News 3 - Naga Cyber Defense

Para Ahli Mengungkap Eksploitasi untuk Kerentanan Windows Terbaru Sedang Aktif Diekploitasi

June 9, 2023 by Søren

Muncul laporan tentang celah keamanan dalam Microsoft Windows yang sedang dieksploitasi secara aktif, yang dapat disalahgunakan oleh penyerang untuk memperoleh hak istimewa yang lebih tinggi pada sistem yang terpengaruh.

Kerentanan ini, yang dikenali sebagai CVE-2023-29336, memiliki tingkat keparahan 7.8 dan berkaitan dengan bug elevation of privilege dalam komponen Win32k.

“Penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” ungkap Microsoft dalam sebuah peringatan yang dikeluarkan bulan lalu sebagai bagian dari pembaruan Patch Tuesday.

Peneliti Avast, yaitu Jan Vojtěšek, Milánek, dan Luigino Camastra, diakui sebagai orang yang menemukan dan melaporkan kerentanan ini.

Win32k.sys adalah driver mode kernel dan bagian integral dari arsitektur Windows, bertanggung jawab atas graphical user interface (GUI) dan pengelolaan jendela.

Meskipun rincian spesifik tentang penyalahgunaan celah ini di lingkungan nyata saat ini belum diketahui, Numen Cyber telah memecahkan kode dari pembaruan yang dirilis oleh Microsoft untuk membuat eksplorasi konsep (PoC) yang digunakan sebagai bukti untuk Windows Server 2016.

Perusahaan keamanan siber yang berbasis di Singapura menyatakan bahwa kerentanan ini bergantung pada alamat kernel handle yang bocor di memori heap untuk akhirnya memperoleh izin read-write.

“Kerentanan Win32k telah dikenal dalam sejarah,” kata Numen Cyber. “Namun, dalam versi pratinjau Windows 11 terbaru, Microsoft telah mencoba memperbarui bagian kode kernel ini menggunakan Rust. Hal ini mungkin akan menghilangkan kerentanan semacam itu di sistem baru di masa depan.”

Numen Cyber membedakan dirinya dari perusahaan keamanan Web3 biasa dengan menekankan perlunya kemampuan keamanan lanjutan, khususnya dalam hal serangan keamanan dan pertahanan tingkat OS. Produk dan layanan mereka menawarkan solusi terkini untuk mengatasi tantangan keamanan unik yang dihadapi dalam lingkungan Web3.

Selengkapnya: The Hacker News

Pembaruan Keamanan Mendesak: Cisco dan VMware Mengatasi Kerentanan Kritis

June 9, 2023 by Coffee Bean

VMware telah merilis pembaruan keamanan untuk memperbaiki tiga kelemahan dalam Operasi Aria untuk Jaringan yang dapat menyebabkan pengungkapan informasi dan eksekusi kode jarak jauh.

Yang paling serius dari ketiga kelemahan tersebut adalah cacat injeksi perintah yang diidentifikasi sebagai CVE-2023-20887 (skor CVSS: 9,8) yang dapat mengaktifkan eksekusi kode jarak jauh untuk aktor bermusuhan dengan akses jaringan.

Kerentanan deserialisasi lainnya (CVE-2023-20888), yang memiliki peringkat CVSS 9,1 dari 10, juga telah diatasi oleh VMware.

“Aktor jahat dengan akses jaringan ke VMware Aria Operations for Networks dan kredensial peran ‘anggota’ yang valid mungkin dapat melakukan serangan deserialisasi yang menghasilkan eksekusi kode jarak jauh,” kata perusahaan itu dalam sebuah penasehat.

Produk yang sama berisi kerentanan tingkat tinggi kedua yang memungkinkan penyerang lokal resmi untuk mengubah pengaturan konfigurasi sistem dan menjalankan perintah (CVE-2023-20192, skor CVSS: 8,4).

Cisco menyarankan agar klien menonaktifkan akses CLI untuk pengguna hanya-baca sebagai perbaikan untuk CVE-2023-20192. Kedua masalah tersebut telah diperbaiki di masing-masing VCS versi 14.2.1 dan 14.3.0.

Meskipun tidak ada bukti bahwa kerentanan tersebut telah dieksploitasi di alam liar, sangat disarankan untuk menambalnya sesegera mungkin untuk mengurangi risiko apa pun.

Anjuran juga datang sebagai tanggapan atas penemuan tiga kelemahan keamanan di RenderDoc, sebuah debugger grafis sumber terbuka (CVE-2023-33863, CVE-2023-33864, dan CVE-2023-33865), yang memungkinkan penyerang memperoleh hak tinggi dan menjalankan kode arbitrer.

sumber : thehackernews.com

Aktor Jahat Memanipulasi Foto dan Video untuk Membuat Konten Eksplisit dan Skema Sextortion

June 8, 2023 by Coffee Bean

FBI memperingatkan publik tentang aktor jahat yang membuat konten sintetik (biasanya disebut sebagai “deepfakes”) dengan memanipulasi foto atau video jinak untuk menargetkan korban. Kemajuan teknologi terus meningkatkan kualitas, kemampuan penyesuaian, dan aksesibilitas pembuatan konten yang mendukung kecerdasan buatan (AI). FBI terus menerima laporan dari para korban, termasuk anak-anak kecil dan orang dewasa yang tidak setuju, yang foto atau videonya diubah menjadi konten eksplisit. Foto atau video tersebut kemudian diedarkan secara publik di media sosial atau situs porno, untuk tujuan melecehkan korban atau skema sextortion.

EXPLICIT CONTENT
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan manipulasi konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarluaskan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau pelecehan, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi menyebar, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Sextortion dan Pelecehan
Untuk mengubah foto dan video—biasanya diambil dari akun media sosial korban, internet terbuka, atau atas permintaan korban—menjadi gambar bertema seksual yang sangat mirip dengan korban, pelaku jahat menggunakan teknologi dan layanan memperbudak konten. Gambar-gambar ini kemudian dibagikan di media sosial, forum publik, atau situs web porno. Banyak korban—termasuk anak di bawah umur—tidak menyadari bahwa foto mereka telah diambil, diubah, dan disebarkan hingga orang lain menunjukkannya kepada mereka. Aktor jahat kemudian mengirimkan foto langsung ke korban untuk sextortion atau memudar, atau hingga foto tersebut ditemukan sendiri secara online. Setelah konten yang dimodifikasi disebarkan, korban mungkin mengalami kesulitan untuk menghentikan penyebaran lebih lanjut atau menghapusnya dari internet.

Rekomendasi
FBI menyarankan masyarakat untuk berhati-hati saat memposting atau mengirim pesan langsung yang berisi konten pribadi atau mengidentifikasi di media sosial, aplikasi kencan, dan situs web lainnya. Meskipun foto dan video tampak tidak bersalah saat dibagikan atau diposting, aktor jahat mungkin menggunakannya sebagai sumber konten yang kaya untuk terlibat dalam perilaku ilegal. Kemampuan untuk dengan mudah mengakses foto-foto pribadi secara online dan peningkatan teknologi pembuatan konten memberi pelaku kejahatan cara tambahan untuk mencari dan menargetkan korban. Ini membuat orang terbuka terhadap penghinaan, ejekan, pemerasan, kehilangan uang, atau viktimisasi ulang jangka panjang.

sumber : public service announcement FBI

British Airways, Boots dan BBC telah Terkena Ultimatum dari Kelompok Kejahatan Siber berbahasa Rusia “Clop”

June 8, 2023 by Coffee Bean

Enam organisasi telah dipastikan terkena dampaknya, dengan Aer Lingus dan University of Rochester juga mengakui bahwa mereka telah terkena dampaknya. Banyak organisasi bukan pengguna langsung perangkat lunak MOVEit, tetapi mengalihdayakan layanan penggajian mereka ke pihak ketiga bernama Zellis, yang juga terpukul.

Grup peretas mengklaim memiliki informasi tentang “ratusan” perusahaan. Dalam postingan tersebut, mereka malu-malu tentang sifat serangan mereka, menggambarkannya hanya sebagai “layanan pengujian penetrasi setelah fakta”.

“Ini adalah pengumuman untuk mengedukasi perusahaan yang menggunakan produk Progress MOVEit bahwa kemungkinan besar kami mengunduh banyak data Anda sebagai bagian dari eksploitasi luar biasa,” bunyi permintaan tersebut. “Kami adalah satu-satunya yang melakukan serangan seperti itu dan santai karena data Anda aman.”

Ultimatum tidak berisi jumlah eksplisit yang harus dibayar oleh bisnis, tetapi menuntut agar mereka mengadakan negosiasi.

Kelompok tersebut juga mengklaim telah menghapus data yang mungkin telah dicuri dari aktor negara. “Jangan khawatir, kami menghapus data Anda, Anda tidak perlu menghubungi kami,” katanya. “Kami tidak tertarik untuk mengungkapkan informasi semacam itu.”

Cabang-cabang zaitun seperti itu biasa terjadi pada kelompok peretas profesional, yang ingin memaksimalkan pendapatan mereka tanpa menarik perhatian yang tidak perlu dari penegak hukum.

Ancaman tersebut merupakan peningkatan serangan ransomware konvensional dan dikenal sebagai “doxware”. Alih-alih hanya mengenkripsi data dan menagih kunci, peretas mencuri data secara langsung dan mengancam akan menerbitkannya kecuali uang tebusan dibayarkan.

“Meskipun tidak pernah disarankan untuk membayar tuntutan uang tebusan kepada penjahat dunia maya, ada risiko yang tak terhindarkan bahwa beberapa perusahaan yang ditargetkan akan menyerah pada tekanan tersebut. Ini hanya akan menyulut api dan melanjutkan siklus kelompok kriminal yang menghancurkan ini.

“Yang lebih penting adalah perusahaan yang terkena dampak terbuka dan jujur dengan karyawan dan pelanggan mereka yang menawarkan dukungan dalam cara melindungi diri mereka sendiri dan cara menemukan … serangan.”

sumber : theguardian.com

Hacker Menyalahgunakan Tanda Centang Biru Gmail: Ahli Memperingatkan 1,8 miliar Pengguna Google tentang Penipu yang Mencoba Mencuri Uang dan Password

June 7, 2023 by Flamango

Baru sebulan sejak Google Gmail menawarkan versi akun terverifikasi ‘tanda centang biru’ bergaya Twitter, hacker sudah mengeksploitasinya. Fitur ini disajikan untuk meyakinkan pembaca bahwa email tidak palsu.

Penipu mendapatkan verifikasi gmail ‘tanda centang biru’ dengan bisnis palsu. Mereka menemukan solusi untuk mendapatkan tanda yang didambakan, memungkinkan mereka untuk membuat alamat palsu dari merek terkenal dan berpotensi menipu pengguna untuk memberikan kredensial atau pembayaran.

Peretasan baru menggunakan fitur ‘Indikator Merek untuk Identifikasi Pesan’ (BIMI) Gmail yang ada, berdasarkan sistem ‘tanda centang biru’ baru mereka.

Teorinya adalah ‘tanda centang biru’ akan mengkonfirmasi bahwa alamat email berwenang untuk menggunakan nama dan gambar avatar yang ditetapkan padanya, seperti logo merek.

Menurut insinyur perangkat lunak Jonathan Rudenberg, verifikasi hanya memerlukan tanda tangan DomainKeys Identified Mail (DKIM), yang bisa ‘dari domain apa pun.’

Hal ini berarti bahwa setiap server email yang dibagikan ataupun salah konfigurasi dalam catatan SPF [Sender Policy Framework] domain yang mendukung BIMI, dapat menjadi vektor untuk mengirim pesan palsu.

Penipu membuat alamat dengan banyak nomor dan huruf berbeda sambil memasukkan nama perusahaan dengan harapan membodohi penerima. Pengguna didesak untuk lebih mencermati semua alamat email terverifikasi.

Perkembangan terbaru, juru bicara Google mengatakan pada DailyMail.com bahwa masalah berasal dari kerentanan keamanan pihak ketiga yang memungkinkan aktor jahat tampil lebih dapat dipercaya daripada mereka.

Google meminta pengirim untuk menggunakan standar autentikasi DomainKeys Identified Mail (DKIM) yang lebih kuat agar memenuhi syarat untuk Status Indikator Merek untuk Identifikasi Pesan (tanda centang biru) demi menjaga keamanan pengguna.

Selengkapnya: Mail Online

UPDATE SEKARANG Google Mengeluarkan Patch untuk Kerentanan Chrome Baru

June 7, 2023 by Coffee Bean

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Dilacak sebagai CVE-2023-3079, kerentanan telah digambarkan sebagai bug kebingungan tipe di mesin JavaScript V8. Clement Lecigne dari Threat Analysis Group (TAG) Google telah dipercaya untuk melaporkan masalah tersebut pada 1 Juni 2023.

Google pada hari Senin merilis pembaruan keamanan untuk menambal kelemahan tingkat tinggi di browser web Chrome-nya yang dikatakan sedang dieksploitasi secara aktif di alam liar.

Pengguna disarankan untuk meningkatkan ke versi 114.0.5735.110 untuk Windows dan 114.0.5735.106 untuk macOS dan Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.

CVE terdiri dari : CVE-2023-2136 dan CVE-2023-2033

sumber : thehackernews.com

TV Rusia menyiarkan video palsu tentang Putin yang memerintahkan Darurat Militer di tengah laporan bahwa Ukraina sedang menyerang

June 6, 2023 by Flamango

Sebuah video palsu oleh Vladimir Putin, disiarkan Senin di beberapa bagian Rusia. Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Gambar 21 September ini menunjukkan layar laptop alamat asli Putin hari itu yang memesan mobilisasi parsial.

Penayangan video tersebut disebabkan karena adanya laporan peretasan di daerah perbatasan yang tingkat kecemasannya sudah tinggi. Dikatakan oleh Putin palsu bahwa tentara Ukraina menginvasi Rusia dan dia memerintahkan darurat militer.

Sumber Rusia melaporkan peningkatan serangan Ukraina pada posisi di sepanjang garis depan pada hari Senin.

Ada hal janggal yang tampak dari video berjudul “Seruan darurat Presiden,” adalah adanya garis-garis dalam di alis berkerut pemimpin berusia 70 tahun itu tampak menghilang terlalu mulus saat ekspresinya berubah.

Beberapa stasiun TV dan radio di wilayah ini menayangkannya karena apa yang disebut pejabat Rusia sebagai peretasan; mereka tidak mengidentifikasi pelakunya.

Kegelisahan telah tumbuh di daerah perbatasan Rusia dalam beberapa pekan terakhir karena kelompok kecil militan bersenjata anti-Putin Rusia telah menyerbu melewati penjaga perbatasan, memaksa respons militer yang berat untuk mengusir mereka.

Pesan yang disampaikan oleh Putin palsu memperparah kecemasan tersebut.

Satelit AS juga mendeteksi pergerakan dan lebih banyak aktivitas dari pasukan Ukraina, The New York Times melaporkan. Hanya waktu yang akan menentukan apakah langkah ini merupakan bagian dari serangan balasan mereka untuk merebut kembali tanah yang dicuri.

Selengkapnya: INSIDER

Ekstensi Chrome Berbahaya dengan 75 juta Pemasangan Dihapus dari Toko Web

June 6, 2023 by Flamango

Google telah menghapus 32 ekstensi berbahaya dari Toko Web Chrome yang dapat mengubah hasil penelusuran dan mendorong spam atau iklan yang tidak diinginkan. Secara kolektif, mereka datang dengan jumlah unduhan 75 juta.

Peneliti Cybersecurity Wladimir Palant menganalisis ekstensi PDF Toolbox dengan 2 juta unduhan yang tersedia dari Toko Web Chrome, ditemukan menyertakan kode yang disamarkan sebagai pembungkus API ekstensi yang sah.

Menurut peneliti, kode tersebut memungkinkan domain “serasearchtop[.]com” menyuntikkan kode JavaScript arbitrer ke situs web manapun yang dikunjungi pengguna. Kode juga di set untuk aktif 24 jam setelah memasang ekstensi, perilaku yang biasanya dikaitkan dengan niat jahat.

Potensi penyalahgunaan berkisar dari menyisipkan iklan ke halaman web hingga mencuri informasi sensitif. Namun, Palant tidak mengamati adanya aktivitas berbahaya, sehingga tujuan kode tersebut tetap tidak jelas.

Palant menerbitkan postingan tindak lanjut tentang kasus tersebut untuk memperingatkan bahwa dia telah menemukan kode mencurigakan yang sama di 18 ekstensi Chrome lainnya dengan jumlah unduhan total 55 juta.

Berikut beberapa contohnya dengan pengguna aktif mulai dari 3,5 – 9 juta pengguna, antara lain Autoskip, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper, dan Maxi Refresher.

Saat Palant menerbitkan posting kedua, semua ekstensi masih tersedia di Toko Web Chrome. Dirinya menemukan dua varian kode yang menampilkan mekanisme injeksi kode JS arbitrer yang sama yang melibatkan serasearchtop[.]com.

Ada banyak laporan dan ulasan pengguna di Toko Web yang menunjukkan bahwa ekstensi melakukan pengalihan dan pembajakan hasil pencarian.

Terlepas dari upayanya untuk melaporkan ekstensi yang mencurigakan ke Google, ekstensi tersebut terus tersedia untuk pengguna dari Toko Web Chrom.

Sebelumnya, perusahaan cybersecurity Avast, melaporkan ekstensi ke Google setelah mengkonfirmasi sifat berbahaya mereka, dan memperluas daftar menjadi 32 entri. Secara kolektif, ini membual 75 juta pemasangan.

Mereka adalah adware yang membajak hasil pencarian untuk menampilkan tautan sponsor dan hasil berbayar, terkadang bahkan menyajikan tautan berbahaya.

Menanggapi hal tersebut, juru bicara Google mengatakan bahwa ekstensi yang dilaporkan telah dihapus dari Toko Web Chrome.

Avast menyoroti dampak signifikan dari ekstensi tersebut. Untuk pelanggannya, Avast secara selektif hanya menetralkan elemen jahat di dalam ekstensi, membiarkan fitur yang sah terus beroperasi tanpa gangguan.

Selengkapnya: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings