Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Cisco diretas oleh geng ransomware Yanluowang, 2.8GB diduga dicuri

by

Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.

Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.

“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”

Email Yanluowang ke Cisco

Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.

Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.

Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.

Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.

Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.

Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.

Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.

Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.

Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0

Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.

Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.

Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.

Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.

Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.

Dokumen bukti pelanggaran Cisco (BleepingComputer)

Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.

Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.

Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.

Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.

Sumber: Bleeping Computer

Perusahaan Cyber ​​Luncurkan Standar Keamanan untuk Memantau Upaya Peretasan

by

Sekelompok 18 perusahaan teknologi dan siber mengatakan pada hari Rabu bahwa mereka sedang membangun standar data bersama untuk berbagi informasi keamanan siber. Mereka bertujuan untuk memperbaiki masalah bagi kepala keamanan perusahaan yang mengatakan bahwa produk siber sering tidak terintegrasi, sehingga sulit untuk menilai sepenuhnya ancaman peretasan.

Amazon. Bisnis cloud AWS com Inc., perusahaan keamanan siber Splunk Inc. dan unit keamanan International Business Machines Corp., antara lain, meluncurkan Open Cybersecurity Schema Framework, atau OCSF, Rabu di konferensi keamanan siber Black Hat USA di Las Vegas.

Produk dan layanan yang mendukung spesifikasi OCSF akan dapat menyusun dan menstandardisasi peringatan dari berbagai alat pemantauan dunia maya, pencatat jaringan, dan perangkat lunak lainnya, untuk menyederhanakan dan mempercepat interpretasi data tersebut, kata Patrick Coughlin, wakil presiden grup keamanan Splunk. pasar.

Perusahaan lain yang terlibat dalam inisiatif ini adalah CrowdStrike Holdings Inc., Rapid7 Inc., Palo Alto Networks Inc., Cloudflare Inc., DTEX Systems Inc., IronNet Inc., JupiterOne Inc., Okta Inc., Salesforce Inc., Securonix Inc. , Sumo Logic Inc., Tanium Inc., Zscaler Inc., dan Trend Micro Inc.

Kepala petugas keamanan informasi telah menggerutu tentang produk siber eksklusif yang memaksa tim keamanan untuk mengintegrasikan data secara manual. Lebih dari tiga perempat dari 280 profesional keamanan yang disurvei ingin melihat vendor membangun standar terbuka ke dalam produk mereka untuk memungkinkan interoperabilitas, menurut penelitian dari Asosiasi Keamanan Sistem Informasi dan unit analis TechTarget Inc. yang diterbitkan pada bulan Juli.

Seringkali, tim cyber membuat beberapa dasbor untuk memantau item seperti upaya login dan aktivitas jaringan yang tidak biasa. Untuk mendapatkan gambaran lengkap tentang peristiwa, mereka sering kali harus menulis kode khusus untuk memformat ulang data untuk satu dasbor atau alat analisis atau lainnya, kata Mark Ryland, direktur kantor CISO di AWS. “Ada banyak perangkat lunak khusus di luar sana di dunia keamanan,” katanya.

Produk yang mendukung OCSF akan dapat berbagi informasi dalam satu dasbor tanpa tenaga manual itu, kata Mr. Ryland. “Kami akan mendapat manfaat dari ini,” katanya tentang tim keamanan internal AWS.

Penyedia teknologi yang menulis versi awal OCSF berharap untuk memasukkannya ke dalam produk mereka dalam beberapa bulan mendatang, kata Chris Niggel, kepala petugas keamanan regional untuk Amerika di perusahaan manajemen identitas Okta.

Secara internal, Okta menggunakan layanan cloud dari Google Alphabet Inc., perusahaan sumber daya manusia Workday Inc., alat komunikasi Slack Inc., dan lainnya, kata Niggel. “Tim respons insiden kami harus menormalkan semua informasi itu sehingga mereka dapat melihat apa yang terjadi,” katanya.

Dengan data tentang potensi aktivitas peretasan dalam satu format, tim internal akan dapat mengenali serangan lebih awal, katanya. Plus, perusahaan akan dapat berbagi data insiden satu sama lain lebih cepat, tambahnya.

Standar dan dokumentasi OCSF akan ada di repositori sumber terbuka GitHub. Pekerjaan awal proyek dimulai bertahun-tahun yang lalu di Symantec, sekarang bagian dari perusahaan teknologi infrastruktur Broadcom Inc.

Sumber: WSJ

Penjahat siber menggunakan messaging apps untuk meluncurkan skema malware

by

Peneliti Intel 471 melaporkan bahwa penjahat siber memanfaatkan bot di dalam aplikasi perpesanan berbasis cloud populer seperti Discord dan Telegram untuk menyebarkan malware.

Bot biasanya digunakan untuk berbagi media, bermain game, saluran moderat, atau tugas otomatis lainnya yang dapat dibuat oleh pengembang.

Para peneliti mengatakan penjahat siber menggunakan platform tersebut untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka untuk mencuri kredensial atau informasi lain dari pengguna yang tidak sadar

Peneliti Intel 471 juga menemukan beberapa alat pencuri informasi yang tersedia secara bebas untuk diunduh yang mengandalkan Discord atau Telegram untuk fungsionalitasnya.

Salah satunya Blitzed Grabber, mereka menggunakan fitur webhook Discord sebagai cara untuk menyimpan data yang dieksfiltrasi melalui malware. Webhook menyediakan cara mudah untuk mengirim pesan otomatis dan pembaruan data dari mesin korban ke saluran pesan tertentu.

Pencuri ini dapat mencuri semua jenis informasi, termasuk data isi otomatis, bookmark, cookie browser, kredensial dari klien jaringan pribadi virtual (VPN), informasi kartu pembayaran, dompet cryptocurrency, informasi sistem operasi, kata sandi, dan kunci produk Microsoft Windows. Beberapa grabber, termasuk Blitzed Grabber, Mercurial Grabber, dan 44Caliber, juga menargetkan kredensial untuk platform game Minecraft dan Roblox.

Satu bot khusus Telegram, yang dikenal sebagai X-Files, memiliki fungsionalitas yang dapat diakses melalui perintah bot di dalam Telegram. Setelah malware dimuat ke sistem korban, pelaku jahat dapat menggesek kata sandi, cookie sesi, kredensial login, dan detail kartu kredit, dengan mengarahkan informasi itu ke saluran Telegram yang mereka pilih. X-Files dapat mengambil informasi dari berbagai browser, termasuk Google Chrome, Chromium, Opera, Slimjet, dan Vivaldi.

Peneliti Intel 471 juga telah mengamati pelaku ancaman yang menyalahgunakan infrastruktur cloud yang digunakan oleh aplikasi perpesanan untuk mendukung kampanye penyebaran malware. Banyak pelaku ancaman saat ini menggunakan jaringan pengiriman konten (CDN) Discord untuk meng-host muatan malware.

Sistem pengumpulan Intelijen Malware kami pertama kali mengamati teknik ini pada tahun 2019, tetapi berbagai pelaku ancaman masih menggunakannya. Operator malware tampaknya tidak menghadapi batasan apa pun saat mengunggah muatan berbahaya mereka ke CDN Discord untuk hosting file. Tautan terbuka untuk pengguna mana pun tanpa autentikasi, memberikan aktor ancaman domain web bereputasi tinggi untuk meng-host muatan berbahaya.

Keluarga malware yang diamati menggunakan Discord CDN untuk meng-host muatan berbahaya meliputi:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi loader
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Sebelumnya, Intel 471 telah mengamati peningkatan layanan di bawah tanah kejahatan dunia maya yang memungkinkan penyerang memanfaatkan bot Telegram dalam upaya untuk mencegat token kata sandi satu kali (OTP). Pelaku kejahatan terus membangun layanan ini, menjual aksesnya di berbagai forum kejahatan dunia maya.

Satu bot yang diamati oleh peneliti Intel 471 pada bulan April, yang dikenal sebagai Astro OTP, memungkinkan operator untuk mendapatkan kode verifikasi OTP dan layanan pesan singkat (SMS). Operator diduga dapat mengontrol bot secara langsung melalui antarmuka Telegram dengan menjalankan perintah sederhana.

Akses ke bot sangat murah, langganan satu hari dapat dibeli seharga US $25, dengan langganan seumur hidup tersedia seharga US $300.

Otomatisasi di platform perpesanan populer menurunkan bar-of-entry untuk aktor jahat. Sementara pencuri informasi saja tidak menyebabkan jumlah kerusakan yang sama seperti malware seperti penghapus data atau ransomware, mereka dapat menjadi langkah pertama dalam meluncurkan serangan yang ditargetkan terhadap perusahaan.

Sumber: Intel 471

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer

Twilio mengungkapkan pelanggaran data yang berdampak pada pelanggan dan karyawan

by

Perusahaan komunikasi cloud Twilio mengatakan beberapa data pelanggannya diakses oleh penyerang yang melanggar sistem internal setelah mencuri kredensial karyawan dalam serangan SMS phishing.

“Pada 4 Agustus 2022, Twilio mengetahui akses tidak sah ke informasi terkait sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial canggih yang dirancang untuk mencuri kredensial karyawan,” kata Twilio akhir pekan lalu.

“Para penyerang kemudian menggunakan kredensial yang dicuri untuk mendapatkan akses ke beberapa sistem internal kami, di mana mereka dapat mengakses data pelanggan tertentu.”

Perusahaan juga mengungkapkan penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing.

Untuk melakukan itu, mereka meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci “Twilio,” “Okta,” dan “SSO” yang akan mengarahkan mereka ke klon halaman masuk Twilio.

​Pesan SMS phishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah.

Direktur Komunikasi EMEA Twilio Katherine James menolak untuk memberikan informasi lebih lanjut ketika ditanya berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, dengan mengatakan perusahaan “tidak memiliki komentar tambahan untuk diberikan saat ini di luar apa yang ada. diposting di blog.”

Perusahaan belum mengidentifikasi penyerang, tetapi bekerja dengan penegak hukum sebagai bagian dari penyelidikan yang sedang berlangsung.

Twilio mencabut akun karyawan yang dikompromikan selama serangan untuk memblokir akses penyerang ke sistemnya dan telah mulai memberi tahu pelanggan yang terpengaruh oleh insiden ini.

Perusahaan juga mengungkapkan pada Mei 2021 bahwa itu dipengaruhi oleh serangan rantai pasokan Codecov tahun lalu di mana pelaku ancaman memodifikasi alat Codecov Bash Uploader yang sah untuk mencuri kredensial, kunci rahasia, dan token pengguna dari pelanggan Codecov.

Dengan lebih dari 5.000 karyawan di 26 kantor di 17 negara, Twillio menyediakan API suara, teks, obrolan, video, dan email yang dapat diprogram yang digunakan oleh lebih dari 10 juta pengembang dan 150.000 bisnis untuk membangun platform keterlibatan pelanggan.

Twilio juga mengakuisisi Authy pada Februari 2015, penyedia otentikasi dua faktor (2FA) yang populer untuk pengguna akhir, pengembang, dan perusahaan dengan jutaan pengguna di seluruh dunia.

Sumber: Bleeping Computer

Tiga fitur terbaru WhatsApp

by

Selama beberapa tahun terakhir, WhatsApp secara agresif menguji dan menambahkan fitur baru ke platformnya. Sekarang, hampir setiap hari, layanan ini terlihat menguji coba peningkatan baru di saluran beta-nya, seperti persetujuan masuk perangkat dan chatbot untuk merinci perubahan terbaru.

Meskipun dimiliki oleh Meta, WhatsApp selalu menjaga privasi dengan serius dan dengan bangga menyoroti bahwa ia mendukung enkripsi ujung ke ujung. Baru-baru ini, ia juga menambahkan beberapa opsi terkait privasi yang berguna ke platformnya. Lebih lanjut, Mark Zuckerberg telah mengumumkan tiga fitur privasi baru untuk WhatsApp yang akan membuat hidup Anda lebih mudah dan obrolan lebih aman.

Pertama, Anda dapat meninggalkan obrolan grup WhatsApp tanpa memberi tahu semua orang—hanya admin grup yang akan melihat pesan. Ini adalah tambahan yang berguna untuk grup besar di mana beberapa anggota dapat keluar dari grup setelah acara tertentu.

Log semua kontak yang keluar dari grup atau dihapus darinya dalam 60 hari terakhir akan dipertahankan. Admin grup dan anggota dapat melihat log ini. Seperti yang baru-baru ini terlihat di saluran beta WhatsApp, Anda dapat mengakses log menggunakan opsi Lihat Peserta Sebelumnya dari tab Info grup.

Kedua, WhatsApp sekarang akan membiarkan Anda menyembunyikan status online Anda. Sudah dimungkinkan untuk menyembunyikan status ‘Terakhir terlihat’ dari kontak tertentu. Fitur privasi baru lebih lanjut dibangun dengan membiarkan Anda menentukan apakah kontak yang dapat melihat ‘Terakhir dilihat’ Anda juga dapat melihat apakah Anda sedang online atau tidak. Layanan perpesanan pertama kali ditemukan bekerja pada fitur pada saluran beta pada bulan Juli.

Terakhir, WhatsApp tidak akan lagi membiarkan siapa pun mengambil tangkapan layar pesan media sekali lihat. Sampai sekarang, penerima dapat mengambil tangkapan layar dari pesan sekali lihat, sehingga mengalahkan seluruh tujuannya. Ke depannya, hal ini tidak akan terjadi lagi karena platform akan memblokir tangkapan layar pada pesan tersebut karena alasan privasi.

Semua fitur saat ini diluncurkan untuk pengguna WhatsApp di Android dan iPhone. Jika mereka tidak muncul untuk Anda, pastikan untuk memperbarui aplikasi ke rilis terbarunya.

Sumber: Android Police

Google Secara Singkat Menghancurkan Internet Tadi Malam

by

Sebagian besar pengguna internet A.S. tadi malam mengalami secara singkat realitas gelap dan frustasi dari dunia tanpa layanan Google.

Meskipun Google telah menyelesaikan masalah pemadaman, laporan sebelumnya menunjukkan bahwa gangguan itu mungkin terkait dengan “insiden listrik” di pusat data Council Bluffs, Iowa yang menyebabkan setidaknya tiga tukang listrik terluka parah.

Situs pelacakan pemadaman internet Downdetector mulai melaporkan akun pemadaman Google sekitar pukul 9:00 EST pada Senin malam dengan laporan pengguna dengan cepat naik ke lebih dari 40.000 dalam waktu kurang dari satu jam. Gangguan menjalankan keseluruhan produk Google dan membuat ribuan orang tidak dapat mengakses pencarian, produk dasar Google, atau Google Maps.

Pengguna juga dilaporkan mengalami masalah dengan Gmail dan gambar Google. Pemadaman tampaknya sebagian besar terbatas pada pengguna yang berbasis di AS, meskipun Bloomberg mencatat masalah pencarian berdampak pada beberapa pengguna di Taiwan dan Jepang juga. Laporan pemadaman mulai mereda sekitar dua jam kemudian.

Dalam sebuah pernyataan, Google mengatakan pemadaman sebagian terkait dengan “pembaruan perangkat lunak.”

Di sinilah segalanya menjadi sedikit kabur. Tepat pada saat yang sama pengguna mulai mengalami gangguan Google dilaporkan berurusan dengan kebakaran listrik besar di pusat data Council Bluffs yang mengirim setidaknya tiga tukang listrik ke rumah sakit dengan cedera kritis. Para insinyur, menurut SF Gate, dilaporkan sedang bekerja di sebuah gardu yang dekat dengan pusat data ketika sebuah ledakan terjadi.

Salah satu tukang listrik dilaporkan diterbangkan ke rumah sakit setempat sementara dua lainnya dilarikan dengan ambulans untuk mengobati luka mereka. Perlu dicatat bahwa pusat data Council Bluffs adalah salah satu yang terbesar dari 14 pusat data perusahaan yang tersebar di seluruh AS.

Seorang juru bicara Google mengakui insiden itu dalam email yang dikirim ke Gizmodo.

Gangguan apa pun pada mesin pencari Google, bahkan yang kecil, memiliki bobot yang luar biasa karena cengkeraman pangsa pasar mesin pencari perusahaan yang tidak senonoh. Para peneliti memperkirakan Google menyumbang antara 61,7% dan 92% dari pencarian yang dilakukan di seluruh dunia.

Googlifikasi internet dunia ini baru intensif di era mobile. Perangkat yang dilengkapi Android, menurut firma riset Gartner, menyumbang 82% dari pangsa pasar sistem operasi ponsel pintar global selama akhir 2016, dengan sebagian besar ponsel tersebut menampilkan Google sebagai mesin pencari default. Mit Google dilaporkan juga ada di seluruh produk Apple iOS. Tahun lalu, raksasa pencarian dilaporkan membayar Apple sekitar $15 miliar untuk tetap menjadi mesin pencari default di browser Safari Apple.

Ini adalah cerita yang berkembang.

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer