Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Resmi: Malware BlackLotus dapat mem-bypass Secure Boot pada Windows

by

BlackLotus, bootkit UEFI yang dijual di forum peretasan seharga sekitar $5.000, sekarang dapat mem-bypass Secure Boot, menjadikannya malware pertama yang diketahui berjalan di sistem Windows bahkan dengan fitur keamanan firmware diaktifkan.
Secure Boot seharusnya mencegah perangkat menjalankan perangkat lunak yang tidak sah pada mesin Microsoft. Tetapi dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Peneliti keamanan utama Kaspersky, pertama kali melihat BlackLotus dijual di pasar kejahatan siber pada Oktober 2022 dan spesialis keamanan telah membongkar bagian demi bagian sejak saat itu.

Malware terbaru mampu berjalan bahkan pada sistem Windows 11 yang sepenuhnya up-to-date dengan UEFI Secure Boot diaktifkan.

Eksploitasi proof-of-concept untuk kerentanan ini telah tersedia untuk umum sejak Agustus 2022, diperkirakan akan segera melihat lebih banyak penjahat dunia maya menggunakan masalah ini untuk tujuan terlarang.

BlackLotus dapat menonaktifkan beberapa alat keamanan OS termasuk BitLocker, Integritas Kode yang dilindungi Hypervisor (HVCI) dan Windows Defender, dan melewati Kontrol Akun Pengguna (UAC), menurut toko keamanan.

Secure Boot dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Setelah mengeksploitasi CVE-2022-21894 dan mematikan alat keamanan sistem, BlackLotus menyebarkan driver kernel dan pengunduh HTTP. Driver kernel melindungi file bootkit dari penghapusan, sedangkan pengunduh HTTP berkomunikasi dengan server perintah-dan-kontrol dan mengeksekusi muatan.

Selengkapnya: The Register

Wiz: Lupakan ChatGPT, Alat Keamanan yang Paling Overhyped adalah Teknologi itu sendiri

by

Meminta tim keamanan atau anggaran yang lebih besar untuk membeli teknologi guna melindungi dari serangan dunia maya merupakan hal sulit dalam ekonomi.

Merupakan tantangan yang sangat serius bagi infosec karena infeksi ransomware dan pelanggaran keamanan data menjadi lebih sering dan permukaan serangan organisasi menjadi lebih besar.

Startup keamanan cloud berusia tiga tahun, didirikan oleh mantan Microsoft Assaf Rappaport, awal pekan ini mengumumkan putaran pendanaan $300 juta dengan valuasi $10 miliar. Menjadikan Wiz sebagai unicorn keamanan siber terbesar di dunia dan perusahaan SaaS tercepat yang mencapai valuasi $10 miliar, menurut Rappaport.

Rappaport melihat potensi kedepan, tantangan terbesar yang dihadapi tim keamanan adalah mencari cara untuk menjadi lebih efisien.

Dari perspektif vendor teknologi, Rappaport memikirkan pengguna produk yang sedang dikembangkan. Sementara Herzberg mengatakan dengan lebih terbuka bahwa teknologi, secara umum terlalu dilebih-lebihkan jika dikaitkan dengan kesuksesan dengan keamanan, karena pada akhirnya ini bukan tentang alat yang di beli, namun tentang proses dan rakyat.

Organisasi yang beralih ke cloud dan beralih ke lingkungan TI yang terdesentralisasi memerlukan tim keamanan untuk beradaptasi dan mengubah proses ini. Pindah ke lingkungan cloud berarti pengembang dapat bergerak lebih cepat, tetapi juga membutuhkan keamanan untuk mengikutinya, kata Herzberg.

Keamanan masih belum menyelesaikan masalah keanekaragamannya. Bagian dari solusinya adalah melihat melampaui kumpulan aplikasi biasa. Perusahaan perlu mengeksplorasi lebih jauh di luar kumpulan biasa dan menemukan bakat baru. Seperti kebingungan Raaz Herzberg, VP strategi produk Wiz tentang sedikitnya wanita dalam keamanan siber.

Selengkapnya: The Register

Gangguan Microsoft Exchange Online memblokir akses ke kotak surat di seluruh dunia

by

Microsoft sedang menyelidiki pemadaman berkelanjutan yang memblokir pelanggan Exchange Online di seluruh dunia untuk mengakses kotak surat mereka atau mengirim/menerima email.

Pengguna yang terpengaruh melihat kesalahan “550 5.4.1 Alamat penerima ditolak: Akses ditolak” saat mencoba mengirim atau menerima pesan, mulai hari ini pukul 13.11 UTC.

“Kami sedang menyelidiki masalah di mana pengguna mungkin tidak dapat mengakses kotak surat Exchange Online mereka melalui metode koneksi apa pun. Detail tambahan dapat ditemukan di Dasbor Kesehatan Layanan di bawah EX522020,” cuit Microsoft hari ini.

“Kami telah mengidentifikasi potensi masalah Pemblokiran Tepi Berbasis Direktori (DBEB) yang mungkin berkontribusi terhadap dampak,” kata Microsoft dalam peringatan kesehatan layanan yang dikeluarkan hari ini pukul 17:22 UTC.

“Kami sedang menyelidiki ini bersama dengan data diagnostik kami yang ada untuk menentukan langkah kami selanjutnya. Dampaknya khusus untuk pengguna yang dilayani melalui infrastruktur yang terpengaruh di Amerika Utara, Eropa, dan Inggris Raya.”

DBEB memungkinkan admin mengonfigurasi penolakan pesan untuk penerima yang tidak valid dan memblokir semua pesan yang dikirim ke alamat email yang tidak ada di Microsoft 365 atau Office 365.

Sebelumnya hari ini, Redmond juga memitigasi pemadaman kedua yang mencegah beberapa pengguna di kawasan Asia Pasifik mengakses layanan Exchange Online dan Microsoft Teams.

Pemadaman lain di seluruh dunia menghentikan beberapa layanan Microsoft 365 pada akhir Januari setelah perubahan alamat IP router menyebabkan masalah penerusan paket antar router di Wide Area Network (WAN) Microsoft.

Daftar layanan yang terpengaruh oleh penghentian bulan lalu termasuk Microsoft Teams, Exchange Online, Outlook, SharePoint Online, OneDrive, Pusat Admin Microsoft 365, Microsoft Graph, Microsoft Intune, dan beberapa produk Pertahanan Microsoft.

selengkapnya : bleepingcomputer

Aruba Networks Memperbaiki Enam Vulnerability Kritis di ArubaOS

by

Aruba Networks menerbitkan penasehat keamanan untuk memberi tahu pelanggan tentang enam kerentanan kritis-keparahan yang berdampak pada beberapa versi ArubaOS, sistem operasi jaringan miliknya.

Cacat tersebut memengaruhi Konduktor Mobilitas Aruba, Pengontrol Mobilitas Aruba, dan Gateway WLAN yang dikelola Aruba serta Gateway SD-WAN.

Aruba Networks adalah anak perusahaan Hewlett Packard Enterprise yang berbasis di California, yang berspesialisasi dalam jaringan komputer dan solusi konektivitas nirkabel.

Cacat kritis yang ditangani oleh Aruba kali ini dapat dipisahkan menjadi dua kategori: cacat injeksi perintah dan masalah buffer overflow berbasis stack di protokol PAPI (protokol manajemen titik akses Aruba Networks).

Semua kelemahan ditemukan oleh analis keamanan Erik de Jong, yang melaporkannya ke vendor melalui program bug bounty resmi.

Kerentanan injeksi perintah dilacak sebagai CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, dan CVE-2023-22750, dengan peringkat CVSS v3 9,8 dari 10,0.

Penyerang jarak jauh yang tidak diautentikasi dapat memanfaatkannya dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, menghasilkan eksekusi kode arbitrer sebagai pengguna istimewa di ArubaOS.

Bug buffer overflow berbasis tumpukan dilacak sebagai CVE-2023-22751 dan CVE-2023-22752, dan juga memiliki peringkat CVSS v3 9,8.

Cacat ini dapat dieksploitasi dengan mengirimkan paket yang dibuat khusus ke PAPI melalui port UDP 8211, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan kode arbitrer sebagai pengguna istimewa di ArubaOS.

versi yang terdampak :

  • ArubaOS 8.6.0.19 dan dibawahnya
  • ArubaOS 8.10.0.4 dan dibawahnya
  • ArubaOS 10.3.1.0 dan dibawahnya
  • SD-WAN 8.7.0.0-2.3.0.8 dan dibawahnya

Versi peningkatan target, menurut Aruba, harus:

  • ArubaOS 8.10.0.5 dan yang lebih baru
  • ArubaOS 8.11.0.0 dan yang lebih baru
  • ArubaOS 10.3.1.1 dan yang lebih baru
  • SD-WAN 8.7.0.0-2.3.0.9 dan yang lebih baru

Sayangnya, beberapa versi produk yang telah mencapai End of Life (EoL) juga terpengaruh oleh kerentanan ini dan tidak akan menerima pembaruan perbaikan. Ini adalah:

  • ArubaOS 6.5.4.x
  • ArubaOS 8.7.x.x
  • ArubaOS 8.8.x.x
  • ArubaOS 8.9.x.x
  • SD-WAN 8.6.0.4-2.2.x.x

Solusi untuk administrator sistem yang tidak dapat menerapkan pembaruan keamanan atau menggunakan perangkat EoL adalah dengan mengaktifkan mode “Enhanced PAPI Security” menggunakan kunci non-default.

Namun, penerapan mitigasi tidak mengatasi 15 kerentanan tingkat tinggi dan delapan kerentanan tingkat menengah lainnya yang tercantum dalam penasehat keamanan Aruba, yang diperbaiki oleh versi baru.

Aruba menyatakan tidak mengetahui adanya diskusi publik, mengeksploitasi kode, atau mengeksploitasi secara aktif kerentanan ini pada tanggal rilis penasehat, 28 Februari 2022.

sumber : bleepingcomputer

Rusia Mendenda Wikipedia karena Menerbitkan Fakta Alih-Alih Propaganda Perang Kremlin

by

Pengadilan Rusia mendenda Wikimedia Foundation 2 juta rubel (sekitar $27.000) pada 1 Maret karena gagal menghapus dugaan mis-informasi tentang militer Rusia dari Wikipedia, Reuters melaporkan. Ini adalah denda ketiga yang dikeluarkan Rusia terhadap pemilik Wikipedia sejak invasi Vladimir Putin ke Ukraina setahun lalu.

Tak lama setelah menginvasi Ukraina tahun lalu, Rusia memperkenalkan undang-undang baru yang membatasi apa yang dapat dilaporkan orang tentang konflik, mendenda atau memblokir situs web yang menyebarkan informasi yang bertentangan dengan narasi resmi Kremlin. Denda terbaru dijatuhkan setelah pihak berwenang menuduh Wikipedia menyebarkan informasi yang salah dalam artikel tentang unit militer Rusia.

Wikimedia Foundation mengatakan bahwa denda baru adalah karena tidak mematuhi permintaan penghapusan untuk konten bersumber baik yang terkait dengan lima artikel tentang militer Rusia di Wikipedia bahasa Rusia.

Wikimedia secara konsisten menentang upaya penyensoran Rusia. Setelah menerima permintaan untuk menghapus konten tentang invasi Ukraina pada 1 Maret 2022, dan mengatakan “tidak akan mundur dalam menghadapi upaya menyensor dan mengintimidasi anggota gerakan kami.”

Rusia nampak keberatan dengan artikel tentang invasi Ukraina.

Menurut Wikimedia, denda 5 juta rubel dikeluarkan untuk artikel Wikipedia bahasa Rusia berjudul Invasi Rusia ke Ukraina (2022), Pertempuran untuk Kyiv, Kejahatan Perang selama Invasi Rusia ke Ukraina, Penembakan Rumah Sakit di Mariupol, Pengeboman Teater Mariupol, dan Pembantaian di Bucha.

Rusia mengeluarkan denda lain sebesar 2 juta rubel pada November 2022 atas artikel Rusia lainnya. Sementara itu, pengadilan Moskow menolak salah satu banding Wikimedia minggu lalu.

Selengkapnya: Ars Technica

NIST Merencanakan Reformasi Cybersecurity Framework Terbesar yang Pernah Ada

by

Analisis Institut Standar dan Teknologi Nasional (NIST) AS sedang merencanakan perubahan signifikan terhadap Kerangka Keamanan Siber (CSF), pertama dalam lima tahun dan reformasi terbesar yang pernah ada.

CSF pertama kali diterbitkan pada tahun 2014 dan diperbarui ke versi 1.1 pada tahun 2018, menyediakan seperangkat pedoman dan praktik terbaik untuk mengelola risiko keamanan siber.

Kerangka kerja ini dirancang agar fleksibel dan dapat diadaptasi daripada preskriptif, dan digunakan secara luas oleh organisasi dan lembaga pemerintah, baik di dalam maupun di luar AS, untuk membuat program keamanan siber dan mengukur kematangannya.

NIST telah menerbitkan makalah konsep untuk CSF 2.0 dan membukanya untuk ditinjau lebih lanjut. Umpan balik yang dihasilkan akan digunakan untuk mengembangkan draf akhir kerangka kerja yang telah direvisi, yang akan keluar sekitar musim panas ini.

Fungsi pemerintahan baru akan bergabung dengan lima sila yang ada dengan tujuan memposisikan risiko keamanan siber bersama risiko perusahaan lainnya seperti ancaman terhadap stabilitas keuangan. Mencakup penentuan prioritas dan toleransi risiko organisasi, pelanggannya, dan masyarakat luas.

Satu masalah yang disorot selama permintaan informasi adalah kebutuhan untuk meningkatkan keselarasan kerangka kerja dengan program keamanan NIST dan non-NIST lainnya, seperti Kerangka Kerja Manajemen Risiko dan Kerangka Kerja Tenaga Kerja untuk Keamanan Siber.

Setelah berkonsultasi dengan para pemangku kepentingan, NIST memutuskan untuk tidak menggabungkan kerangka kerja privasinya dengan CSF.

Selengkapnya: The Daily Swig

Fitur Dasar iPhone Membantu Penjahat Mencuri Seluruh Kehidupan Digital Anda

by

NEW YORK—Pada jam-jam awal akhir pekan Thanksgiving, Reyhan Ayas meninggalkan sebuah bar di Midtown Manhattan ketika seorang pria yang baru saja dia temui merampas iPhone 13 Pro Max-nya.

Dalam beberapa menit, seorang ekonom senior berusia 31 tahun di startup intelijen tenaga kerja, tidak dapat lagi masuk ke akun Apple-nya dan semua hal yang terkait dengannya, termasuk foto, kontak, dan catatan. Selama 24 jam berikutnya, katanya, sekitar $10.000 menghilang dari rekening banknya.

Cerita serupa menumpuk di kantor polisi di seluruh negeri. Menggunakan trik berteknologi rendah yang luar biasa, pencuri melihat pemilik iPhone mengetuk kode sandi mereka, lalu mencuri ponsel target—dan kehidupan digital mereka.

Pencuri mengeksploitasi kerentanan sederhana dalam desain perangkat lunak lebih dari satu miliar iPhone yang aktif secara global. Itu berpusat pada kode sandi, rangkaian angka pendek yang memberikan akses ke perangkat; dan kata sandi, umumnya kombinasi alfanumerik yang lebih panjang yang berfungsi sebagai login untuk akun yang berbeda.

Hanya dengan iPhone dan kode sandinya, penyusup dapat dalam hitungan detik mengubah kata sandi yang terkait dengan ID Apple pemilik iPhone. Ini akan mengunci korban dari akun mereka, termasuk semua yang disimpan di iCloud. Pencuri juga sering dapat menjarah aplikasi keuangan ponsel karena kode sandi dapat membuka akses ke semua kata sandi yang tersimpan di perangkat.

Apple Inc. telah memasarkan dirinya sebagai pemimpin dalam privasi dan keamanan digital, menjual perangkat keras, perangkat lunak, dan layanan web iCloud yang terintegrasi erat sebagai perlindungan terbaik untuk data pelanggannya. “Peneliti keamanan setuju bahwa iPhone adalah perangkat seluler konsumen yang paling aman, dan kami bekerja tanpa lelah setiap hari untuk melindungi semua pengguna kami dari ancaman baru dan yang muncul,” kata juru bicara Apple.

selengkapnya : wsj.com

Pusat Diagnostik DNA akan membayar denda $400.000 untuk pelanggaran data tahun 2021

by

Pengumuman dari Pusat Diagnostik DNA (DDC) muncul setelah gugatan yang diajukan oleh jaksa agung kedua negara bagian menuduh perusahaan menunggu tiga bulan bahkan untuk mengakui pelanggaran tersebut.

“Semakin banyak informasi pribadi yang dapat diakses oleh penjahat ini, semakin rentan orang yang informasinya dicuri,” kata Penjabat Jaksa Agung Pennsylvania Michelle Henry. “Itulah mengapa Kantor saya mengambil tindakan dengan bantuan Jaksa Agung Yost di Ohio.”

Dari 2,1 juta orang yang datanya bocor, 12.663 berasal dari Pennsylvania dan 33.282 berasal dari Ohio. Informasi yang bocor termasuk nomor Jaminan Sosial dan data perawatan kesehatan.

Penyelidik mengatakan DDC melakukan uji penetrasi setelah akuisisi tetapi hanya berfokus pada database dengan “data pelanggan aktif”. Pada 28 Mei 2021, DDC menerima peringatan otomatis dari penyedia layanan terkelolanya yang mengindikasikan bahwa “aktivitas mencurigakan” terjadi terkait dengan jaringan unit Orchid Cellmark.

Penyedia layanan terkelola yang sama berulang kali menghubungi DDC untuk memperingatkan mereka bahwa jaringan sedang diakses tetapi diabaikan hingga Agustus, ketika peretas memasang malware Cobalt Strike. DDC memulai rencana respons insidennya setelah pemberitahuan itu.

Investigasi DDC menemukan bahwa pada 24 Mei, seseorang masuk ke VPN perusahaan menggunakan kredensial DDC dan menggunakan akses tersebut untuk mendapatkan direktori kredensial untuk semua akun di jaringan.

Secara total, peretas mengakses lima server dan mencuri 28 basis data, akhirnya menghubungi DDC pada September 2021 untuk meminta pembayaran sebagai ganti data yang dicuri. DDC membayar peretas jumlah yang dirahasiakan untuk menghapus data.

DDC akhirnya menyetujui perintah lima tahun yang mencakup mandat untuk mengembangkan program keamanan informasi dengan pengamanan data medis dalam waktu 180 hari. DDC juga harus mempekerjakan karyawan atau perusahaan untuk mengawasi program keamanan informasi mereka.

selengkapnya : therecord