Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware baru menggunakan Subsistem Windows untuk Linux untuk serangan tersembunyi

by

Peneliti keamanan telah menemukan binari Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL), menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows.

Temuan ini menggarisbawahi bahwa aktor ancaman sedang mengeksplorasi metode serangan baru dan memfokuskan perhatian mereka pada WSL untuk menghindari deteksi.

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu hingga 22 Agustus. Sampel tersebut bertindak sebagai loader untuk lingkungan WSL dan menikmati deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh.

Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan panggilan Windows API, sebuah teknik yang tidak baru atau canggih lagi.

Dari sejumlah kecil sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku ancaman sedang menguji penggunaan WSL untuk menginstal malware di Windows.

File berbahaya terutama mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai executable ELF untuk Debian menggunakan PyInstaller.

Laporan dari Lumen’s Black Lotus Labs memberikan indicators of compromise (IoC) yang terkait dengan kampanye yang terdeteksi untuk membantu para defenders membuat aturan deteksi. Untuk hash file dan data tentang aktivitas aktor ini, para peneliti merujuk ke halaman GitHub perusahaan.

Selengkapnya: Bleeping Computer

Pembaruan keamanan Windows baru merusak network printing

by

Administrator Windows melaporkan masalah pencetakan (printing) jaringan skala luas setelah menginstal pembaruan keamanan Patch Tuesday September 2021 minggu ini.

Pada hari Selasa, Microsoft merilis enam puluh pembaruan keamanan dan perbaikan untuk banyak bug sebagai bagian dari pembaruan Patch Tuesday bulanan mereka, termasuk perbaikan untuk kerentanan PrintNightmare terakhir yang dilacak sebagai CVE-2021-36958.

Kerentanan ini sangat penting untuk diperbaiki karena digunakan oleh banyak geng ransomware dan pelaku ancaman untuk segera mendapatkan hak istimewa SISTEM pada perangkat yang rentan, seperti yang ditunjukkan di bawah ini.

Namun, banyak administrator sistem Windows sekarang melaporkan bahwa komputer mereka tidak dapat lagi mencetak ke printer jaringan setelah menginstal perbaikan PrintNightmare di server cetak mereka.

Dalam percakapan dengan beberapa admin Windows yang menangani masalah ini, mereka semua memberi tahu BleepingComputer bahwa pembaruan merusak pencetakan jaringan mereka, dan mereka hanya dapat memperbaikinya dengan menghapus pembaruan.

Masalah ini juga tampaknya memengaruhi semua printer jaringan, termasuk HP, Canon, Konica Minolta, dan printer label, serta untuk driver printer Tipe 3 dan Tipe 4. Mereka yang memiliki printer USB yang terhubung langsung ke komputer mereka tidak mengalami masalah apa pun.

Sayangnya, untuk memperbaiki kerentanan PrintNightmare, Microsoft harus membuat perubahan signifikan selama dua bulan terakhir pada fitur Windows Point and Print dan bagaimana driver dapat diinstal dari server print.

Perubahan ini termasuk mewajibkan hak administrator untuk menginstal driver printer melalui fitur Point and Print.

Setelah Microsoft membuat perubahan ini, pengguna Windows mulai menerima kesalahan saat mencoba mencetak, atau Windows akan meminta kata sandi administratif untuk memperbarui driver printer.

Selengkapnya: Bleeping Computer

Praktik Privasi WhatsApp Diragukan

by

WhatsApp adalah aplikasi messenger paling populer di seluruh dunia dengan sekitar dua miliar pengguna aktif bulanan, mendominasi Facebook Messenger dengan 1,3 miliar dan WeChat dengan 1,2 miliar pengguna.

Salah satu fitur yang menarik banyak orang ke WhatsApp dibandingkan dengan pesan instan lainnya adalah enkripsi end-to-end, yang aktif bahkan saat menggunakan multi-perangkat. Akibatnya, kita dapat melihat lebih banyak orang memiliki keraguan tentang privasi di Facebook Messenger.

Namun, laporan baru oleh ProPublica mengklaim bahwa pesan WhatsApp tidak dienkripsi secara end-to-end, menambahkan bahwa Facebook memeriksa konten pesan di platform.

Meskipun WhatsApp telah menampilkan enkripsi end-to-end sejak 2016, ada beberapa keadaan di mana 1.000 kontraktor yang menggunakan software khusus Facebook dapat membaca pesan yang dikirim dari satu pengguna ke pengguna lain.

Misalnya, ketika seseorang melaporkan pesan, bahkan dalam obrolan pribadi, algoritme AI akan mencari aktivitas mencurigakan yang terkait dengan terorisme, pelecehan anak, dll. Kemudian ia akan meneruskan pesan yang dilaporkan dengan empat pesan sebelumnya kepada manusia yang sebenarnya untuk ditinjau.

Pengguna kemudian dapat diblokir, diberhentikan, atau dimasukkan ke dalam daftar pantauan. Pesan tidak terenkripsi dari pengguna dalam daftar “proaktif” dapat dibaca bersama dengan data pengguna lain seperti:

  • grup pengguna
  • nomor telepon
  • ID unik telepon
  • pesan status
  • tingkat baterai
  • kekuatan sinyal

Laporan tersebut juga mengatakan bahwa semua praktik ini dijelaskan dalam kebijakan privasi pengguna, tetapi Anda harus menggali lebih dalam untuk menemukannya. Facebook mencatat bahwa praktik ini didasarkan pada feedback pengguna dan mereka yakin pengguna memahami apa yang terjadi setelah laporan.

Label privasi WhatsApp sangat buruk. Ini adalah satu-satunya messenger aman terkemuka yang mengumpulkan data yang terkait dengan Anda, termasuk:

  • ID perangkat— untuk iklan dan pemasaran pengembang
  • Info kontak, ID pengguna, dan ID perangkat — untuk “tujuan lain”.

Messenger lain mengumpulkan data Anda untuk menyesuaikan fungsionalitas. WhatsApp memanennya karena berbagai alasan. Singkatnya, enkripsi end-to-end WhatsApp mungkin tidak seaman popup konstan di layar yang dapat memengaruhi Anda untuk percaya.

Selengkapnya: Medium Technology Hits

Microsoft meluncurkan login tanpa kata sandi untuk semua akun Microsoft

by

Microsoft meluncurkan dukungan masuk tanpa kata sandi selama beberapa minggu mendatang, memungkinkan pelanggan untuk masuk ke akun Microsoft tanpa menggunakan kata sandi.

Perusahaan pertama kali mengizinkan pelanggan komersial untuk meluncurkan otentikasi tanpa kata sandi di lingkungan mereka pada bulan Maret setelah tahun terobosan pada tahun 2020 ketika Microsoft melaporkan bahwa lebih dari 150 juta pengguna masuk ke Azure Active Directory dan akun Microsoft mereka tanpa menggunakan kata sandi.

Mulai 15 September, Redmond mengumumkan bahwa pengguna tidak lagi diharuskan memiliki kata sandi di akun mereka. Sebagai gantinya, mereka dapat memilih antara aplikasi Microsoft Authenticator, Windows Hello, kunci keamanan, atau kode verifikasi telepon/email untuk masuk ke aplikasi dan layanan Microsoft Edge atau Microsoft 365.

Seperti yang ditambahkan oleh Wakil Presiden Perusahaan Microsoft untuk Keamanan, Kepatuhan, dan Identitas Vasu Jakkal, pelaku ancaman menggunakan kata sandi yang lemah sebagai vektor serangan awal di sebagian besar serangan di seluruh akun perusahaan dan konsumen. Microsoft mendeteksi 579 serangan kata sandi setiap detik, dengan total 18 miliar insiden setiap tahun.

Untuk mulai masuk ke akun Microsoft Anda tanpa kata sandi, Anda harus terlebih dahulu menginstal aplikasi Microsoft Authenticator dan menautkannya ke akun Microsoft pribadi Anda.

Selanjutnya, Anda harus pergi ke halaman akun Microsoft Anda, masuk, dan nyalakan ‘Passwordless Account’ di bawah Advanced Security Options > Additional Security Options. Langkah terakhir mengharuskan Anda untuk mengikuti petunjuk di layar dan menyetujui pemberitahuan yang ditampilkan oleh aplikasi Authenticator.

Selengkapnya: Bleeping Computer | Microsoft

Titik siber terang yang langka: ACSC melaporkan total insiden turun 28%

by

Tidak sering di bidang keamanan siber bahwa suatu indikator mengarah ke arah yang menyenangkan, tetapi itulah yang dilakukan oleh keseluruhan jumlah insiden dalam Laporan Ancaman Siber Tahunan ACSC.

Untuk tahun fiskal 2020-21, Pusat Keamanan Siber Australia (ACSC) menanggapi 1.630 insiden, yang berarti sekitar 31 insiden seminggu. Dibandingkan dengan tahun keuangan sebelumnya, jumlah total insiden keamanan siber pada tahun keuangan 2020–21 mengalami penurunan sebesar 28%.

Kabar baik lainnya termasuk ACSC tidak harus menanggapi insiden apa pun di sepertiga teratas dari enam kategori penilaian insidennya. Pada tahun sebelumnya, dilaporkan satu insiden kategori 1 dan empat insiden kategori 2.

Sekarang untuk berita buruk nya…

Secara total, ACSC melihat kelas kategori yang lebih tinggi menjadi yang paling banyak dilaporkan, dengan kategori 4 menggantikan kategori 5. Kategori 4 menyumbang 49% sedangkan tahun lalu menyumbang 35% dari semua insiden.

“Proporsi insiden tertinggi yang ditanggapi ACSC terkait dengan aktivitas jahat tingkat rendah seperti pengintaian yang ditargetkan, phishing, atau kehilangan data yang tidak sensitif, terhitung lebih dari setengah insiden keamanan siber,” kata laporan itu.

Laporan tersebut menyoroti peningkatan jumlah kerugian finansial yang terkait dengan kompromi email bisnis (BEC) meskipun jumlah insiden BEC menuju lebih rendah. Total kerugian mencapai AU$81,5 juta, meningkat 15%, dan kerugian rata-rata untuk setiap transaksi BEC yang berhasil melonjak 54% menjadi AU$50.600.

Selengkapnya: ZDNet

Eksekutif ExpressVPN di antara tiga yang menghadapi denda $1,6 juta karena membantu mata-mata UEA

by

ExpressVPN CIO Daniel Gericke, seperti yang pertama kali dilaporkan Selasa oleh Reuters, adalah salah satu dari tiga mantan agen intelijen AS dan anggota militer yang terlibat dalam Project Raven yang bekerja sebagai peretas tentara bayaran untuk Uni Emirat Arab, membantunya memata-matai musuh-musuhnya. ExpressVPN mengatakan kepercayaannya pada Gericke “tetap kuat.”

Ketiga terdakwa telah setuju untuk bekerja sama dengan pihak berwenang AS dan membayar denda sebagai ganti penuntutan yang ditangguhkan, menurut rilis Departemen Kehakiman. Ketiganya juga telah kehilangan izin keamanan asing dan AS dan menghadapi pembatasan pekerjaan di masa depan.

Kesepakatan itu muncul sehari setelah ExpressVPN mengumumkan telah dijual sebagai bagian dari kesepakatan senilai $936 juta kepada mantan distributor adware Kape Technologies, sebuah perusahaan yang didirikan bersama oleh mantan agen pengawasan Israel dan seorang miliarder yang sebelumnya dihukum karena perdagangan orang dalam.

Terlepas dari pembatasan pekerjaan di masa depan, ExpressVPN mencatat dalam email ke CNET bahwa Gericke bukan salah satu anggota komunitas intelijen AS yang dirujuk dalam pengajuan Departemen Kehakiman tetapi mantan anggota militer AS, dan bahwa ExpressVPN masih mendukung posisi Gericke di dalam perusahaan.

Pada Selasa malam, akun media sosial Gericke di Twitter dan LinkedIn tampaknya telah dihapus.

Selengkapnya: CNET

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica

Huawei China menyusup ke Universitas Cambridge

by

Menurut The Times of UK, Huawei telah dituduh “menyusup” ke pusat penelitian Universitas Cambridge setelah sebagian besar akademisinya diketahui memiliki hubungan dengan perusahaan China.

Cambridge Center for Chinese Management (CCCM) memiliki tiga dari empat direktur yang memiliki hubungan dengan perusahaan, dan yang disebut perwakilan utamanya adalah mantan wakil presiden senior Huawei yang dibayar oleh pemerintah China.

Universitas menyatakan bahwa seorang mantan eksekutif Huawei tidak pernah memberikan layanan ke pusat tersebut, dan perusahaan tersebut telah menyatakan bahwa setiap saran ketidakpantasan adalah tidak masuk akal.

Menurut Daily Mail, para kritikus mengklaim bahwa hubungan Huawei menunjukkan bahwa universitas mengizinkan CCCM disusupi oleh perusahaan China, yang telah dilarang bergabung dengan jaringan 5G Inggris.

Menurut Johnny Patterson, direktur kebijakan kelompok kampanye Hong Kong Watch, universitas harus melihat hubungan Huawei dengan CCCM.

Sementara itu, Ian Duncan Smith melabeli Universitas Cambridge sebagai “salah satu pelanggar terburuk” dalam hal mengandalkan pendanaan China.

Dia mengatakan kepada Times bahwa perusahaan dan universitas Inggris telah tumbuh ‘terlalu bergantung pada uang China’ dalam beberapa tahun terakhir dan menambahkan: ‘Pemerintah perlu segera mengadakan penyelidikan tentang ketergantungan Inggris pada China di berbagai institusi dan perusahaan.’

Selengkapnya: Insider Paper