Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Kerentanan Windows dengan eksploitasi publik baru memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan peningkatan hak istimewa lokal Windows yang memungkinkan siapa saja untuk mendapatkan hak istimewa admin di Windows 10.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan, membuat pengguna administratif baru, atau melakukan perintah istimewa.

Kerentanan memengaruhi semua versi dukungan Windows 10 yang didukung sebelum pembaruan Patch Tuesday Januari 2022.

Sebagai bagian dari Patch Selasa 2022 Januari, Microsoft memperbaiki kerentanan ‘Win32k Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2022-21882, yang merupakan bypass untuk bug CVE-2021-1732 yang sebelumnya ditambal dan dieksploitasi secara aktif.

Microsoft mengaitkan penemuan kerentanan ini dengan RyeLv, yang berbagi analisis teknis kerentanan setelah Microsoft merilis tambalan.

Minggu ini, beberapa eksploit dirilis secara publik untuk CVE-2022-21882 yang memungkinkan siapa saja untuk mendapatkan hak istimewa SISTEM pada perangkat Windows 10 yang rentan.

Setelah eksploitasi dirilis, Will Dormann, analis kerentanan untuk CERT/CC dan penguji eksploitasi penduduk Twitter, mengonfirmasi bahwa eksploitasi berfungsi dan memberikan hak istimewa yang lebih tinggi.

Selengkapnya: Bleeping Computer

Microsoft: Windows membutuhkan setidaknya 8 jam online untuk pembaharuan yang berhasil

by

Microsoft mengatakan bahwa perangkat Windows harus online setidaknya selama delapan jam untuk mendapatkan pembaruan terbaru dan memasangnya dengan benar setelah dirilis melalui Pembaruan Windows.

Jumlah waktu perangkat yang menjalankan Windows dihidupkan dan terhubung ke Pembaruan Windows dilacak oleh Microsoft sebagai ‘Konektivitas Pembaruan.’

Pengukuran ini mengkorelasikan kurangnya waktu terhubung yang cukup pada sistem dengan mengapa mereka tidak up-to-date sementara juga membuatnya lebih mudah untuk memahami mengapa beberapa perangkat tidak mungkin mendapatkan pembaruan yang dirilis baru-baru ini dengan sukses.

Menurut David Guyer, Manajer Program Microsoft untuk Pembaruan Windows di MEM, perangkat Windows memerlukan setidaknya 8 jam online untuk mendapatkan pembaruan terbaru dan berhasil menginstalnya.

“Salah satu hal paling berdampak yang kami jelajahi adalah berapa lama waktu yang dibutuhkan perangkat untuk dihidupkan dan terhubung ke Pembaruan Windows agar dapat berhasil menginstal pembaruan kualitas dan fitur,” kata Guyer.

“Apa yang kami temukan adalah bahwa perangkat yang tidak memenuhi jumlah waktu tertentu yang terhubung sangat kecil kemungkinannya untuk berhasil diperbarui. Secara khusus, data menunjukkan bahwa perangkat memerlukan minimal dua jam terhubung terus menerus, dan enam total jam terhubung setelah pembaruan dirilis. untuk memperbarui dengan andal.

“Ini memungkinkan pengunduhan yang berhasil dan penginstalan latar belakang yang dapat dimulai ulang atau dilanjutkan setelah perangkat aktif dan terhubung.”

Selengkapnya: Bleeping Computer

Malware Tersembunyi Hacker APT29 Rusia Tidak Terdeteksi Selama Bertahun-tahun

by Leave a Comment

Eksklusif: Peretas yang terkait dengan Dinas Intelijen Asing Federasi Rusia (SVR) melanjutkan serangan mereka pada jaringan beberapa organisasi setelah kompromi rantai pasokan SolarWinds menggunakan dua ancaman canggih yang baru-baru ini ditemukan.

Implan berbahaya adalah varian dari backdoor GoldMax untuk sistem Linux dan keluarga malware yang sama sekali baru yang sekarang dilacak oleh perusahaan cybersecurity CrowdStrike sebagai TrailBlazer.

Kedua ancaman telah digunakan dalam kampanye StellarParticle setidaknya sejak pertengahan 2019 tetapi diidentifikasi dua tahun kemudian, selama penyelidikan respons insiden.

Serangan StellarParticle telah dikaitkan dengan kelompok peretas APT29 telah menjalankan kampanye spionase cyber selama lebih dari 12 tahun dan juga dikenal sebagai CozyBear, The Dukes, dan Yttrium.

Mencuri cookie untuk bypass MFA

Dalam sebuah laporan yang dibagikan secara eksklusif dengan BleepingComputer, perusahaan cybersecurity CrowdStrike hari ini menjelaskan secara rinci taktik, teknik, dan prosedur terbaru (TTP) yang diamati dalam serangan cyber dari peretas yang disponsori negara Cozy Bear.

Sementara beberapa teknik agak umum saat ini, Cozy Bear telah menggunakannya jauh sebelum menjadi populer:

  • hopping kredensial
  • membajak Office 365 (O365) Service Principal dan Aplikasi
  • melewati autentikasi multi-faktor (MFA) dengan mencuri cookie browser
  • mencuri kredensial menggunakan Get-ADReplAccount

Credential hopping adalah tahap pertama serangan, memungkinkan aktor ancaman untuk masuk ke Office 365 dari server internal yang dijangkau peretas melalui sistem yang dihadapi publik yang dikompromikan.

CrowdStrike mengatakan bahwa teknik ini sulit dikenali di lingkungan dengan sedikit visibilitas ke dalam penggunaan identitas karena peretas dapat menggunakan lebih dari satu akun administrator domain.

Melewati MFA untuk mengakses sumber daya cloud dengan mencuri cookie browser telah digunakan sejak sebelum 2020. CrowdStrike mengatakan bahwa APT29 tetap low profile setelah mendekripsi cookie otentikasi, kemungkinan offline, dengan menggunakan ekstensi Editor Cookie untuk Chrome untuk memutar ulang; mereka menghapus ekstensi setelah itu.

Hal ini memungkinkan mereka untuk bergerak lateral di jaringan dan mencapai tahap berikutnya dari serangan, menghubungkan ke penyewa O365 korban untuk tahap berikutnya dari serangan.

Laporan CrowdStrike menjelaskan langkah-langkah yang diambil APT29 untuk mencapai kegigihan dalam posisi yang memungkinkan mereka membaca email dan file SharePoint atau OneDrive dari organisasi yang dikompromikan.

Selengkapnya: Bleepingcomputer

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

White House memberi tahu agensi untuk mengadopsi model keamanan ‘Zero Trust’

by

White House ingin pemerintah mengadopsi model keamanan yang disebut Zero Trust dalam dua tahun ke depan. Office of Management and Budget (OMB) merilis strategi federal final yang menjabarkan detail awal dari perubahan tersebut.

Dokumen tersebut memberi tahu agensi untuk masing-masing menunjuk pemimpin implementasi strategi dalam waktu 30 hari. Agensi diberi waktu 60 hari untuk menyerahkan rencana implementasi ke OMB dan Cybersecurity and Infrastructure Security Agency (CISA).

Pendekatan Zero Trust didasarkan pada gagasan bahwa perangkat dan koneksi lokal tidak dapat sepenuhnya dipercaya. Pengguna perlu diotorisasi, diautentikasi, dan terus divalidasi. Organisasi biasanya memiliki kendali atas Zero Trust setup, dan pengguna serta perangkat sering kali hanya diberikan akses ke data, aplikasi, dan layanan penting.

Di bawah pendekatan ini, aplikasi perusahaan akan diuji secara internal dan eksternal sebelum staf dapat mengaksesnya melalui cloud. OMB juga mengatakan tim keamanan federal dan tim data akan bekerja sama “untuk mengembangkan kategori data dan aturan keamanan untuk secara otomatis mendeteksi dan akhirnya memblokir akses tidak sah ke informasi sensitif.”

Strategi tersebut mengarahkan agensi untuk memanfaatkan autentikasi multi-faktor yang kuat dan tahan terhadap phishing, mungkin menggunakan metode fisik seperti kartu Verifikasi Identitas Pribadi. OMB juga memberi tahu agensi untuk memiliki inventaris lengkap perangkat yang diotorisasi dan digunakan untuk bisnis resmi dan untuk memastikan mereka memenuhi standar CISA.

Selengkapnya: Endgadget

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer