunak sumber tertutup menghadirkan tantangan keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform mereka dapat diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata Silvanovich. “Sementara Tim Keamanan Zoom membantu saya mengakses dan mengkonfigurasi perangkat lunak server, tidak jelas bahwa dukungan tersedia untuk peneliti lain, dan lisensi perangkat lunak itu masih mahal.”

Sumber: The Hacker News

Apple Perbaiki Bug doorLock yang Dapat Menonaktifkan iPhone dan iPad

by

Apple telah merilis pembaruan keamanan untuk mengatasi penolakan layanan yang terus-menerus (DoS) yang dijuluki doorLock yang sama sekali akan menonaktifkan iPhone dan iPad yang menjalankan HomeKit di iOS 14.7 dan yang lebih baru.

HomeKit adalah protokol dan kerangka kerja Apple yang memungkinkan pengguna iOS dan iPadOS untuk menemukan dan mengontrol peralatan rumah pintar di jaringan mereka.

Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan hari ini, kerentanan doorLock yang dilacak sebagai CVE-2022-22588 akan menabrak perangkat iOS dan iPadOS yang terkena dampak ketika memproses nama aksesori HomeKit yang dibuat dengan jahat.

Apple telah mengatasi masalah kelelahan sumber daya yang parah ini di iOS 15.2.1 dan iPadOS 15.2.1 dengan menambahkan validasi input yang lebih baik yang tidak lagi memungkinkan penyerang untuk menonaktifkan perangkat yang rentan.

Perangkat yang menerima pembaruan keamanan hari ini termasuk iPhone 6s dan yang lebih baru, iPad Pro (semua model), iPad Air 2 dan yang lebih baru, iPad generasi ke-5 dan yang lebih baru, iPad mini 4 dan yang lebih baru, dan iPod touch (generasi ke-7).

“Empat bulan lalu saya menemukan dan melaporkan penolakan serius terhadap bug layanan di iOS yang masih tetap dalam rilis terbaru. Ini berlanjut melalui reboot dan dapat memicu setelah pemulihan dalam kondisi tertentu, “Trevor Spiniolas, programmer dan “peneliti keamanan awal” yang melihat dan melaporkan bug.

“Semua persyaratan adalah pengaturan default. Ketika seseorang mengatur perangkat iOS mereka, semuanya sudah agar bug berfungsi. Jika mereka menerima undangan rumah berbahaya dari sana, perangkat mereka berhenti bekerja. ”

Perbaikan tertunda sejak Agustus

Menurut Spiniolas, Apple telah mengetahui tentang doorlock sejak Agustus 2021, tetapi mendorong pembaruan keamanan beberapa kali meskipun berulang kali berjanji untuk memperbaikinya.

“Saya percaya bug ini ditangani secara tidak tepat karena menimbulkan risiko serius bagi pengguna dan berbulan-bulan telah berlalu tanpa perbaikan yang komprehensif,” kata Spinolas.

“Masyarakat harus menyadari kerentanan ini dan bagaimana mencegahnya dieksploitasi, daripada disimpan dalam kegelapan.”

Peneliti mengatakan penyerang harus mengubah nama perangkat HomeKit menjadi string besar hingga 500.000 karakter dan menipu target untuk menerima undangan Home.

Setelah target bergabung dengan jaringan HomeKit penyerang, perangkat mereka menjadi tidak responsif dan akhirnya crash.

Satu-satunya cara untuk pulih dari serangan semacam itu adalah dengan mengatur ulang perangkat yang dinonaktifkan, mengingat bahwa itu akan sekali lagi macet setelah memulai ulang dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit.

Patch zero-day juga tertunda

Pada bulan September, pengembang perangkat lunak Denis Tokarev juga menjatuhkan kode eksploitasi proof-of-concept untuk tiga kekurangan zero-day iOS di GitHub setelah Apple menunda patching dan gagal mengkreditnya ketika menambal yang keempat pada bulan Juli.

Satu bulan kemudian, dengan merilis iOS 15.0.2, Apple memperbaiki salah satu kerentanan ‘gamed’ zero-day yang dilaporkan oleh Tokarev.

Namun, Apple tidak mengakui atau memujinya atas penemuan itu dan juga memintanya untuk tetap diam dan tidak mengungkapkan kepada orang lain bahwa perusahaan gagal memberinya kredit untuk bug tersebut.

Peneliti keamanan lainnya dan pemburu hadiah bug juga telah melalui pengalaman serupa yang mengatakan bahwa mereka telah disimpan dalam kegelapan selama berbulan-bulan dengan Apple menolak untuk membalas pesan mereka.

Sumber: Bleepingcomputer

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

by

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Log4j: Seberapa Kacaukah Kita?

by

Bug Apache log4j yang ditemukan beberapa waktu lalu adalah sebuah mimpi buruk. Menurut Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur Amerika, ini adalah “salah satu yang paling serius” yang dia lihat dalam “masa karirnya.”

Meskipun pengguna web sehari-hari tidak dapat berbuat banyak tentang seluruh situasi ini, mungkin bermanfaat untuk mengetahui apa yang terjadi. Inilah ikhtisar singkat tentang semua mimpi buruk itu.

Bug Terburuk di Web

Pustaka logging Log4j diimplementasikan oleh para engineer untuk merekam bagaimana program berjalan; mereka memungkinkan audit kode dan merupakan mekanisme rutin untuk menyelidiki bug dan masalah fungsionalitas lainnya.

Karena log4j gratis dan dipercaya secara luas, perusahaan besar dan kecil telah menggunakannya untuk semua jenis hal. Ironisnya, tentu saja, alat pemeriksa bug ini sekarang memiliki bug.

Peneliti keamanan telah menyebut kerentanan tersebut sebagai “Log4Shell” karena eksploitasi yang tepat dapat mengakibatkan akses shell (juga disebut “akses kode jarak jauh”) ke sistem server. Kerentanan tersebut membawa peringkat keparahan 10 pada skala Sistem Skor Kerentanan Umum.

Secara teknis, bug tersebut adalah kerentanan eksekusi kode jarak jauh zero-day, yang berarti “memungkinkan penyerang mengunduh dan menjalankan skrip pada server yang ditargetkan, membiarkannya terbuka untuk kendali jarak jauh”, ungkap Bitdefender.

Siapa yang Terkena Dampak?

Karena keberadaan log4j yang ada di mana-mana, sebagian besar platform terbesar di internet rentan dengan bencana tersebut. Menurut berbagai laporan, yang terkena dampak termasuk nama-nama besar seperti Apple, Twitter, Amazon, LinkedIn, CloudFlare, dan banyak lagi.

Amazon jelas merupakan salah satu perusahaan terbesar dalam daftar tersebut. Raksasa teknologi telah secara teratur menerbitkan pembaruan yang terkait dengan produk dan layanannya (yang tampaknya ada beberapa), sementara Apple, baru-baru ini mengkonfirmasi bahwa iCloud terpengaruh oleh bug tersebut dan kemudian telah menambal nya.

Perusahaan lain masih menyelidiki apakah mereka telah terdampak atau tidak, termasuk raksasa teknologi seperti Blackberry, Dell, Huawei, dan Citrix, serta perusahaan teknologi terkemuka seperti SonicWall, McAfee, TrendMicro, Oracle, Qlik, dan banyak lagi lainnya.

Serangan: Datang

Sebagian besar masalahnya adalah bahwa sebagian besar penjahat tampaknya telah mengetahui tentang kerentanan log4j pada waktu yang hampir bersamaan dengan orang lain.

Dengan demikian, upaya eksploitasi pada sistem dan platform yang rentan telah meningkat secara eksponensial sejak minggu lalu—karena peretas di seluruh web dengan fanatik berusaha memanfaatkan situasi unik yang mengerikan ini.

“Sangat mungkin bahwa ransomware pada akhirnya akan memanfaatkan kerentanan log4j. Terutama karena sistem yang rentan kemungkinan merupakan aset penting seperti server,” kata Sergio Caltagirone, Wakil Presiden Intelijen Ancaman di perusahaan keamanan siber Dragos.

Memang benar, perusahaan keamanan siber Bitdefender menerbitkan penelitian pada hari Selasa yang tampaknya menunjukkan upaya eksploitasi pada mesin yang rentan oleh keluarga ransomware baru yang dikenal sebagai “Khonsari”.

Dan, sementara ransomware adalah salah satu perhatian utama, profesional keamanan siber lainnya telah menulis tentang berbagai macam upaya eksploitasi yang mereka lihat—seperti yang menjalankan keseluruhan mulai dari cryptomining dan instalasi botnet, hingga lebih banyak aktivitas jenis pengintaian, seperti pemindaian umum dan penyebaran suar Cobalt-Strike.

Jika Anda pengguna web biasa, satu-satunya hal yang benar-benar dapat Anda lakukan saat ini adalah memperbarui perangkat dan aplikasi Anda saat diminta dan berharap platform yang Anda andalkan cukup cepat untuk mengidentifikasi kerentanan, membuat patch, dan mendorong pembaruan.

Selengkapnya: Gizmodo

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

by

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Sumber: ZDNet

Selengkapnya: ZDNet

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

by

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Log4Shell Memunculkan Mutasi Lebih Berbahaya

by

Internet memiliki kanker ganas yang menyebar secara cepat – atau dikenal sebagai eksploitasi perpustakaan logging Apache Log4j – yang telah bermutasi dengan cepat dan menarik kawanan penyerang sejak diungkapkan secara publik minggu lalu.

Sebagian besar serangan berfokus pada penambangan cryptocurrency, seperti yang terlihat oleh Sophos, Microsoft, dan perusahaan keamanan lainnya. Namun, penyerang secara aktif mencoba menginstal malware yang jauh lebih berbahaya pada sistem yang rentan juga.

Menurut peneliti Microsoft, di luar penambangan cryptocurrency, mereka juga telah melihat instalasi Cobalt Strike, yang dapat digunakan penyerang untuk mencuri kata sandi, merayap lebih jauh ke jaringan yang disusupi dengan gerakan lateral dan mengekstrak data.

Itu bisa menjadi jauh lebih buruk. Peneliti keamanan siber di Check Point memperingatkan pada hari Senin bahwa evolusi telah menyebabkan lebih dari 60 mutasi yang lebih besar dan lebih kuat, semuanya muncul dalam waktu kurang dari sehari.

Check Point mengatakan bahwa mereka menggagalkan lebih dari 845.000 upaya eksploitasi, dengan lebih dari 46 persen dari upaya tersebut dilakukan oleh kelompok jahat yang dikenal. Faktanya, Check Point memperingatkan bahwa terlihat lebih dari 100 upaya untuk mengeksploitasi kerentanan per menit.

Peta di bawah ini mengilustrasikan geografi sasaran teratas.

Sumber: Threat Post

Selengkapnya: Threat Post