News 275 - Naga Cyber Defense

Titik siber terang yang langka: ACSC melaporkan total insiden turun 28%

September 16, 2021 by Winnie the Pooh

Tidak sering di bidang keamanan siber bahwa suatu indikator mengarah ke arah yang menyenangkan, tetapi itulah yang dilakukan oleh keseluruhan jumlah insiden dalam Laporan Ancaman Siber Tahunan ACSC.

Untuk tahun fiskal 2020-21, Pusat Keamanan Siber Australia (ACSC) menanggapi 1.630 insiden, yang berarti sekitar 31 insiden seminggu. Dibandingkan dengan tahun keuangan sebelumnya, jumlah total insiden keamanan siber pada tahun keuangan 2020–21 mengalami penurunan sebesar 28%.

Kabar baik lainnya termasuk ACSC tidak harus menanggapi insiden apa pun di sepertiga teratas dari enam kategori penilaian insidennya. Pada tahun sebelumnya, dilaporkan satu insiden kategori 1 dan empat insiden kategori 2.

Sekarang untuk berita buruk nya…

Secara total, ACSC melihat kelas kategori yang lebih tinggi menjadi yang paling banyak dilaporkan, dengan kategori 4 menggantikan kategori 5. Kategori 4 menyumbang 49% sedangkan tahun lalu menyumbang 35% dari semua insiden.

“Proporsi insiden tertinggi yang ditanggapi ACSC terkait dengan aktivitas jahat tingkat rendah seperti pengintaian yang ditargetkan, phishing, atau kehilangan data yang tidak sensitif, terhitung lebih dari setengah insiden keamanan siber,” kata laporan itu.

Laporan tersebut menyoroti peningkatan jumlah kerugian finansial yang terkait dengan kompromi email bisnis (BEC) meskipun jumlah insiden BEC menuju lebih rendah. Total kerugian mencapai AU$81,5 juta, meningkat 15%, dan kerugian rata-rata untuk setiap transaksi BEC yang berhasil melonjak 54% menjadi AU$50.600.

Selengkapnya: ZDNet

Eksekutif ExpressVPN di antara tiga yang menghadapi denda $1,6 juta karena membantu mata-mata UEA

September 16, 2021 by Winnie the Pooh

ExpressVPN CIO Daniel Gericke, seperti yang pertama kali dilaporkan Selasa oleh Reuters, adalah salah satu dari tiga mantan agen intelijen AS dan anggota militer yang terlibat dalam Project Raven yang bekerja sebagai peretas tentara bayaran untuk Uni Emirat Arab, membantunya memata-matai musuh-musuhnya. ExpressVPN mengatakan kepercayaannya pada Gericke “tetap kuat.”

Ketiga terdakwa telah setuju untuk bekerja sama dengan pihak berwenang AS dan membayar denda sebagai ganti penuntutan yang ditangguhkan, menurut rilis Departemen Kehakiman. Ketiganya juga telah kehilangan izin keamanan asing dan AS dan menghadapi pembatasan pekerjaan di masa depan.

Kesepakatan itu muncul sehari setelah ExpressVPN mengumumkan telah dijual sebagai bagian dari kesepakatan senilai $936 juta kepada mantan distributor adware Kape Technologies, sebuah perusahaan yang didirikan bersama oleh mantan agen pengawasan Israel dan seorang miliarder yang sebelumnya dihukum karena perdagangan orang dalam.

Terlepas dari pembatasan pekerjaan di masa depan, ExpressVPN mencatat dalam email ke CNET bahwa Gericke bukan salah satu anggota komunitas intelijen AS yang dirujuk dalam pengajuan Departemen Kehakiman tetapi mantan anggota militer AS, dan bahwa ExpressVPN masih mendukung posisi Gericke di dalam perusahaan.

Pada Selasa malam, akun media sosial Gericke di Twitter dan LinkedIn tampaknya telah dihapus.

Selengkapnya: CNET

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

September 16, 2021 by Winnie the Pooh

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Huawei China menyusup ke Universitas Cambridge

September 16, 2021 by Winnie the Pooh

Menurut The Times of UK, Huawei telah dituduh “menyusup” ke pusat penelitian Universitas Cambridge setelah sebagian besar akademisinya diketahui memiliki hubungan dengan perusahaan China.

Cambridge Center for Chinese Management (CCCM) memiliki tiga dari empat direktur yang memiliki hubungan dengan perusahaan, dan yang disebut perwakilan utamanya adalah mantan wakil presiden senior Huawei yang dibayar oleh pemerintah China.

Universitas menyatakan bahwa seorang mantan eksekutif Huawei tidak pernah memberikan layanan ke pusat tersebut, dan perusahaan tersebut telah menyatakan bahwa setiap saran ketidakpantasan adalah tidak masuk akal.

Menurut Daily Mail, para kritikus mengklaim bahwa hubungan Huawei menunjukkan bahwa universitas mengizinkan CCCM disusupi oleh perusahaan China, yang telah dilarang bergabung dengan jaringan 5G Inggris.

Menurut Johnny Patterson, direktur kebijakan kelompok kampanye Hong Kong Watch, universitas harus melihat hubungan Huawei dengan CCCM.

Sementara itu, Ian Duncan Smith melabeli Universitas Cambridge sebagai “salah satu pelanggar terburuk” dalam hal mengandalkan pendanaan China.

Dia mengatakan kepada Times bahwa perusahaan dan universitas Inggris telah tumbuh ‘terlalu bergantung pada uang China’ dalam beberapa tahun terakhir dan menambahkan: ‘Pemerintah perlu segera mengadakan penyelidikan tentang ketergantungan Inggris pada China di berbagai institusi dan perusahaan.’

Selengkapnya: Insider Paper

Regulator antimonopoli Korea Selatan mendenda Google $ 177 juta karena menyalahgunakan dominasi pasar seluler

September 16, 2021 by Winnie the Pooh

Regulator persaingan Korea Selatan pada hari Selasa mengumumkan akan mendenda Google 207,4 miliar won Korea (Rp 2,5 triliun) karena diduga menggunakan posisi pasar dominannya di ruang sistem operasi seluler untuk menahan persaingan.

Sistem operasi Google Android saat ini memegang bagian terbesar dari pasar smartphone, di depan platform iOS Apple.

Raksasa teknologi AS itu diduga menggunakan posisi pasarnya untuk memblokir pembuat smartphone seperti Samsung menggunakan sistem operasi yang dikembangkan oleh saingannya, menurut Komisi Perdagangan Adil Korea.

Yonhap News menambahkan bahwa regulator, yang menerbitkan keputusannya dalam bahasa Korea, mengatakan raksasa teknologi itu mengharuskan pembuat smartphone untuk menyetujui “perjanjian anti-fragmentasi (AFA)” ketika menandatangani kontrak utama dengan Google atas lisensi toko aplikasi dan akses awal ke sistem operasi.

Perjanjian itu mencegah pembuat perangkat menginstal versi modifikasi dari sistem operasi Android, yang dikenal sebagai “Android fork,” di handset mereka, Yonhap melaporkan.

Regulator menuduh bahwa praktik Google menghambat inovasi dalam pengembangan sistem operasi baru untuk ponsel cerdas, tambah situs berita itu. KFTC telah meminta raksasa teknologi itu untuk berhenti memaksa perusahaan menandatangani AFA dan memerintahkannya untuk mengambil langkah korektif, menurut Yonhap.

Seorang juru bicara Google berpendapat bahwa program kompatibilitas Android telah mendorong inovasi perangkat keras dan perangkat lunak, dan membawa kesuksesan bagi pembuat dan pengembang ponsel Korea.

Selengkapnya: CNBC

CEO Cloudflare mengatakan pertukaran crypto adalah target populer bagi penyerang dunia maya

September 16, 2021 by Winnie the Pooh

Pertukaran Cryptocurrency telah menjadi target populer bagi penjahat siber, CEO Cloudflare Matthew Prince mengatakan kepada Jim Cramer dari CNBC pada hari Senin.

“Pepatah lama adalah, Mengapa perampok bank merampok bank? Itu karena di situlah uangnya,” kata Prince dalam sebuah wawancara di “Mad Money.” “Salah satu tempat terbesar yang sedang dikejar penyerang dunia maya saat ini adalah berbagai pertukaran mata uang kripto dan bagian mata uang kripto lainnya di alam semesta.”

Cryptocurrency menarik perhatian sehubungan dengan kejahatan dunia maya awal tahun ini setelah serangan ransomware tingkat tinggi, terutama insiden Colonial Pipeline pada bulan Mei yang untuk sementara mengganggu pasokan bahan bakar di beberapa bagian Pantai Timur.

Peristiwa tersebut memicu perdebatan seputar peran mata uang digital berbasis blockchain dalam munculnya serangan ransomware. Beberapa berpendapat bahwa cryptocurrency memungkinkan insiden ransomware, sementara yang lain mengatakan fakta bahwa transaksi dicatat pada buku besar publik dapat membantu dalam memecahkan kejahatan dunia maya.

Komentar Prince pada hari Senin datang sebagai tanggapan atas pertanyaan dari Cramer, yang menanyakan apakah eksekutif akan merasa aman berinvestasi melalui pertukaran crypto yang merupakan pelanggan Cloudflare. Cramer, yang telah berinvestasi dalam cryptocurrency, mengatakan kepada Prince bahwa dia secara pribadi khawatir “akan ada peretasan dan uang saya akan hilang.”

Selengkapnya: CNBC

Microsoft memperbaiki kerentanan Windows PrintNightmare yang tersisa

September 15, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk memperbaiki kerentanan zero-day PrintNightmare terakhir yang tersisa yang memungkinkan penyerang mendapatkan hak administratif pada perangkat Windows dengan cepat.

Pada bulan Juni, kerentanan print spooler Windows zero-day yang dijuluki PrintNightmare (CVE-2021-34527) secara tidak sengaja diungkapkan. Kerentanan ini mengeksploitasi fitur Windows Point and Print untuk melakukan eksekusi kode jarak jauh dan mendapatkan hak istimewa SISTEM lokal.

Sementara Microsoft merilis dua pembaruan keamanan untuk memperbaiki berbagai kerentanan PrintNightmare, kerentanan lain yang diungkapkan secara publik oleh peneliti keamanan Benjamin Delpy masih memungkinkan pelaku ancaman untuk dengan cepat mendapatkan hak istimewa SISTEM hanya dengan menghubungkan ke server cetak jarak jauh.

Lebih buruk lagi, geng ransomware, seperti Vice Society, Magniber, dan Conti, mulai memanfaatkan bug untuk mendapatkan hak istimewa yang lebih tinggi pada perangkat yang disusupi.

Dalam pembaruan keamanan Patch Tuesday September 2021 hari ini, Microsoft telah merilis pembaruan keamanan baru untuk CVE-2021-36958 yang memperbaiki kerentanan PrintNightmare yang tersisa.

Delpy, yang menguji eksploitasinya terhadap pembaruan keamanan baru, mengonfirmasi kepada BleepingComputer bahwa bug tersebut sekarang telah diperbaiki.

Selain memperbaiki kerentanan, Delpy mengatakan kepada BleepingComputer bahwa Microsoft telah menonaktifkan fitur CopyFiles secara default dan menambahkan kebijakan grup tidak berdokumen yang memungkinkan admin untuk mengaktifkannya kembali.

Karena perubahan ini akan memengaruhi perilaku default Windows, tidak jelas masalah apa yang akan ditimbulkannya saat melakukan printing di Windows.

Selengkapnya: Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

September 15, 2021 by Winnie the Pooh

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings