Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Microsoft Patch Tuesday Bulan Maret 2022 Memperbaiki 71 Kelemahan, 3 Zero Day

by

Microsoft telah merilis Patch Tuesday bulan MAret 2022, dan dengan itu datang perbaikan untuk 3 kerentanan zero-day dan total 71 kelemahan keamanan.

Microsoft telah memperbaiki 71 kerentanan (tidak termasuk 21 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Patch Tuesday bulan ini juga mencakup perbaikan untuk tiga kerentanan zero-day yang diungkapkan secara publik. Kabar baiknya adalah bahwa tidak satu pun dari kerentanan ini yang dieksploitasi secara aktif dalam serangan.

Kerentanan yang diungkapkan kepada publik yang diperbaiki sebagai bagian dari Patch Tuesday Maret 2022 adalah:

  • CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2022-24459 – Windows Fax and Scan Service Elevation of Privilege Vulnerability
  • CVE-2022-24512 – .NET and Visual Studio Remote Code Execution Vulnerability

Meskipun tidak satu pun dari kerentanan ini telah digunakan dalam serangan, Microsoft menyatakan bahwa ada eksploit proof-of-concept untuk CVE-2022-21990 dan CVE-2022-24459.

Kerentanan lain yang menarik bulan ini yang diyakini Microsoft lebih mungkin menjadi sasaran pelaku ancaman adalah:

  • CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
  • CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Selengkapnya: Bleeping Computer

HP menambal 16 bug firmware UEFI yang memungkinkan infeksi malware tersembunyi

by

HP telah mengungkapkan 16 kerentanan firmware UEFI berdampak tinggi yang memungkinkan pelaku ancaman menginfeksi perangkat dengan malware yang mendapatkan hak istimewa tinggi dan tetap tidak terdeteksi oleh perangkat lunak keamanan yang diinstal.

Kerentanan ini memengaruhi beberapa model HP, termasuk laptop, komputer desktop, sistem PoS, dan node edge computing.

Cacat tersebut ditemukan oleh para peneliti di Binarly, tim yang sama yang menerbitkan serangkaian kekurangan UEFI lainnya yang memengaruhi 25 vendor komputer pada bulan Februari.

Beberapa hari setelah itu, pendiri Binarly mempresentasikan lima kelemahan UEFI baru yang berdampak pada HP di OffensiveCon, dan HP merilis pembaruan keamanan yang sesuai untuk mengatasinya.

Hari ini, Binarly, HP, dan CERT/CC telah mengoordinasikan pengungkapan set lengkap kerentanan yang baru ditemukan, termasuk 11 kerentanan baru yang memengaruhi firmware UEFI HPE.

Malware firmware tidak teoretis, seperti yang telah kami laporkan tentang kelompok peretas yang disponsori negara yang menyebarkan malware UEFI, seperti MoonBounce, ESPecter, dan pemuat FinSpy, di masa lalu.

Pada titik ini, satu-satunya cara untuk mengatasi risiko keamanan ini adalah dengan menerapkan pembaruan firmware yang tersedia dari portal pemutakhiran BIOS HP, atau dengan mengikuti petunjuk berikut.

Selengkapnya: Bleeping Computer

Bug Linux baru memberikan akses root di semua distro utama

by

Kerentanan Linux baru yang dikenal sebagai ‘Dirty Pipe’ memungkinkan pengguna lokal untuk mendapatkan hak akses root melalui eksploitasi yang tersedia untuk umum.

Peneliti keamanan Max Kellermann secara bertanggung jawab mengungkapkan kerentanan ‘Dirty Pipe’ dan menyatakan bahwa itu mempengaruhi Linux Kernel 5.8 dan versi yang lebih baru, bahkan pada perangkat Android.

Kerentanan dilacak sebagai CVE-2022-0847 dan memungkinkan pengguna yang tidak memiliki hak istimewa untuk menyuntikkan dan menimpa data dalam file read-only, termasuk proses SUID yang berjalan sebagai root.

Kellerman menyatakan bahwa kerentanan tersebut mirip dengan kerentanan Dirty COW (CVE-2016-5195) yang diperbaiki pada tahun 2016.

Sebagai bagian dari pengungkapan Dirty Pipe, Kellerman merilis eksploit proof-of-concept (PoC) yang memungkinkan pengguna lokal untuk memasukkan data mereka sendiri ke dalam file read-only yang sensitif, menghapus batasan atau memodifikasi konfigurasi untuk memberikan akses yang lebih besar.

Misalnya, peneliti keamanan Phith0n mengilustrasikan bagaimana mereka dapat menggunakan exploit untuk memodifikasi file /etc/passwd sehingga pengguna root tidak memiliki kata sandi. Setelah perubahan ini dibuat, pengguna yang tidak memiliki hak istimewa cukup menjalankan perintah ‘su root’ untuk mendapatkan akses ke akun root.

Namun, eksploitasi yang diperbarui oleh peneliti keamanan BLASTY juga dirilis secara publik hari ini yang membuatnya lebih mudah untuk mendapatkan hak akses root dengan menambal perintah /usr/bin/su untuk menjatuhkan shell root di /tmp/sh dan kemudian menjalankan skrip.

Setelah dieksekusi, pengguna mendapatkan hak akses root, seperti yang ditunjukkan oleh BleepingComputer di bawah ini di Ubuntu 20.04.3 LTS yang menjalankan kernel generik 5.13.0-27.

Sumber: Bleeping Computer

Kerentanan tersebut diungkapkan secara bertanggung jawab kepada berbagai pengelola Linux mulai 20 Februari 2022, termasuk tim keamanan kernel Linux dan Tim Keamanan Android.

Sementara bug telah diperbaiki di kernel Linux 5.16.11, 5.15.25, dan 5.10.102, banyak server terus menjalankan kernel usang yang membuat rilis eksploitasi ini menjadi masalah signifikan bagi administrator server.

Sumber: Bleeping Computer

Peretas mengklaim kebocoran besar Samsung, termasuk kunci enkripsi dan kode sumber

by

Kelompok peretas Lapsus$ baru-baru ini menargetkan Nvidia, menuntut pembuat chip menghilangkan fitur di beberapa GPU yang membatasi tingkat hash saat menambang cryptocurrency Ethereum. Lapsus$ tidak berhenti di situ — sekarang Samsung berada di bawah kendali, dan kode sumber yang berharga sekali lagi dipertaruhkan.

Kebocoran baru dirinci dalam laporan dari Bleeping Computer, yang menyebut Lapsus$ sebagai “geng pemerasan” dan mengatakan kelompok itu awalnya memposting tangkapan layar kode untuk perangkat lunak Samsung, kemudian merinci apa yang telah dieksfiltrasi dari server raksasa elektronik Korea Selatan tersebut.

Info yang dicuri tampaknya mencakup informasi penting, termasuk algoritme untuk semua operasi pembukaan kunci biometrik, kode sumber untuk bootloader untuk produk Samsung yang lebih baru, dan semua kode sumber di balik proses otorisasi dan otentikasi akun Samsung.

Ini adalah pelanggaran yang buruk jika semua klaim itu benar. Data tersebut diduga tersedia untuk torrent, dengan Lapsus$ mengemasnya ke dalam file terkompresi yang totalnya hampir 190GB.

Menurut Bleeping Computer, peretasan tersebut bukanlah penculikan seperti halnya Nvidia, karena pada hari Sabtu tidak ada bukti permintaan tebusan.

Sumber: Android Police

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

by

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

by

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

Rusia meminta Google untuk mengakhiri “informasi yang salah” pada “operasi khusus” di Ukraina

by

Roskomnadzor, pengawas telekomunikasi Rusia, meminta Google untuk menghentikan kampanye iklan yang menyebarkan informasi yang salah tentang invasi Rusia ke Ukraina di video YouTube.

Seperti yang diklaim oleh pengawas telekomunikasi Rusia, iklan online dengan konten yang tidak akurat dan tanpa label usia digunakan untuk menanamkan “suasana protes” dan mendorong info palsu tentang “operasi khusus” Angkatan Darat Rusia di Ukraina.

“Roskomnadzor mengirim surat ke Google LLC (bertanggung jawab atas aktivitas periklanan Google di Rusia) dengan permintaan untuk segera menghentikan penyebaran informasi palsu yang bersifat politik tentang operasi khusus Angkatan Bersenjata Rusia di Ukraina di wilayah Rusia,” internet pengawas menjelaskan.

“Pesan iklan tersebut ditampilkan kepada pengguna Rusia dari situs hosting video YouTube dan berisi informasi yang salah yang bertujuan untuk membentuk persepsi yang menyimpang dari peristiwa yang terjadi dan menciptakan sentimen protes di antara penonton Internet Rusia.”

Roskomnadzor juga memberi tahu media independen Rusia pada 26 Februari (misalnya, Ekho Moskvy, InoSMI, Mediazona, New Times, Dozhd, Svobodnaya Pressa, Krym. Realii, Novaya Gazeta, Jurnalis, dan Lenizdatnot) untuk tidak menyebarkan informasi palsu tentang penembakan kota-kota Ukraina, serta menyebut “operasi yang sedang berlangsung” sebagai serangan, invasi, atau deklarasi perang.

Rusia ingin memperkenalkan undang-undang baru yang akan menghukum penyebaran berita palsu tentang operasi militer angkatan bersenjata Rusia di Ukraina dengan hukuman hingga 15 tahun penjara.

Namun, Google telah mengambil tindakan untuk menghentikan misinformasi, menghapus kampanye disinformasi terkait invasi Rusia, dan memblokir saluran YouTube milik Russia Today (RT) dan Sputnik di seluruh Eropa atas permintaan otoritas Uni Eropa.

Roskomnadzor memprotes keputusan YouTube, menuntut penghapusan segera semua pembatasan akses ke akun resmi media Rusia (termasuk RT dan Sputnik) di Eropa.

Sebelumnya, Google juga mendemonstrasikan media yang didanai pemerintah Rusia di semua platformnya, sebuah tindakan yang juga memblokir mereka dari menjalankan kampanye iklan.

YouTube juga telah menghapus ratusan saluran dengan ribuan video yang melanggar Pedoman Komunitasnya, termasuk saluran yang terlibat dalam praktik penipuan terkoordinasi.

“Ketika orang-orang di seluruh dunia menelusuri topik yang terkait dengan perang di Ukraina di Penelusuran atau YouTube, sistem kami secara mencolok menampilkan informasi, video, dan konteks penting lainnya dari sumber berita resmi,” kata Google.

Untuk saat ini, Google mengatakan bahwa sebagian besar layanannya, termasuk Penelusuran, YouTube, dan Maps, masih tersedia di Rusia untuk memberi orang Rusia akses ke informasi dan perspektif global.

Sumber : Bleeping Computer