News 198 - Naga Cyber Defense

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

February 9, 2022 by Winnie the Pooh

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Peretas Tiongkok Menargetkan Lembaga Keuangan Taiwan dengan Pintu Belakang Tersembunyi yang baru

February 8, 2022 by Eevee

Sebuah kelompok ancaman persisten lanjutan (APT) China telah menargetkan lembaga keuangan Taiwan sebagai bagian dari “kampanye gigih” yang berlangsung setidaknya selama 18 bulan.

Penyusupantersebut bertujuan pionase, mengakibatkan penyebaran pintu belakang yang disebut xPack, yang memberikan kontrol ekstensif kepada musuh atas mesin yang disusupi, kata Symantec milik Broadcom dalam sebuah laporan yang diterbitkan minggu lalu.

Apa yang penting dari kampanye ini adalah jumlah waktu aktor ancaman mengintai di jaringan korban, memberikan operator banyak kesempatan untuk pengintaian rinci dan menggali informasi yang berpotensi sensitif yang berkaitan dengan kontak bisnis dan investasi tanpa menaikkan bendera merah apapun.

Di salah satu organisasi keuangan yang tidak disebutkan namanya, para penyerang menghabiskan hampir 250 hari antara Desember 2020 dan Agustus 2021, sementara entitas manufaktur memiliki jaringannya di bawah pengawasan mereka selama sekitar 175 hari.

Meskipun vektor akses awal yang digunakan untuk menembus target masih belum jelas, diduga Antlion memanfaatkan kelemahan aplikasi web untuk mendapatkan pijakan dan menjatuhkan pintu belakang khusus xPack, yang digunakan untuk menjalankan perintah sistem, menghapus malware dan alat berikutnya, dan tahap data untuk eksfiltrasi.

Selain itu, aktor ancaman menggunakan pemuat kustom berbasis C++ serta kombinasi alat yang sah seperti AnyDesk dan teknik living-off-the-land (LotL) untuk mendapatkan akses jarak jauh, membuang kredensial, dan mengeksekusi arbitrer perintah.

Temuan ini menambah daftar kelompok negara-bangsa terkait China yang telah menargetkan Taiwan dalam beberapa bulan terakhir, dengan aktivitas siber jahat yang dipasang oleh aktor ancaman yang dilacak saat Tropic Trooper dan Earth Lusca menyerang lembaga pemerintah, perawatan kesehatan, transportasi, dan pendidikan di negara.

Sumber : The Hacker News

Microsoft: Malware Mac ini semakin pintar dan berbahaya

February 5, 2022 by Søren

Microsoft telah merinci evolusi malware Mac yang relatif baru yang disebut UpdateAgent yang mulai mencuri informasi sistem pada akhir 2020 tetapi telah berubah menjadi alat untuk mengirimkan adware dan kemungkinan ancaman lainnya.

Salah satu fitur UpdateAgent terbaru dan paling ampuh adalah kemampuan untuk melewati sistem Gatekeeper bawaan Apple yang dimaksudkan untuk memungkinkan hanya aplikasi yang tepercaya dan ditandatangani untuk berjalan di Mac.

Microsoft menandai malware itu sekarang karena tampaknya sedang dalam pengembangan berkelanjutan. Saat ini, ia memasang ancaman adware “yang persisten luar biasa” yang disebut Adload, tetapi Microsoft memperingatkan bahwa itu dapat digunakan untuk mendistribusikan muatan lain yang lebih berbahaya di masa mendatang. Misalnya, Microsoft menemukan pembuatnya meng-host muatan tambahan di layanan S3 dan CloudFront Amazon Web Services.

Meskipun memang mengharuskan korban untuk menginstal aplikasi yang menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan yang dipromosikan dalam pop-up iklan, kemampuan untuk melewati kontrol Gatekeeper sangat penting. Itu juga dapat menggunakan izin pengguna yang ada untuk menghapus bukti keberadaannya di sistem.

Selengkapnya: ZDNet

Argo CD merilis patch untuk kerentanan zero-day

February 5, 2022 by Søren

Argo CD merilis patch minggu ini untuk kerentanan zero-day yang memungkinkan penyerang mengakses informasi sensitif seperti kata sandi dan kunci API.

Kerentanan ditemukan oleh tim Riset Keamanan Apiiro dan dijelaskan dalam posting blog yang dirilis bersamaan dengan tambalan.

Argo CD adalah platform Pengiriman Berkelanjutan open source yang populer, dan kerentanan — ditandai sebagai CVE-2022-24348 dengan skor CVSS 7,7 — “memungkinkan aktor jahat memuat file Kubernetes Helm Chart YAML ke kerentanan dan ‘melompat’ dari ekosistem aplikasi mereka ke data aplikasi lain di luar cakupan pengguna.”

Para aktor kemudian dapat membaca dan mengekstrak data yang berada di aplikasi lain, menurut Apiiro.

Di GitHub, perusahaan tersebut mengatakan semua versi CD Argo rentan terhadap bug traversal jalur dan mencatat bahwa “mungkin untuk membuat paket bagan Helm khusus yang berisi file nilai yang sebenarnya merupakan tautan simbolik, menunjuk ke file arbitrer di luar direktori root repositori. ”

“Jika penyerang dengan izin untuk membuat atau memperbarui Aplikasi mengetahui atau dapat menebak jalur lengkap ke file yang berisi YAML yang valid, mereka dapat membuat bagan Helm berbahaya untuk menggunakan YAML itu sebagai file nilai, sehingga mendapatkan akses ke data yang seharusnya tidak mereka miliki. akses,” jelas Argo CD.

“Dampaknya terutama bisa menjadi kritis di lingkungan yang menggunakan file nilai terenkripsi (misalnya menggunakan plugin dengan git-crypt atau SOPS) yang berisi data sensitif atau rahasia, dan mendekripsi rahasia ini ke disk sebelum merender grafik Helm. Juga, karena kesalahan apa pun pesan dari templat helm diteruskan kembali ke pengguna, dan pesan kesalahan ini cukup bertele-tele, penghitungan file pada sistem file server repositori dimungkinkan.”

Selengkapnya: ZDNet

Microsoft mungkin akan segera meng-update Windows 10 secara paksa di komputer Anda

February 5, 2022 by Søren

Siapa pun yang menjalankan Windows 10 versi 2004 atau yang lebih baru dapat memeriksa pembaruan secara manual dan telah mengunduh dan menginstal 21H2, tetapi Microsoft juga menggunakan pembelajaran mesin untuk meluncurkan pembaruan ke mesin 20H2 karena mendekati akhir masa pakainya.

Microsoft menjelaskan lebih lanjut di halaman Kesehatan rilis: “Windows 10, versi 21H2 tersedia untuk pengguna dengan perangkat tertentu yang menjalankan Windows 10, versi 2004 dan lebih tinggi yang secara manual mencari “Periksa pembaruan” melalui Pembaruan Windows.

Perangkat saat ini menggunakan Windows 10, versi 2004 atau yang lebih baru akan memiliki pengalaman penginstalan yang cepat karena pembaruan akan menginstal seperti pembaruan bulanan.

Kami juga memulai fase pertama dalam pelatihan peluncuran untuk pembelajaran mesin (ML), menargetkan perangkat di Windows 10, versi 20H2 yang mendekati akhir layanan untuk memperbarui secara otomatis ke Windows 10, versi 21H2.

Kami akan terus melatih model pembelajaran mesin kami melalui semua fase untuk meluncurkan versi baru Windows 10 secara cerdas, dan memberikan pengalaman pembaruan yang lancar.”

Meskipun pengecualian telah dibuat di masa lalu dan Microsoft telah merilis pembaruan untuk versi Windows yang tidak didukung, menjalankan versi yang didukung adalah satu-satunya cara untuk menjamin penerimaan pembaruan.

Meskipun secara teknis dimungkinkan untuk memperbarui ke Windows 10 21H1, edisi ini mencapai akhir dukungan pada bulan Desember, yang akan bergulir dengan sangat cepat.

Jadi, sementara beberapa orang mungkin membenci Microsoft yang mengambil kendali pembaruan dan mendorong keluar 21H2, itu adalah langkah yang masuk akal karena edisi ini akan menikmati dukungan hingga pertengahan 2023.

Selengkapnya: Tech Radar

Peretas China yang dicurigai menyerang News Corp dengan ‘serangan siber yang terus-menerus’

February 5, 2022 by Søren

News Corp mengalami “serangan siber terus-menerus,” kata perusahaan itu Jumat, dan penyelidik yakin mata-mata China mungkin bertanggung jawab.

Puluhan jurnalis di Wall Street Journal milik News Corp menjadi sasaran peretasan, yang tampaknya berfokus pada wartawan dan editor yang meliput isu-isu terkait China, dua orang yang mengetahui masalah tersebut mengatakan kepada CNN.

Perusahaan keamanan siber Mandiant (MNDT), yang disewa News Corp (NWS) untuk menyelidiki pelanggaran tersebut, percaya para peretas “kemungkinan terlibat dalam kegiatan spionase untuk mengumpulkan intelijen demi kepentingan China,” kata David Wong, wakil presiden konsultasi di Mandiant.

Penyusupan itu, yang tampaknya berlangsung setidaknya hingga Februari 2022, menyusupi akun email dan dokumen Google Drive yang digunakan oleh jurnalis Wall Street Journal tertentu, salah satu orang yang mengetahui penyelidikan tersebut mengatakan. The Wall Street Journal pertama kali melaporkan kronologi peretasan tersebut.

Wartawan sering menjadi sasaran berbagai peretas yang didukung negara untuk mencari intelijen tentang pemerintah dan perusahaan. Karena alasan ini, banyak jurnalis tidak menyebutkan informasi sensitif melalui email.

Manajemen Wall Street Journal mengadakan serangkaian pengarahan pada hari Kamis dengan para jurnalis yang terkena dampak peretasan, kata dua sumber yang akrab dengan penyelidikan tersebut. Staf jurnal sedang memeriksa data forensik untuk menentukan informasi apa yang diambil dari masing-masing jurnalis, kata salah satu dari orang-orang itu.

Selengkapnya: CNN Business

Kerentanan firmware UEFI yang memengaruhi Fujitsu, Intel, dan lainnya ditemukan

February 4, 2022 by Winnie the Pooh

Para peneliti telah menemukan 23 “kerentanan berdampak tinggi” yang memengaruhi vendor mana pun yang mengadopsi kode Pengembang BIOS Independen (IBV) ke dalam firmware Unified Extensible Firmware Interface (UEFI) mereka.

Binarly menjelaskan kerentanan dalam posting blog minggu ini, membenarkan bahwa “semua kerentanan ini ditemukan di beberapa ekosistem vendor perusahaan besar” termasuk Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel dan Bull Atos.

CERT/CC mengkonfirmasi bahwa Fujitsu, Insyde, dan Intel terpengaruh tetapi membiarkan yang lain ditandai sebagai “tidak diketahui,” mendesak siapa pun yang terpengaruh untuk memperbarui ke versi firmware stabil terbaru.

Menurut blog, sebagian besar kerentanan yang diungkapkan mengarah pada eksekusi kode dengan hak istimewa SMM dan memiliki peringkat keparahan antara 7,5 – 8,2.

Mereka memuji Fujitsu, Intel, dan lainnya karena merespons dengan cepat dan memecahkan kerentanan. Penyedia UEFI, Insyde Software, mengatakan pihaknya bekerja dengan Binarly untuk mengatasi kerentanan dan telah merilis pembaruan firmware untuk semua masalah yang terdaftar.

Kerentanan dilacak sebagai CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Selengkapnya: ZDNet

File PowerPoint Disalahgunakan untuk Mengambil alih Komputer

February 4, 2022 by Winnie the Pooh

Penyerang menggunakan file PowerPoint di bawah radar untuk menyembunyikan executable berbahaya yang dapat menulis ulang pengaturan registri Windows untuk mengambil alih komputer korban, menurut temuan para peneliti.

Ini adalah salah satu dari sejumlah cara tersembunyi yang dilakukan pelaku ancaman baru-baru ini untuk menargetkan pengguna desktop melalui aplikasi tepercaya yang mereka gunakan setiap hari, menggunakan email yang dirancang untuk menghindari deteksi keamanan dan tampak sah.

Penelitian baru dari Avanan, sebuah perusahaan Check Point, telah mengungkap bagaimana “add on yang tidak banyak diketahui” di PowerPoint – file .ppam – digunakan untuk menyembunyikan malware. Jeremy Fuchs, peneliti dan analis keamanan siber di Avanan, menulis dalam sebuah laporan yang diterbitkan Kamis bahwa file tersebut memiliki perintah bonus dan makro khusus, di antara fungsi lainnya.

Untuk menghindari penipuan email melewati pengguna korporat, Fuchs merekomendasikan beberapa tindakan pencegahan tipikal kepada administrator keamanan yang harus diterapkan secara konsisten.

Salah satunya adalah menginstal perlindungan email yang mengunduh semua file ke dalam sandbox dan memeriksanya untuk konten berbahaya. Cara lainnya adalah mengambil langkah keamanan ekstra – seperti menganalisis email secara dinamis untuk indikator kompromi (IoCs) – untuk memastikan keamanan pesan yang masuk ke jaringan perusahaan, katanya.

Perusahaan juga harus terus mendorong pengguna akhir di jaringan mereka untuk menghubungi departemen TI mereka jika mereka melihat file yang tidak dikenal datang melalui email, tambahnya.

Selengkapnya: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings