Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

CEO Cloudflare mengatakan pertukaran crypto adalah target populer bagi penyerang dunia maya

by

Pertukaran Cryptocurrency telah menjadi target populer bagi penjahat siber, CEO Cloudflare Matthew Prince mengatakan kepada Jim Cramer dari CNBC pada hari Senin.

“Pepatah lama adalah, Mengapa perampok bank merampok bank? Itu karena di situlah uangnya,” kata Prince dalam sebuah wawancara di “Mad Money.” “Salah satu tempat terbesar yang sedang dikejar penyerang dunia maya saat ini adalah berbagai pertukaran mata uang kripto dan bagian mata uang kripto lainnya di alam semesta.”

Cryptocurrency menarik perhatian sehubungan dengan kejahatan dunia maya awal tahun ini setelah serangan ransomware tingkat tinggi, terutama insiden Colonial Pipeline pada bulan Mei yang untuk sementara mengganggu pasokan bahan bakar di beberapa bagian Pantai Timur.

Peristiwa tersebut memicu perdebatan seputar peran mata uang digital berbasis blockchain dalam munculnya serangan ransomware. Beberapa berpendapat bahwa cryptocurrency memungkinkan insiden ransomware, sementara yang lain mengatakan fakta bahwa transaksi dicatat pada buku besar publik dapat membantu dalam memecahkan kejahatan dunia maya.

Komentar Prince pada hari Senin datang sebagai tanggapan atas pertanyaan dari Cramer, yang menanyakan apakah eksekutif akan merasa aman berinvestasi melalui pertukaran crypto yang merupakan pelanggan Cloudflare. Cramer, yang telah berinvestasi dalam cryptocurrency, mengatakan kepada Prince bahwa dia secara pribadi khawatir “akan ada peretasan dan uang saya akan hilang.”

Selengkapnya: CNBC

Microsoft memperbaiki kerentanan Windows PrintNightmare yang tersisa

by

Microsoft telah merilis pembaruan keamanan untuk memperbaiki kerentanan zero-day PrintNightmare terakhir yang tersisa yang memungkinkan penyerang mendapatkan hak administratif pada perangkat Windows dengan cepat.

Pada bulan Juni, kerentanan print spooler Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527) secara tidak sengaja diungkapkan. Kerentanan ini mengeksploitasi fitur Windows Point and Print untuk melakukan eksekusi kode jarak jauh dan mendapatkan hak istimewa SISTEM lokal.

Sementara Microsoft merilis dua pembaruan keamanan untuk memperbaiki berbagai kerentanan PrintNightmare, kerentanan lain yang diungkapkan secara publik oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke server cetak jarak jauh.

Lebih buruk lagi, geng ransomware, seperti Vice Society, Magniber, dan Conti, mulai memanfaatkan bug untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat yang disusupi.

Dalam pembaruan keamanan Patch Tuesday September 2021 hari ini, Microsoft telah merilis pembaruan keamanan baru untuk CVE-2021-36958 yang memperbaiki kerentanan PrintNightmare yang tersisa.

Delpy, yang menguji eksploitasinya terhadap pembaruan keamanan baru, mengonfirmasi kepada BleepingComputer bahwa bug tersebut sekarang telah diperbaiki.

Selain memperbaiki kerentanan, Delpy mengatakan kepada BleepingComputer bahwa Microsoft telah menonaktifkan fitur CopyFiles secara default dan menambahkan kebijakan grup tidak berdokumen yang memungkinkan admin untuk mengaktifkannya kembali.

Karena perubahan ini akan memengaruhi perilaku default Windows, tidak jelas masalah apa yang akan ditimbulkannya saat melakukan printing di Windows.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

by

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Patch Tuesday Microsoft September 2021 memperbaiki 2 zero-day, 60 kerentanan

by

Hari ini adalah Patch Tuesday Microsoft September 2021, dan dengan itu datang perbaikan untuk dua kerentanan zero-day dan total 60 kelemahan.

Microsoft telah memperbaiki 60 kerentanan (86 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, satu sebagai Sedang, dan 56 sebagai Penting.

Dari total 86 kerentanan (termasuk Microsoft Edge):

  • 27 Kerentanan Peningkatan Hak Istimewa
  • 2 Kerentanan Bypass Fitur Keamanan
  • 16 Kerentanan Eksekusi Kode Jarak Jauh
  • 11 Kerentanan Pengungkapan Informasi
  • 1 Kerentanan Denial of Service
  • 8 Kerentanan Spoofing

Patch Tuesday September juga mencakup perbaikan untuk dua kerentanan zero-day, dengan bug MSHTML yang dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa pembaruan keamanan resmi yang dirilis.

Kerentanan zero-day yang diungkapkan secara publik, tetapi tidak dieksploitasi secara aktif adalah:

Satu-satunya kerentanan yang dieksploitasi secara aktif adalah kerentanan eksekusi kode jarak jauh MSHTML Windows, seperti yang telah dibahas sebelumnya:

  • CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Untuk informasi tentang pembaruan Windows non-security, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5005565 & KB5005566 hari ini.

Selengkapnya: Bleeping Computer

Google menambal zero-day Chrome ke-10 yang dieksploitasi di alam liar tahun ini

by

Google telah merilis Chrome 93.0.4577.82 untuk Windows, Mac, dan Linux untuk memperbaiki sebelas kerentanan keamanan, dua di antaranya adalah zero-days yang dieksploitasi di alam liar.

“Google menyadari bahwa eksploitasi untuk CVE-2021-30632 dan CVE-2021-30633 ada di alam liar,” perusahaan mengungkapkan dalam catatan rilis untuk versi Chrome baru.

Pembaruan saat ini diluncurkan di seluruh dunia di saluran desktop Stabil, dan Google menyatakan itu akan tersedia untuk semua orang selama beberapa hari ke depan.

Google Chrome juga akan secara otomatis memeriksa pembaruan baru saat Anda memulai ulang browser di lain waktu.

Dua kerentanan zero-day yang diperbaiki hari ini diungkapkan ke Google pada 8 September 2021, dan keduanya merupakan bug memori.

CVE-2021-30632 adalah penulisan di luar batas di mesin JavaScript V8, dan bug CVE-2021-30633 adalah bug use-after-free di API DB yang Diindeks.

Meskipun bug ini sering menyebabkan browser crash, pelaku ancaman terkadang dapat mengeksploitasinya untuk melakukan eksekusi kode jarak jauh, sandbox escapes, dan perilaku berbahaya lainnya.

Sementara Google telah mengungkapkan bahwa kedua bug telah dieksploitasi di alam liar, mereka belum membagikan informasi lebih lanjut mengenai serangan tersebut.

Dengan dua kerentanan ini, Google kini telah menambal total sepuluh kerentanan zero-day di Chrome pada tahun 2021.

Karena kerentanan ini diketahui telah dieksploitasi secara liar, sangat disarankan agar semua Google Chrome segera memperbarui ke versi terbaru.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day iOS yang digunakan untuk menyebarkan spyware iPhone NSO

by

Apple telah merilis pembaruan keamanan untuk memperbaiki dua kerentanan zero-day yang terlihat dieksploitasi secara liar untuk menyerang iPhone dan Mac. Salah satunya diketahui digunakan untuk menginstal spyware Pegasus di iPhone.

Kerentanan dilacak sebagai CVE-2021-30860 dan CVE-2021-30858, dan keduanya memungkinkan dokumen berbahaya untuk menjalankan perintah saat dibuka pada perangkat yang rentan.

Kerentanan CoreGraphics CVE-2021-30860 adalah bug integer overflow yang ditemukan oleh Citizen Lab yang memungkinkan pelaku ancaman membuat dokumen PDF berbahaya yang menjalankan perintah saat dibuka di iOS dan macOS.

CVE-2021-30858 adalah penggunaan WebKit setelah kerentanan gratis yang memungkinkan peretas membuat halaman web jahat yang menjalankan perintah saat mengunjunginya di iPhone dan macOS. Apple menyatakan bahwa kerentanan ini diungkapkan secara anonim.

Sementara Apple tidak merilis informasi lebih lanjut tentang bagaimana kerentanan digunakan dalam serangan, Citizen Lab telah mengkonfirmasi bahwa CVE-2021-30860 adalah eksploitasi zero-click iMessage bernama ‘FORCEDENTRY.’

Eksploitasi FORCEDENTRY ditemukan digunakan untuk melewati fitur keamanan iOS BlastDoor untuk menyebarkan spyware NSO Pegasus pada perangkat milik aktivis Bahrain.

Ini adalah tahun yang sangat sibuk bagi Apple dengan apa yang tampak seperti streaming tanpa henti dari kerentanan zero-day yang digunakan dalam serangan yang ditargetkan terhadap perangkat iOS dan Mac.

Selengkapnya: Bleeping Computer

Eksploit zero-day Windows MSHTML dibagikan di forum peretasan

by

Pelaku ancaman membagikan tutorial dan eksploit Windows MSHTML zero-day (CVE-2021-40444) di forum peretasan, memungkinkan peretas lain untuk mulai mengeksploitasi kerentanan baru dalam serangan mereka sendiri.

Selasa lalu, Microsoft mengungkapkan kerentanan zero-day baru di Windows MSHTML yang memungkinkan pelaku ancaman untuk membuat dokumen berbahaya, termasuk dokumen Office dan RTF, untuk menjalankan perintah pada komputer korban dari jarak jauh.

Meskipun tidak ada pembaruan keamanan yang tersedia untuk kerentanan CVE-2021-40444, karena ditemukan digunakan dalam serangan aktif oleh EXPMON dan Mandiant, Microsoft memutuskan untuk mengungkapkan kerentanan dan memberikan mitigasi untuk membantu mencegah eksploitasinya.

Mitigasi ini bekerja dengan memblokir kontrol ActiveX dan pratinjau dokumen Word/RTF di Windows Explorer.

Namun, para peneliti telah mampu memodifikasi eksploitasi untuk tidak menggunakan ActiveX, secara efektif melewati mitigasi Microsoft.

Mulai Kamis, pelaku ancaman mulai membagikan informasi publik tentang komponen HTML dari exploit dan cara membuat dokumen berbahaya. Pada hari Jumat, lebih banyak instruksi diposting tentang menghasilkan muatan dan file CAB yang menyertakan komponen kerentanan jalur traversal.

Pada hari Sabtu, ketika para peneliti mulai merilis lebih banyak detail di Github dan Twitter, para pelaku ancaman membagikan detail lebih lanjut tentang cara menghasilkan semua aspek eksploitasi.

Informasinya mudah diikuti dan memungkinkan siapa saja untuk membuat versi kerja mereka sendiri dari eksploitasi CVE-2021-40444, termasuk server python untuk mendistribusikan dokumen berbahaya dan file CAB.

Microsoft juga telah menyediakan mitigasi untuk memblokir kontrol ActiveX di Internet Explorer, pengendali default untuk protokol MSHTML, dan memblokir pratinjau dokumen di Windows Explorer.

Nonaktifkan pratinjau dokumen di Windows Explorer

Peneliti keamanan juga menemukan bahwa kerentanan ini dapat dieksploitasi dengan melihat dokumen berbahaya menggunakan fitur pratinjau Windows Explorer.

Sejak ini ditemukan, Microsoft telah menambahkan mitigasi berikut untuk menonaktifkan pratinjau dokumen RTF dan Word:

  1. Di Registry Editor (regedit.exe), navigasikan ke registry key yang sesuai:
    Untuk dokumen Word, navigasikan ke registry key berikut:

    • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
    • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

    Untuk file rich text (RTF), navigasikan ke registry key ini:

    • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  2. Export salinan registry key sebagai cadangan.
  3. Sekarang klik dua kali pada Nama dan pada kotak dialog Edit String, hapus Value Data.
  4. Klik Ok

Pratinjau dokumen Word dan file RTF sekarang dinonaktifkan di Windows Explorer.

Untuk mengaktifkan pratinjau Windows Explorer untuk dokumen-dokumen ini, klik dua kali pada file .reg cadangan yang Anda buat pada langkah 2 di atas.

Selengkapnya: Bleeping Computer

Skema Peretasan Crypto Korea Utara Menjatuhkan Warga AS-Kanada 11 Tahun Penjara

by

Seorang warga negara Kanada-Amerika yang mencuci dana untuk peretas militer Korea Utara menggunakan wire transfer dan pertukaran kripto telah dijatuhi hukuman 11 tahun penjara dan diperintahkan untuk membayar ganti rugi $30 juta oleh pengadilan federal AS.

Pada awal 2020, Departemen Kehakiman mendakwa tiga anggota badan intelijen militer Korea Utara dengan mencoba mencuri lebih dari $1,3 miliar melalui banyak plot pemerasan dan serangan siber, termasuk lebih dari $100 juta dalam pencurian dari perusahaan cryptocurrency dan serangan siber pada Sony Pictures sebagai pembalasan untuk produksi “The Interview,” sebuah lelucon tentang bangsa yang terisolasi dan pemimpinnya.

Ghaleb Alaumary, yang berbasis di Ontario, mengaku bersalah pada tahun 2020 karena berkonspirasi untuk mencuci uang untuk Korea Utara pada tahun 2018. Sebagai orang yang ditunjuk untuk skema penarikan tunai ATM kelompok tersebut, ia merekrut orang lain untuk mencuci dana terlarang yang diterima dari BankIslami, di mana para peretas melewati mekanisme pencegahan penipuan sehingga mereka dapat mengubah saldo dan meningkatkan batas penarikan. Mereka mendapatkan $6,1 juta dari bank komersial Pakistan.

Alaumary memiliki lebih banyak klien daripada hanya Republik Rakyat Demokratik Korea (DPRK). Dia juga mengaku bersalah atas penipuan karena mengirim email di mana dia berpura-pura mewakili perusahaan konstruksi yang mencari pembayaran dari universitas Kanada; universitas mengiriminya $9,4 juta. Korban lainnya termasuk bank di seluruh Asia dan klub sepak bola Inggris.

Selengkapnya: Decrypt