Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Anonymous merilis database 10GB Nestlé

by

Anonymous meretas dan merilis database 10GB dari raksasa makanan dan minuman Swiss Nestlé.

Di akun twitternya, Anonymous pada hari Selasa, merilis database Nestlé. Anonymous telah menyerukan boikot total produk Nestle setelah konglomerat makanan Swiss terus memasok barang-barang penting ke Rusia meskipun ada tekanan dari pesaing untuk memutuskan hubungan.

Menanggapi tekanan publik yang kuat untuk memutuskan hubungan dengan Rusia sebagai protes atas serangan militernya di Ukraina, lebih dari 400 perusahaan multinasional telah keluar sebagian atau seluruhnya dari negara itu.

Nestlé mengumumkan awal bulan ini bahwa mereka akan menangguhkan semua ekspor produknya dari Rusia kecuali untuk barang-barang penting seperti susu formula bayi.

Nestlé juga menyatakan tidak akan mengimpor Nespresso atau produk lainnya ke Rusia, kecuali susu formula bayi, sereal, dan makanan hewan terapeutik.

Nestlé telah mempertahankan keputusannya untuk tetap berada di Rusia dengan mengklaim bahwa mereka tidak akan mendapat untung dari operasinya di sana, karena Ukraina meningkatkan tekanan pada perusahaan makanan terbesar di dunia untuk pergi saat perang meningkat dan korban meningkat.

Perdana Menteri Ukraina Denys Shmyhal mengungkapkan bahwa dia berbicara dengan CEO Nestle Mark Schneider “tentang efek samping dari tetap berada di pasar Rusia.”

Shmyhal menyatakan, “Sayangnya, dia memekakkan telinga sangat memekakkan telinga

Membayar pajak untuk anggaran negara teroris berarti membunuh anak-anak & ibu yang tak berdaya. Saya harap Nestle segera berubah pikiran.”

Sumber : The Tech Outlook

Bank yang Menggunakan AI Sudah Matang untuk Sabotase Rusia

by

Bank dan lembaga keuangan lainnya yang memanfaatkan kecerdasan buatan mungkin secara unik rentan terhadap serangan siber Rusia sebagai pembalasan karena sanksi internasional yang semakin berat, para ahli memperingatkan.

Ketakutan itu, yang disorot dalam laporan Wall Street Journal baru-baru ini, muncul saat perang Rusia di Ukraina memasuki bulan kedua dan saat rentetan sanksi internasional yang belum pernah terjadi sebelumnya terus menggerogoti ekonomi Rusia.

Lembaga keuangan global telah memainkan peran integral dalam rezim sanksi sejak awal, memblokir aliran uang dari bank-bank Rusia tertentu, menolak akses mereka ke pasar internasional, dan bahkan membekukan aset Presiden Vladimir Putin dan oligarki Rusia terkemuka.

Namun, para ahli khawatir ketergantungan cepat institusi yang sama pada model pembelajaran mesin untuk mengotomatisasi lebih banyak dan lebih banyak sistem mereka atas nama efisiensi dapat kembali menggigit mereka. Andrew Burt, mantan penasihat kebijakan kepala divisi siber di FBI, menggambarkan kerentanan AI sebagai “signifikan dan sangat diabaikan” di banyak lembaga keuangan yang mengandalkannya. “Ini adalah risiko besar yang tidak terhitung,” kata Burt.

Jadi mengapa sebenarnya algoritma pembelajaran mesin lebih rentan terhadap serangan? Secara umum, sebagian besar masalah berasal dari kebutuhan pembelajaran mesin untuk memanfaatkan data dalam jumlah besar untuk meningkatkan perhitungan. Kenyataan itu membuat mereka sangat rentan terhadap serangan manipulasi data. Di masa lalu, para peneliti telah menunjukkan bahwa penyerang dapat dengan sengaja “meracuni” data pelatihan algoritme untuk merusak atau memengaruhi hasil apa pun yang mungkin dimuntahkannya.

Sementara isu-isu ras, gender, dan bias lainnya dalam algoritme AI yang berasal dari data terbatas telah menjadi terkenal, beberapa peneliti khawatir pelaku jahat yang menargetkan lembaga keuangan dapat menyebarkan data bias tingkat besar untuk menyerang algoritme sistem keuangan yang ingin menyaring sentimen pasar. Pikirkan meme disinformasi Rusia tetapi diterapkan pada sektor keuangan.

Lebih buruk lagi, menurut laporan Georgetown Center for Security and Emerging Technology 2020, kerentanan pembelajaran mesin tidak dapat ditambal dengan cara yang sama seperti perangkat lunak lain yang berarti potensi serangan apa pun dapat bertahan lebih lama.

Algoritme ini juga dapat ditipu secara real-time tanpa kumpulan data yang besar. Para peneliti dari Keen Security Lab Tencent, misalnya, mendemonstrasikan beberapa teknik yang relatif sederhana yang digunakan untuk mengelabui kemampuan pembelajaran mesin Tesla pada tahun 2019, pertama-tama menipu wiper kaca depan untuk bekerja ketika mereka tidak seharusnya dan kemudian menggunakan stiker terang di jalan menuju meyakinkan Tesla yang terlibat dalam Autopilot untuk melayang ke jalur yang berlawanan.

Sementara kelemahan keamanan itu menimbulkan kekhawatiran bahkan di saat-saat terbaik, para pemimpin pemerintah termasuk Presiden Biden khawatir Rusia dapat menggunakan serangan siber untuk menyerang lembaga-lembaga ini karena sanksi terus berlanjut. Dalam sebuah pernyataan yang dirilis awal pekan ini, Biden menyarankan perusahaan-perusahaan swasta di AS untuk meningkatkan praktik keamanan mereka, dengan mengutip “kecerdasan yang berkembang bahwa Pemerintah Rusia sedang menjajaki opsi untuk potensi serangan siber.”

Sementara itu, bank-bank global dilaporkan telah meningkatkan pemantauan jaringan dan meningkatkan pengeboran untuk skenario serangan siber potensial dalam beberapa minggu sejak militer Rusia memulai invasinya.

Sumber : GIZMODO

Peretasan Okta membuat ribuan bisnis waspada

by

Okta, perusahaan autentikasi yang digunakan oleh ribuan organisasi di seluruh dunia, kini telah mengonfirmasi bahwa penyerang memiliki akses ke salah satu laptop karyawannya selama lima hari pada Januari 2022 dan sekitar 2,5 persen pelanggannya mungkin telah terpengaruh tetapi tetap mempertahankannya. layanan “belum dilanggar dan tetap beroperasi penuh.”

Pengungkapan itu muncul ketika grup peretas Lapsus$ telah memposting tangkapan layar ke saluran Telegramnya yang mengklaim sebagai sistem internal Okta, termasuk yang tampaknya menunjukkan saluran Slack Okta, dan lainnya dengan antarmuka Cloudflare.

Setiap peretasan Okta dapat memiliki konsekuensi besar bagi perusahaan, universitas, dan lembaga pemerintah yang bergantung pada Okta untuk mengotentikasi akses pengguna ke sistem internal.

Okta mengatakan bahwa penyerang hanya akan memiliki akses terbatas selama periode lima hari itu – cukup terbatas sehingga perusahaan mengklaim “tidak ada tindakan korektif yang perlu diambil oleh pelanggan kami.”

Inilah yang dikatakan Bradbury dan tidak dipertaruhkan saat salah satu teknisi pendukungnya disusupi:

Dampak potensial bagi pelanggan Okta terbatas pada akses yang dimiliki teknisi pendukung. Teknisi ini tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur dukungan memiliki akses ke data terbatas misalnya, tiket Jira dan daftar pengguna yang terlihat di tangkapan layar. Insinyur dukungan juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor MFA untuk pengguna, tetapi tidak dapat memperoleh kata sandi tersebut.

Menulis di saluran Telegramnya, kelompok peretas Lapsus$ mengklaim telah memiliki akses “Pengguna Super/Admin” ke sistem Okta selama dua bulan, bukan hanya lima hari, bahwa ia memiliki akses ke klien tipis daripada laptop, dan mengklaim bahwa itu menemukan Okta menyimpan kunci AWS di saluran Slack. Grup tersebut juga menyarankan untuk menggunakan aksesnya untuk membidik pelanggan Okta.

The Wall Street Journal mencatat bahwa dalam pengajuan baru-baru ini Okta mengatakan memiliki lebih dari 15.000 pelanggan di seluruh dunia. Ini mencantumkan orang-orang seperti Peloton, Sonos, T-Mobile, dan FCC sebagai pelanggan di situs webnya. Berdasarkan angka “sekitar 2,5 persen” yang diberikan, jumlah pelanggan yang terkena dampak ini dapat mendekati 400.

Juru bicara Okta Chris Hollis mengatakan perusahaan belum menemukan bukti serangan yang sedang berlangsung. “Pada akhir Januari 2022, Okta mendeteksi upaya untuk menyusupi akun teknisi dukungan pelanggan pihak ketiga yang bekerja untuk salah satu subprosesor kami. Masalah itu diselidiki dan ditampung oleh subprosesor.” kata Hollis. “Kami yakin tangkapan layar yang dibagikan secara online terhubung ke acara Januari ini.”

Lapsus$ adalah grup peretas yang mengaku bertanggung jawab atas sejumlah insiden tingkat tinggi yang memengaruhi Nvidia, Samsung, Microsoft, dan Ubisoft, dalam beberapa kasus mencuri ratusan gigabyte data rahasia.

Okta mengatakan telah menghentikan sesi Okta teknisi dukungannya dan menangguhkan akun itu kembali pada bulan Januari, tetapi mengklaim hanya menerima laporan akhir dari perusahaan forensiknya minggu ini.

Pembaruan, 14:38 ET: Menambahkan pernyataan Okta dan mengklaim bahwa peretasan sangat terbatas, tanpa tindakan korektif yang perlu diambil.

Pembaruan, 14:58 ET: Menambahkan klaim grup peretas Lapsus$ bahwa mereka memiliki akses ke thin client daripada laptop, bahwa ia menemukan Okta menyimpan kunci AWS di saluran Slack.

Pembaruan, 11:30 ET: Menambahkan detail dari pernyataan Okta yang diperbarui.

The Verge

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

by

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Ulasan pengguna di Play Store

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Detail aplikasi di Play Store

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

by

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice

Geng ransomware Hive telah mengumumkan “Kementerian Luar Negeri Republik Indonesia” pada daftar korban.

by

Geng ransomware Hive baru saja mengumumkan bahwa Kementerian Luar Negeri Republik Indonesia masuk kedalam pada daftar korban mereka.

Ransomware Hive merupakan ransomware-as-a-service (RaaS) bertarget tipikal yang menggunakan ancaman untuk mempublikasikan data yang dieksfiltrasi sebagai pengungkit ekstra untuk membuat korban membayar. Grup ransomware diketahui bekerja dengan afiliasi yang menggunakan berbagai metode untuk menyusup ke jaringan perusahaan.

Berdasarkan postingan @darktracer_int diketahui bahwa data Kementerian Luar Negeri Republik Indonesia sudah terenkripsi sejak 27 Januari 2022 lalu dan diungkapkan pada tanggal 22 Maret 2020 kemarin.

Sumber : @darktracer_int (twitter)

Info: Artikel ini masih dalam pengembangan, apabila ada info tambahan akan segera di update.

Sumber : Dark Tracer

Kerentanan OpenSSL dapat ‘dipersenjatai,’ kata direktur cyber NSA

by

Kerentanan kriptografi dalam algoritma modular Tonelli Shanks, yang digunakan di perpustakaan kriptografi populer OpenSSL, dapat menyebabkan serangan penolakan layanan dan “pasti dapat dijadikan senjata” di lingkungan ancaman saat ini, menurut seorang pejabat NSA.

Bug ditemukan oleh dua karyawan Google, peneliti keamanan Tavis Ormandy dan insinyur perangkat lunak David Benjamin, dan sedang dilacak di bawah CVE-2022-0778 memengaruhi fungsi BN_mod_sqrt() di OpenSSL, yang digunakan untuk menghitung akar kuadrat modular dan mem-parsing sertifikat yang menggunakan enkripsi kunci publik kurva eliptik.

Proses ini dapat dieksploitasi jika penyerang mengirimkan sertifikat dengan parameter kurva rusak, sehingga memicu loop tak terbatas dalam program dan mengarah ke penolakan layanan.

“Karena penguraian sertifikat terjadi sebelum verifikasi tanda tangan sertifikat, proses apa pun yang mem-parsing sertifikat yang disediakan secara eksternal dapat dikenakan serangan penolakan layanan,” kata OpenSSL dalam penasihat keamanan 15 Maret. “Loop tak terbatas juga dapat dicapai saat mem-parsing kunci pribadi yang dibuat karena dapat berisi parameter kurva eliptik eksplisit.”

Bug dapat dieksploitasi di klien TLS yang menggunakan sertifikat server, server TLS yang menggunakan sertifikat klien, penyedia hosting yang mengambil sertifikat atau kunci pribadi dari pelanggan mereka, otoritas yang mengurai permintaan sertifikasi dari pelanggan mereka dan “apa pun yang mem-parsing parameter kurva elips ASN.1 .” Ini memengaruhi OpenSSL versi 1.02, 1.1.1, dan 3.0, yang semuanya telah ditambal.

OpenSSL adalah komponen inti dari sistem berbasis Unix dan Linux, dan juga dibundel ke dalam aplikasi perangkat lunak yang berjalan di Windows. Kerentanan tersebut mendapat teguran dari pejabat keamanan siber NSA, yang memperingatkan para pembela HAM agar tidak tertipu oleh peringkat (relatif) tingkat keparahan yang rendah dan segera ditambal.

“Dengan kondisi ancaman internet saat ini, rekomendasikan untuk segera menambal CVE-2022-0778… Cacat ini memungkinkan serangan DOS pra-otentikasi pada OpenSSL,” Rob Joyce, direktur direktorat keamanan siber NSA, menulis Senin di Twitter. “Saya tahu itu ‘hanya’ diberi peringkat 7,5 [dari 10], tapi pasti bisa dijadikan senjata.”

Paul Ducklin, seorang peneliti keamanan di Sophos, mencatat bahwa itu “ironis” karena kerentanan tampaknya mengeksploitasi kesalahan dalam program atau aplikasi yang dengan benar mengikuti praktik terbaik untuk koneksi aman, sementara gagal memengaruhi program dan aplikasi yang menggunakan protokol yang kurang aman. .

Ducklin mencatat bahwa sementara bug itu kurang serius daripada kerentanan yang dapat dieksploitasi yang memungkinkan penyerang untuk menginstal malware secara diam-diam pada perangkat korban, itu perlu diperhatikan karena dapat menunjukkan adanya kekurangan dan bug tambahan yang tidak diketahui di tempat lain yang sedikit diketahui tetapi pustaka perangkat lunak yang umum digunakan seperti Log4J dan Heartbleed, kerentanan OpenSSL lainnya telah menunjukkan potensi dampak berbasis luas pada pengguna.

Sumber : https://www.scmagazine.com/analysis/application-security/openssl-vulnerability-can-definitely-be-weaponized-nsa-cyber-director-says

Bug BIOS Dell Baru Mempengaruhi Jutaan Inspiron, Vostro, XPS, Sistem Alienware

by

Lima kelemahan keamanan baru telah diungkapkan di BIOS Dell yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode pada sistem yang rentan, bergabung dengan kerentanan firmware seperti yang baru-baru ini ditemukan di InsydeH2O Insyde Software dan HP Unified Extensible Firmware Interface (UEFI).

Dilacak sebagai CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, dan CVE-2022-24421, kerentanan tingkat tinggi diberi peringkat 8,2 dari 10 pada sistem penilaian CVSS.

“Eksploitasi aktif dari semua kerentanan yang ditemukan tidak dapat dideteksi oleh sistem pemantauan integritas firmware karena keterbatasan pengukuran Trusted Platform Module (TPM),” perusahaan keamanan firmware Binarly, yang menemukan tiga kelemahan terakhir, mengatakan dalam sebuah tulisan- ke atas.

“Solusi pengesahan kesehatan perangkat jarak jauh tidak akan mendeteksi sistem yang terpengaruh karena keterbatasan desain dalam visibilitas waktu proses firmware.”

Semua kelemahan terkait dengan kerentanan validasi input yang tidak tepat yang memengaruhi Mode Manajemen Sistem (SMM) firmware, yang secara efektif memungkinkan penyerang terotentikasi lokal untuk memanfaatkan interupsi manajemen sistem (SMI) untuk mencapai eksekusi kode arbitrer.

Mode Manajemen Sistem mengacu pada mode CPU tujuan khusus dalam mikrokontroler x86 yang dirancang untuk menangani fungsi di seluruh sistem seperti manajemen daya, kontrol perangkat keras sistem, pemantauan termal, dan kode yang dikembangkan pabrikan lainnya.

Setiap kali salah satu dari operasi ini diminta, non-maskable interrupt (SMI) dipanggil saat runtime, yang mengeksekusi kode SMM yang diinstal oleh BIOS. Mengingat bahwa kode SMM dijalankan pada tingkat hak istimewa tertinggi dan tidak terlihat oleh sistem operasi yang mendasarinya, metode ini membuatnya siap untuk disalahgunakan untuk menyebarkan implan firmware persisten.

Sejumlah produk Dell, termasuk Alienware, Inspiron, Vostro line-up, dan Edge Gateway 3000 Series, terpengaruh, dengan pabrikan PC yang bermarkas di Texas merekomendasikan pelanggan untuk mengupgrade BIOS mereka pada “kesempatan paling awal.”

“Kegagalan ini merupakan konsekuensi langsung dari kompleksitas basis kode atau dukungan untuk komponen lama yang kurang mendapat perhatian keamanan, tetapi masih banyak digunakan di lapangan. Dalam banyak kasus, kerentanan yang sama dapat diperbaiki melalui beberapa iterasi, dan tetap saja, kompleksitas permukaan serangan meninggalkan celah terbuka untuk eksploitasi jahat.”

Sumber : The Hacker News