News 342 - Naga Cyber Defense

Kerentanan Zoom Kritis memicu eksekusi kode jarak jauh tanpa masukan pengguna

April 10, 2021 by Winnie the Pooh

Kerentanan zero-day dalam Zoom yang dapat digunakan untuk meluncurkan serangan eksekusi kode jarak jauh (RCE) telah diungkapkan oleh para peneliti.

Pwn2Own, yang diselenggarakan oleh Zero Day Initiative, adalah kontes bagi para profesional dan tim cybersecurity white-hat untuk bersaing dalam menemukan bug dalam perangkat lunak dan layanan populer.

Kompetisi terbaru mencakup 23 entri, bersaing dalam berbagai kategori termasuk browser web, perangkat lunak virtualisasi, server, komunikasi perusahaan, dan eskalasi hak istimewa lokal.

Karena Zoom belum punya waktu untuk menambal masalah keamanan kritis, detail teknis spesifik dari kerentanan tersebut dirahasiakan. Namun, animasi serangan yang sedang beraksi mendemonstrasikan bagaimana penyerang dapat membuka program kalkulator dari mesin yang menjalankan Zoom setelah eksploitnya.

Vendor memiliki jangka waktu 90 hari, yang merupakan praktik standar dalam program pengungkapan kerentanan, untuk menyelesaikan masalah keamanan yang ditemukan. Pengguna akhir hanya perlu menunggu tambalan dikeluarkan – tetapi jika khawatir, mereka dapat menggunakan versi peramban untuk sementara.

selengkapnya : www.zdnet.com

AS memasukkan tujuh entitas superkomputer China ke dalam daftar hitam dengan alasan masalah keamanan nasional

April 9, 2021 by Winnie the Pooh

WASHINGTON – Departemen Perdagangan pada Kamis menambahkan tujuh entitas superkomputer China ke daftar hitam ekonomi AS dengan alasan masalah keamanan nasional.

Departemen tersebut menambahkan Tianjin Phytium Information Technology, Shanghai High-Performance Integrated Circuit Design Center, Sunway Microelectronics, National Supercomputing Center Jinan, National Supercomputing Center Shenzhen, National Supercomputing Center Wuxi dan National Supercomputing Center Zhengzhou ke daftar hitamnya.

Ketujuh entitas itu masuk daftar hitam karena “membuat superkomputer yang digunakan oleh aktor militer China, upaya modernisasi militernya yang tidak stabil, dan / atau program senjata pemusnah massal”.

Pejabat AS telah lama mengeluh bahwa perusahaan China terikat dengan Republik Rakyat China dan mengumpulkan informasi sensitif atas nama Tentara Pembebasan Rakyat. Partai Komunis China sebelumnya mengatakan tidak terlibat dalam spionase industri.

Di bawah mantan Presiden Donald Trump, AS menambahkan banyak perusahaan China ke daftar hitam ekonominya, termasuk pembuat ponsel pintar terkemuka di negara itu, Huawei, pembuat chip teratas SMIC, dan produsen pesawat tak berawak terbesar, SZ DJI Technology.

Sumber: CNBC

Bagaimana Facebook Menguntit Anda Bahkan Anda Sedang Offline – Dan Cara Membatasinya

April 9, 2021 by Winnie the Pooh

Satu hal yang mencuri fokus saya dari “Kebocoran Facebook” ini adalah tidak ada yang menghubungi Anda tentang peretasan atau memberi tahu Anda apa yang harus dilakukan, tidak seperti perusahaan lain. Oleh karena itu, daripada meminta maaf karena gagal menjaga keamanan data kami, direktur manajemen produk Facebook Mike Clark memulai entri blognya dengan:
“Penting untuk dipahami bahwa aktor jahat memperoleh data ini bukan melalui peretasan sistem kami, tetapi dengan mengekstraknya dari platform kami sebelum September 2019,”

Beberapa hari kemudian, setelah saya membagikan wawasan saya tentang betapa bodohnya perlindungan data pengguna Facebook, mereka awalnya menolak laporan Business Insider sebagai tidak relevan, menekankan bahwa data tersebut bocor bertahun-tahun yang lalu dan fakta bahwa database ini berisi 1/15 orang di planet, dan bahkan lebih buruk sekarang diterbitkan secara gratis – Facebook tidak terlalu penting.

Belum ada pernyataan resmi dari Facebook tentang bocoran ini. Menurut Dave Walker, seorang peneliti, nomor ponsel CEO Facebook Mark Zuckerberg termasuk di antara data privasi yang bocor di forum peretasan tingkat rendah. Di samping nomor teleponnya, informasi bocor Zuckerberg termasuk namanya, lokasi, detail pernikahan, tanggal lahir, dan ID Facebook.

Melihat dia menderita karena kesalahannya sendiri akan sedikit lebih tidak membingungkan. Namun, ada juga kasus yang tidak menguntungkan dan membingungkan seperti di bawah ini yang menunjukkan bahwa Facebook tidak menghapus akun yang ditutup di Facebook.

Facebook juga menjangkau di luar Facebook itu sendiri. Ini memiliki kemitraan dengan firma pemasaran dan jaringan iklan sehingga aktivitas di situs lain, termasuk tetapi tidak terbatas pada:

Masuk ke layanan pihak ketiga dengan akun Facebook Anda
Masuk ke Wifi Umum yang memerlukan Facebook Check-in;
Menjelajahi situs web yang berisi “Facebook Pixel”;

dapat digabungkan dengan profil Facebook Anda.
Pelacak baru bukanlah hal baru untuk Facebook tetapi baru bagi kami. Setidaknya itu memberi kita cara untuk melihat sekilas seberapa banyak yang diketahui tentang kita. Ini menunjukkan Facebook dan aplikasi saudara Instagram dan WhatsApp tidak perlu mikrofon terbuka untuk memberi Anda iklan dan kiriman tertentu.

selengkapnya : medium.com

Haruskah perusahaan lebih khawatir tentang serangan cyber firmware?

April 9, 2021 by Winnie the Pooh

Survei terhadap 1.000 pembuat keputusan keamanan dunia maya di perusahaan di berbagai industri di Inggris, AS, Jerman, Jepang, dan China telah mengungkapkan bahwa 80% perusahaan telah mengalami setidaknya satu serangan firmware dalam dua tahun terakhir.

Namun hanya 29% dari anggaran keamanan yang telah dialokasikan untuk melindungi firmware.

Namun, laporan baru ini muncul setelah kerentanan keamanan signifikan baru-baru ini yang memengaruhi sistem email Exchange Microsoft yang banyak digunakan.

Dan raksasa komputasi itu meluncurkan serangkaian komputer Windows 10 ekstra aman tahun lalu yang dikatakan akan mencegah firmware dirusak.

Jadi, apakah ini hanya upaya untuk mengalihkan perhatian dan menjual lebih banyak PC, atau haruskah bisnis lebih khawatir?

Semakin banyak penjahat dunia maya yang merancang malware yang diam-diam merusak firmware di motherboard, yang memberi tahu PC untuk memulai, atau dengan firmware di driver perangkat keras.

Ini adalah cara licik untuk menerobos dengan rapi sistem operasi komputer atau perangkat lunak apa pun yang dirancang untuk mendeteksi perangkat lunak jahat, karena kode firmware ada di perangkat keras, yang merupakan lapisan di bawah sistem operasi.

Pakar keamanan mengatakan kepada BBC bahwa meskipun departemen TI mengikuti praktik terbaik keamanan dunia maya seperti menambal kerentanan keamanan dalam perangkat lunak, atau melindungi jaringan perusahaan dari gangguan jahat, banyak perusahaan masih melupakan firmware.

“Orang-orang tidak memikirkannya dalam kaitannya dengan tambalan mereka – ini tidak sering diperbarui, dan jika ada, terkadang hal itu merusak sesuatu,” jelas peneliti keamanan siber Australia Robert Potter.

Mr Potter membangun pusat operasi keamanan dunia maya di Washington Post dan telah memberi nasihat kepada pemerintah Australia tentang keamanan dunia maya.

“Penambalan firmware terkadang rumit, jadi bagi banyak perusahaan, ini menjadi titik buta.”

selengkapnya :www.bbc.com

Zero-Day Bug Impacts Problem-Plagued Cisco SOHO Routers

April 9, 2021 by Winnie the Pooh

Cisco mengatakan tidak akan menambal tiga model router bisnis kecil dan satu perangkat firewall VPN dengan kerentanan kritis.

Cisco Systems mengatakan tidak akan memperbaiki kerentanan kritis yang ditemukan di tiga model router SOHO-nya. Bug, dengan tingkat keparahan 9,8 dari 10, dapat memungkinkan pengguna jarak jauh yang tidak diautentikasi untuk membajak peralatan yang ditargetkan dan mendapatkan hak istimewa yang lebih tinggi dalam sistem yang terpengaruh.

Tiga model router Cisco (RV110W, RV130, dan RV215W) dan satu perangkat firewall VPN (RV130W) memiliki usia yang bervariasi dan telah mencapai “akhir masa pakai” dan tidak akan ditambal, menurut Cisco.

Perusahaan menyarankan pelanggan untuk mengganti peralatan tersebut.

“Cisco belum merilis dan tidak akan merilis pembaruan perangkat lunak untuk mengatasi kerentanan yang dijelaskan dalam nasihat ini. Cisco Small Business RV110W, RV130, RV130W, dan RV215W Routers telah memasuki proses akhir masa pakainya, ”tulis perusahaan itu. Perusahaan menambahkan tidak ada solusi yang tersedia juga.

selengkapnya : threatpost.com

Para peneliti mengungkap malware Iran baru yang digunakan dalam serangan siber baru-baru ini

April 9, 2021 by Winnie the Pooh

Aktor ancaman Iran telah meluncurkan kampanye spionase siber baru terhadap kemungkinan target Lebanon dengan backdoor yang mampu mengekstrak informasi sensitif dari sistem yang dikompromikan.

Firma keamanan siber, Check Point, mengaitkan operasi tersebut dengan APT34, mengutip kemiripan dengan teknik sebelumnya yang digunakan oleh pelaku ancaman serta berdasarkan pola viktimologi.

APT34 (alias OilRig) dikenal karena kampanye pengintaiannya yang selaras dengan kepentingan strategis Iran, terutama mengenai industri keuangan, pemerintah, energi, kimia, dan telekomunikasi di Timur Tengah.

Grup tersebut biasanya menggunakan target individu melalui penggunaan dokumen tawaran pekerjaan palsu, dikirim langsung ke para korban melalui pesan LinkedIn, dan kampanye terbaru tidak terkecuali, meskipun cara pengirimannya masih belum jelas.

Dokumen Word yang dianalisis oleh Check Point mengklaim menawarkan informasi tentang posisi yang berbeda di perusahaan konsultan berbasis di AS bernama Ntiva IT, hanya untuk memicu rantai infeksi setelah mengaktifkan makro jahat yang disematkan, akhirnya menghasilkan pemasangan backdoor yang disebut “SideTwist”.

Selain mengumpulkan informasi dasar tentang mesin korban, backdoor tersebut membuat koneksi dengan server jarak jauh untuk menunggu perintah tambahan yang memungkinkannya mengunduh file dari server, mengunggah file sewenang-wenang, dan menjalankan perintah shell, yang hasilnya diposting kembali ke server.

Selengkapnya: The Hacker News

CISA merilis alat untuk meninjau aktivitas pasca-kompromi Microsoft 365

April 9, 2021 by Winnie the Pooh

Cybersecurity and Infrastructure Security Agency (CISA) telah merilis dasbor berbasis Splunk pendamping yang membantu meninjau aktivitas pasca-kompromi di lingkungan Microsoft Azure Active Directory (AD), Office 365 (O365), dan Microsoft 365 (M365).

Alat baru CISA, dijuluki Aviary, membantu tim keamanan memvisualisasikan dan menganalisis keluaran data yang dihasilkan menggunakan Sparrow, alat berbasis PowerShell sumber terbuka untuk mendeteksi aplikasi dan akun yang berpotensi disusupi di Azure dan Microsoft 365.

Sparrow diciptakan untuk membantu defender memburu aktivitas ancaman setelah serangan rantai pasokan SolarWinds.

Aviary dapat membantu meninjau log PowerShell yang diekspor Sparrow, termasuk menganalisis mailbox sign-in PowerShell untuk memeriksa apakah proses masuk adalah tindakan yang sah.

Ini juga dapat membantu menyelidiki penggunaan PowerShell untuk pengguna dengan PowerShell di lingkungan dan memeriksa domain Azure AD penyewa terdaftar Sparrow untuk melihat apakah mereka telah dimodifikasi.

CISA mendorong defender jaringan yang ingin menggunakan Aviary untuk analisis output Sparrow yang lebih lugas untuk meninjau peringatan AA21-008A tentang mendeteksi aktivitas berbahaya pasca-kompromi di lingkungan Microsoft Cloud.

Selengkapnya: Bleeping Computer

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

April 9, 2021 by Winnie the Pooh

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings