News 344 - Naga Cyber Defense

NAME:WRECK Kerentanan DNS yang memengaruhi lebih dari 100 juta perangkat

April 14, 2021 by Winnie the Pooh

Peneliti keamanan telah mengungkapkan sembilan kerentanan yang memengaruhi implementasi protokol Domain Name System di komunikasi jaringan TCP/IP stack populer yang berjalan di setidaknya 100 juta perangkat.

Secara kolektif disebut sebagai NAME: WRECK, kelemahan tersebut dapat dimanfaatkan untuk membuat perangkat yang terpengaruh menjadi offline atau dikendalikan.

Kerentanan ditemukan di TCP/IP stack yang tersebar luas yang berjalan di berbagai produk, dari server berkinerja tinggi dan peralatan jaringan hingga sistem teknologi operasional (OT) yang memantau dan mengontrol peralatan industri.

Penemuan NAME: WRECK adalah upaya bersama dari perusahaan keamanan Forescout Enterprise of Things dan grup riset keamanan yang berbasis di Israel, JSOF, dan memengaruhi implementasi DNS di TCP/IP stack berikut:

FreeBSD (versi rentan: 12.1) – salah satu sistem operasi paling populer di keluarga BSD
IPnet (versi rentan: VxWorks 6.6) – awalnya dikembangkan oleh Interpeak, sekarang dalam pemeliharaan WindRiver dan digunakan oleh real-time operating system (RTOS) VxWorks
NetX (versi rentan: 6.0.1) – bagian dari ThreadX RTOS, sekarang menjadi proyek sumber terbuka yang dikelola oleh Microsoft dengan nama Azure RTOS NetX
Nucleus NET (versi rentan: 4.3) – bagian dari Nucleus RTOS yang dikelola oleh Mentor Graphics, bisnis Siemens, digunakan dalam perangkat medis, industri, konsumen, dirgantara, dan Internet of Things

Menurut Forescout, dalam skenario hipotetis tetapi masuk akal, pelaku ancaman dapat mengeksploitasi kerentanan NAME: WRECK untuk menangani kerusakan signifikan pada server pemerintah atau perusahaan, fasilitas kesehatan, pengecer, atau perusahaan dalam bisnis manufaktur dengan mencuri data sensitif, memodifikasi atau menjadikan peralatan offline untuk tujuan sabotase.

Penyerang juga dapat merusak fungsi bangunan penting di lokasi perumahan atau komersial untuk mengontrol pemanas dan ventilasi, menonaktifkan sistem keamanan atau merusak sistem pencahayaan otomatis.

Selengkapnya: Bleeping Computer

Yang Perlu Anda Ketahui Tentang FLoC, Teknologi Penargetan Iklan Google Yang Direncanakan Hadir pada Kita Semua

April 14, 2021 by Winnie the Pooh

Sekitar dua minggu yang lalu, jutaan pengguna Google Chrome mendaftar untuk eksperimen yang tidak pernah mereka setujui untuk menjadi bagiannya. Google baru saja meluncurkan uji coba untuk Federated Learning of Cohort — atau FLoC — jenis baru teknologi penargetan iklan yang dimaksudkan agar tidak terlalu invasif dibandingkan cookie pada umumnya.

Dalam posting blog yang mengumumkan uji coba tersebut, perusahaan mencatat bahwa itu hanya akan berdampak pada “persentase kecil” pengguna acak di sepuluh negara yang berbeda, termasuk AS, Meksiko, dan Kanada, dengan rencana untuk memperluas secara global saat uji coba berjalan.

Pengguna ini mungkin tidak akan melihat sesuatu yang berbeda saat mereka beraktivitas di Chrome, tetapi di balik layar, browser tersebut diam-diam mengawasi setiap situs yang mereka kunjungi dan iklan yang mereka klik.

Para pengguna ini akan memiliki kebiasaan penjelajahan mereka diprofilkan dan dikemas, dan dibagikan dengan pengiklan yang tak terhitung jumlahnya untuk mendapatkan keuntungan. Sekitar bulan ini, Chrome akan memberi pengguna opsi untuk keluar dari eksperimen ini, menurut entri blog Google — tetapi untuk saat ini, satu-satunya opsi mereka adalah memblokir semua cookie pihak ketiga di browser.

Jadi, apa itu FLoC dan bagaimana cara kerjanya? Baca artikel pada link berikut untuk mengetahuinya!

Sumber: Gizmodo

Kerentanan zero-day Google Chrome, Microsoft Edge dibagikan di Twitter

April 14, 2021 by Winnie the Pooh

Seorang peneliti keamanan telah merilis kerentanan eksekusi kode jarak jauh zero-day di Twitter yang berfungsi pada versi Google Chrome dan Microsoft Edge saat ini.

Kerentanan zero-day adalah bug keamanan yang telah diungkapkan secara publik tetapi belum ditambal dalam versi rilis perangkat lunak yang terpengaruh.

Peneliti keamanan Rajvardhan Agarwal merilis eksploitasi bukti-konsep (PoC) yang berfungsi untuk kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium.

Just here to drop a chrome 0day. Yes you read that right.https://t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR

— Rajvardhan Agarwal (@r4j0x00) April 12, 2021

Meskipun Agarwal menyatakan bahwa kerentanan telah diperbaiki di versi terbaru mesin JavaScript V8, tidak jelas kapan Google akan meluncurkan versi terbaru Google Chrome.

Meskipun tidak ada pengembang yang menyukai perilisan zero-day untuk perangkat lunak mereka, hal baiknya adalah zero-day Agarwal saat ini tidak dapat keluar dari sandbox browser. Sandbox Chrome adalah batas keamanan browser yang mencegah kerentanan eksekusi kode jarak jauh agar tidak meluncurkan program di komputer host.

Agar eksploitasi RCE zero-day Agarwal berfungsi, eksploitasi tersebut perlu digabungkan dengan kerentanan lain yang memungkinkan eksploitasi tersebut keluar dari sandbox Chromium.

Selengkapnya: Bleeping Computer

Malware QBot kembali menggantikan IcedID di kampanye malspam

April 14, 2021 by Winnie the Pooh

Distributor malware memutar muatan sekali lagi, beralih di antara trojan yang sering kali merupakan tahap perantara dalam rantai infeksi yang lebih panjang.

Awal tahun ini, para peneliti mengamati kampanye email berbahaya yang menyebarkan dokumen Office yang mengirimkan trojan QBot, hanya untuk mengubah muatan setelah beberapa saat.

Pada bulan Februari, IcedID adalah malware baru yang berasal dari URL yang digunakan untuk melayani QBot. Brad Duncan dari Palo Alto Networks menangkap perubahan dan catatan dalam analisisnya pada saat itu:

“URL HTTPS yang dibuat oleh makro Excel diakhiri dengan /ds/2202.gif yang biasanya mengirimkan Qakbot, tetapi hari ini mengirimkan IcedID” – Brad Duncan

Peneliti ancaman James Quinn dari Binary Defense membuat pengamatan yang sama dalam posting blog pada bulan Maret, ketika perusahaan menemukan varian IcedID/BokBot baru saat melacak kampanye spam berbahaya dari distributor QakBot.

Peneliti malware dan reverse engineer reecDeep melihat pergantian tersebut pada hari Senin, mengatakan bahwa kampanye tersebut bergantung pada makro XLM yang diperbarui.

Seperti yang terlihat pada tangkapan layar di atas, file Office yang berbahaya berperan sebagai dokumen DocuSign untuk mengelabui pengguna agar mengaktifkan dukungan makro yang mengambil muatan pada sistem.

Menurut Intel 471, beberapa kelompok penjahat dunia maya mulai menggunakan layanan EtterSilent, termasuk IcedID, QakBot, Ursnif, dan Trickbot.

Selengkapnya: Bleeping Computer

Adobe memperbaiki kerentanan kritis di Photoshop dan Digital Editions

April 14, 2021 by Winnie the Pooh

Adobe telah merilis pembaruan keamanan yang mengatasi kerentanan keamanan di Adobe Photoshop, Adobe Digital Editions, Adobe Bridge, dan RoboHelp.

Secara total, perusahaan menangani 10 kerentanan keamanan yang memengaruhi 4 produk, dengan 7 di antaranya dinilai kritis karena memungkinkan eksekusi kode arbitrer atau penulisan file arbitrer.

Dari semua produk yang menerima pembaruan keamanan kali ini, Adobe Bridge yang paling banyak mendapat perbaikan, memperbaiki empat bug eksekusi kode ‘Kritis’ dan dua kerentanan yang dinilai sebagai ‘Penting’.

Bug eksekusi kode adalah yang paling serius karena dapat memungkinkan penyerang untuk menjalankan hampir semua perintah di Windows, termasuk menginstal malware atau mengambil alih komputer.

Adobe menyarankan pelanggan yang menggunakan produk yang rentan untuk memperbarui ke versi terbaru sesegera mungkin untuk memperbaiki bug yang dapat menyebabkan eksploitasi yang berhasil dari instalasi yang belum ditambal.

Dalam kebanyakan kasus, pengguna dapat memperbarui perangkat lunak mereka dengan menggunakan fitur pembaruan otomatis produk menggunakan langkah-langkah berikut:

Dengan masuk ke Bantuan> Periksa Pembaruan.
Installer pembaruan lengkap dapat diunduh dari Pusat Unduhan Adobe.
Biarkan produk diperbarui secara otomatis, tanpa memerlukan campur tangan pengguna, saat pembaruan terdeteksi.

Sumber: Bleeping Computer

NSA menemukan kerentanan Exchange Server yang kritis, tambal sekarang!

April 14, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk Exchange Server yang menangani empat kerentanan dengan skor tingkat keparahan mulai dari tinggi hingga kritis.

Semua kekurangan mengarah pada eksekusi kode jarak jauh pada mesin yang rentan dan ditemukan serta dilaporkan ke Microsoft oleh Badan Keamanan Nasional AS (NSA). Microsoft juga menemukan beberapa di antaranya secara internal.

Mengingat tingkat keparahan mereka dan pesta peretasan Microsoft Exchange yang dimulai pada awal tahun, organisasi sangat disarankan untuk memprioritaskan pemasangan tambalan terbaru.

Cacat tersebut memengaruhi Exchange Server versi 2013 hingga 2019 dan meskipun tidak ada bukti yang dieksploitasi di alam liar, Microsoft menilai bahwa pelaku ancaman cenderung memanfaatkannya segera setelah mereka membuat eksploitasi.

Empat kerentanan menerima nomor pelacakan (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483). Yang paling parah dari mereka memiliki skor keparahan kritis 9,8 dari 10 dan dapat dieksploitasi sebelum otentikasi, menurut analis intelijen ancaman senior Microsoft Kevin Beaumont. Kritis lainnya adalah 9/10, dan 8,8 / 10.

Ada dua cara untuk menerapkan pembaruan Exchange Server:

Menerapkan pembaruan secara manual memerlukan penginstalan file patch .MSP Installer Windows dari command prompt.

Selengkapnya: Bleeping Computer

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

April 14, 2021 by Winnie the Pooh

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer

Microsoft April 2021 Patch Tuesday memperbaiki 108 kekurangan, 5 zero-day

April 14, 2021 by Winnie the Pooh

Microsoft Patch Tuesday bulan April 2021 telah dirilis dengan lima kerentanan zero-day dan kerentanan Microsoft Exchange yang lebih kritis.

Pada pembaruan kali ini, Microsoft telah memperbaiki 108 kerentanan, dengan 19 kerentanan diklasifikasikan sebagai Kritis dan 89 sebagai Penting. Angka-angka ini tidak termasuk 6 kerentanan Chromium Edge yang dirilis awal bulan ini.

Ada juga lima kerentanan zero-day yang ditambal pada pembaruan kali ini yang diungkapkan secara publik, dengan satu diketahui digunakan dalam beberapa serangan. Microsoft juga memperbaiki empat kerentanan Microsoft Exchange kritis yang ditemukan NSA.

Empat kerentanan tersebut adalah:

CVE-2021-27091 – Kerentanan Peningkatan Hak Istimewa pada Layanan Pemeta Endpoint RPC
CVE-2021-28312 – Kerentanan Penolakan Layanan NTFS Windows
CVE-2021-28437 – Kerentanan Pengungkapan Informasi Penginstal Windows – PolarBear
CVE-2021-28458 – Kerentanan Peningkatan Hak Istimewa pada Perpustakaan Azure ms-rest-nodeauth

Kerentanan berikut adalah kerentanan yang ditemukan oleh peneliti Kaspersky Boris Larin telah dieksploitasi di alam liar.

CVE-2021-28310 – Peningkatan Kerentanan Hak Istimewa Win32k

Kaspersky yakin CVE-2021-28310 yang dieksploitasi digunakan oleh BITTER APT group.

Untuk informasi tentang pembaruan Windows non-keamanan, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5001330 & KB5001337.

Microsoft menghimbau kepada seluruh pengguna untuk menerapkan patch sesegera mungkin.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings