News 381 - Naga Cyber Defense

Avaddon ransomware memperbaiki cacat yang memungkinkan dekripsi gratis

February 13, 2021 by Winnie the Pooh

Geng ransomware Avaddon telah memperbaiki bug yang memungkinkan korban memulihkan file mereka tanpa membayar uang tebusan. Cacat ini terungkap setelah peneliti keamanan mengeksploitasinya untuk membuat decryptor.

Pada hari Selasa, Javier Yuste, Ph.D. mahasiswa di Universitas Rey Juan Carlos, menerbitkan decryptor untuk Avaddon Ransomware di halaman GitHub-nya dan merilis laporan yang menjelaskan cacat melalui ArXiv.

Menurut penelitian Yuste, ketika ransomware Avaddon mengenkripsi perangkat, ia membuat kunci sesi enkripsi AES256 unik yang digunakan untuk mengenkripsi dan mendekripsi file.

Namun, kekurangan dalam cara ransomware membersihkan kunci ini memungkinkan Yuste membuat dekripsi yang mengambil kunci dari memori selama komputer belum dimatikan sejak dienkripsi.

Penting untuk diingat bahwa ransomware dan pelaku ancaman mengikuti Twitter dan umpan berita yang sama dengan yang Anda lakukan.

BleepingComputer juga telah dihubungi berkali-kali oleh pelaku ancaman yang ingin mengklarifikasi suatu poin dalam artikel atau memberi tahu kami informasi lebih lanjut.

Oleh karena itu, selalu penting untuk mengasumsikan bahwa setiap kekurangan ransomware yang diungkapkan secara terbuka juga akan dilihat oleh pelaku ancaman.

Kami telah melihat ini secara historis dengan CryptoDefense, DarkSide, dan sekarang Avaddon.

Untuk alasan ini, sebagian besar ahli ransomware tidak berpikir perusahaan keamanan dan peneliti harus mempublikasikan kelemahan atau dekripsi enkripsi karena memungkinkan pelaku ancaman untuk memperbaiki bug di malware mereka.

Sebaliknya, disarankan agar mereka yang membuat decryptor menjangkau perusahaan antivirus, firma penanganan insiden, penegak hukum, dan komunitas seperti BleepingComputer yang biasanya membantu korban ransomware.

Decryptors ini kemudian dapat digunakan oleh organisasi-organisasi ini untuk membantu korban secara pribadi, sementara pada saat yang sama tidak mengungkapkan secara publik kepada pengembang ransomware bagaimana memperbaiki kekurangan mereka.

selengkapnya : BleepingComputer

3 Kerentanan di TinyCheck yang didukung Kaspersky

February 13, 2021 by Winnie the Pooh

Dalam penelitian terbaru Sayfer, menemukan 3 kerentanan berbeda di TinyCheck, alat sumber terbuka yang dikembangkan dan diterbitkan oleh Félix Aimé, salah satu pakar GReAT Kaspersky. Setiap kerentanan memiliki tingkat keparahan yang tinggi. Setelah digabungkan menjadi sebuah rantai, penyerang jarak jauh dapat memanfaatkannya untuk mendapatkan RCE (eksekusi kode jarak jauh) pada mesin TinyCheck jarak jauh.

Singkatnya, Sayfer menggunakan kredensial default TinyCheck untuk mengedit dua bagian dalam file konfigurasi:

Yang pertama, menambahkan muatan berbahaya, yang akan dieksekusi nanti melalui kerentanan injeksi perintah.
Yang kedua, menambahkan URL ke daftar yang akan menyebabkan SSRF, yang nantinya akan memicu muatan berbahaya dari bagian pertama.

Kerentanan # 1 – Kredensial Default
Ini adalah yang paling sederhana dari 3 kerentanan, tetapi penting untuk keseluruhan serangan. Secara default, TinyCheck hadir dengan kredensial default “tinycheck” sebagai nama pengguna dan kata sandi.

Kerentanan # 2 – SSRF
Server side request forget (SSRF) selalu menarik dan sering kali diabaikan oleh pengembang atau peneliti keamanan. Dengan mengeksploitasi kerentanan ini, Sayfer dapat memaksa server untuk membuat permintaan HTTP. Ini berguna untuk melewati firewall atau untuk mengakses jaringan internal, yang sebelumnya tidak dapat diakses.

Kerentanan # 3 – Command Injection
Sayfer mulai menyelidiki server “frontend”. Jangan bingung dengan namanya, ini adalah server Flask, bukan hanya frontend JS.

Dengan memiliki dunia titik akhir yang benar-benar baru dari kerentanan SSRF, Sayfer memeriksa kelas layanan, fungsi, dan utilitas yang mungkin dapat dieksploitasi.

selengkapnya : Sayfer

Peretas Cyberpunk dan Witcher melelang kode sumber curian seharga jutaan dolar

February 13, 2021 by Winnie the Pooh

Para peretas yang menargetkan pengembang video game CD Projekt Red (CDPR) dengan serangan ransomware telah melelang kode sumber curian yang mereka peroleh dengan bayaran jutaan dolar.

Pelanggaran, yang pertama kali diungkapkan CDPR kemarin setelah mempelajarinya pada hari Senin minggu ini, melibatkan kode permainan penting yang terkait dengan rilis profil tinggi seperti The Witcher 3 dan Cyberpunk 2077. CDPR mengatakan pada saat itu bahwa mereka tidak berniat untuk bertemu dengan para peretas ‘tuntutan, bahkan jika itu berarti materi curian dari peretasan mulai beredar secara online.

Itu mulai terjadi tidak lama kemudian. Pada hari Rabu, kebocoran informasi kode sumber yang berpotensi sah mulai muncul di forum online, seperti yang dicatat di Twitter oleh akun keamanan siber vx-underground.

selengkapnya : TheVerge

NIST Menyelesaikan Panduan Keamanan Siber untuk Sistem Penentuan Posisi, Navigasi, dan Pengaturan Waktu

February 13, 2021 by Winnie the Pooh

Sebagai bagian dari upaya untuk membantu pengguna menerapkan Cybersecurity Framework (CSF) yang terkenal seluas dan seefektif mungkin, National Institute of Standards and Technology (NIST) telah merilis panduan keamanan siber final untuk layanan positioning, navigation and timing (PNT).

Secara resmi berjudul Profil PNT Dasar: Menerapkan Kerangka Kerja Keamanan Siber untuk Penggunaan yang Bertanggung Jawab dari Layanan Penentuan Posisi, Navigasi dan Waktu (PNT) (NISTIR 8323), dokumen ini merupakan bagian dari tanggapan NIST terhadap 12 Februari 2020, Perintah Eksekutif 13905, Penguatan Nasional Ketahanan Melalui Penggunaan Layanan Pemosisian, Navigasi, dan Pengaturan Waktu yang Bertanggung Jawab. Untuk mengembangkan profil, NIST meminta masukan publik terkait penggunaan umum data PNT sebelum merilis versi draf pada Oktober 2020. Versi final mencerminkan komentar publik yang diterima NIST tentang draf tersebut.

“Profil”, istilah yang digunakan NIST untuk menggambarkan penerapan CSF pada skenario implementasi tertentu, dimaksudkan untuk membantu mengurangi risiko keamanan siber yang dihadapi layanan PNT. Layanan ini penting untuk keamanan nasional dan ekonomi dan mencakup Sistem Pemosisian Global yang banyak digunakan oleh aplikasi navigasi berbasis ponsel cerdas, serta teknologi waktu sepersekian detik yang memungkinkan perdagangan saham dan kontrol yang efisien dari jaringan listrik.

Penambahan utama sejak versi draf dirilis adalah “Quick Guide” yang dimaksudkan untuk menawarkan cara yang lebih mudah kepada pengguna untuk mulai menggunakan profil.

selengkapnya : NIST

KeepChange mengatakan mereka menghentikan peretas mencuri dana pengguna, tetapi bukan data pribadi

February 12, 2021 by Winnie the Pooh

KeepChange, portal pertukaran Bitcoin yang diluncurkan tahun lalu, mengatakan telah diretas selama akhir pekan tetapi perlindungan keamanan yang diterapkannya menghentikan para penyusup untuk mencuri dana pengguna.

“Permintaan penarikan Bitcoin dimulai dari akun pelanggan ke alamat milik penyerang,” kata pasar Bitcoin dalam sebuah posting blog minggu ini.

“Salah satu subsistem kontrol kami menendang dan menghentikan permintaan penarikan tersebut, dan tidak ada Bitcoin yang dicuri dari KeepChange.”

Namun, KeepChange mengatakan bahwa meskipun peretas tidak berhasil mencuri dana pengguna, mereka berhasil mencuri beberapa data pribadi pelanggannya. Ini termasuk detail seperti nama, alamat email, jumlah perdagangan, total jumlah yang diperdagangkan, dan kata sandi yang di hash.

KeepChange telah menghentikan penarikan dana di platform hingga hari ini, Kamis, 11 Februari, untuk memberi pengguna waktu untuk mengubah kata sandi dan mengaktifkan berbagai fitur keamanan untuk akun mereka.

Di antaranya adalah otentikasi dua faktor (2FA), yang perusahaan mendesak pengguna untuk mengaktifkannya pada akun mereka.

Selengkapnya: ZDNet

PayPal memperbaiki kerentanan reflected XSS dalam konverter mata uang dompet pengguna

February 12, 2021 by Winnie the Pooh

PayPal telah menyelesaikan kerentanan reflected cross-site scripting (XSS) yang ditemukan di fitur pengonversi mata uang di dompet pengguna.

Pertama kali diungkapkan pada 19 Februari 2020, oleh pemburu bug bounty yang menggunakan nama “Cr33pb0y” di HackerOne, kerentanan ini digambarkan sebagai masalah “reflected XSS dan CSP bypass”.

Dalam pengungkapan terbatas, yang diterbitkan pada 10 Februari – hampir setahun setelah peneliti melaporkan masalah tersebut secara pribadi – PayPal mengatakan bug itu ada di endpoint konversi mata uang dan disebabkan oleh kegagalan untuk membersihkan input pengguna dengan benar.

Parameter URL yang lemah gagal membersihkan masukan yang dapat memungkinkan pelaku ancaman untuk memasukkan JavaScript, HTML, atau kode berbahaya lainnya “yang dapat dijalankan oleh browser”, menurut advisory tersebut.

Akibatnya, muatan berbahaya dapat terpicu di Document Object Model (DOM) dari halaman browser korban tanpa sepengetahuan atau persetujuan mereka.

Biasanya, serangan reflected XSS mencerminkan skrip dari sumber web ke browser dan mungkin hanya mengharuskan korban untuk mengklik tautan berbahaya untuk memicunya. Muatan dapat digunakan untuk mencuri cookie, token sesi, atau informasi akun, atau dapat digunakan sebagai langkah dalam serangan yang lebih luas.

Sumber: ZDNet

Bug Windows Defender berusia 12 tahun memberi hak admin kepada peretas

February 12, 2021 by Winnie the Pooh

Microsoft telah memperbaiki kerentanan eskalasi hak istimewa di Microsoft Defender Antivirus (sebelumnya Windows Defender) yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem Windows yang belum ditambal.

Peningkatan hak istimewa yang dilacak sebagai CVE-2021-24092 memengaruhi versi Defender sejak 2009, dan memengaruhi rilis klien dan server yang dimulai dengan Windows 7 dan yang lebih baru.

Aktor ancaman dengan hak pengguna dasar dapat mengeksploitasinya secara lokal, sebagai bagian dari serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan juga memengaruhi produk keamanan Microsoft lainnya termasuk namun tidak terbatas pada Microsoft Endpoint Protection, Microsoft Security Essentials, dan Microsoft System Center Endpoint Protection.

SentinelOne menemukan dan melaporkan kerentanan tersebut pada November 2020. Microsoft merilis patch pada hari Selasa, bersama dengan pembaruan keamanan lainnya yang diterbitkan sebagai bagian dari Patch pada Februari 2021 pada Selasa.

Kerentanan tersebut ditemukan di driver BTR.sys (juga dikenal sebagai Boot Time Removal Tool) yang digunakan selama proses perbaikan untuk menghapus file dan entri registri yang dibuat oleh malware pada sistem yang terinfeksi.

Versi Microsoft Malware Protection Engine terakhir yang terpengaruh oleh kerentanan ini adalah versi 1.1.17700.4. Versi pertama yang menangani bug adalah 1.1.17800.5.

Sistem yang ditambal terhadap kerentanan ini harus menjalankan Microsoft Malware Protection Engine versi 1.1.17800.5 atau yang lebih baru.

Sumber: Bleeping Computer

Singtel mengalami pelanggaran keamanan vendor pihak ketiga, data pelanggan kemungkinan bocor

February 12, 2021 by Winnie the Pooh

Singtel mengatakan sedang menyelidiki dampak pelanggaran keamanan siber yang mungkin telah membahayakan data pelanggan, setelah dipastikan pada 9 Februari bahwa “file telah diambil”.

Serangan tersebut telah memengaruhi sistem berbagi file yang dikembangkan dua dekade lalu oleh vendor pihak ketiga Accellion, yang telah digunakan oleh perusahaan telekomunikasi Singapura secara internal dan dengan stakeholders eksternal.

Singtel mengungkapkan dalam sebuah pernyataan hari Kamis bahwa mereka telah diberitahu oleh Accellion bahwa sistem berbagi file, yang disebut FTA (File Transfer Appliance), telah dilanggar oleh peretas tak dikenal.

Semua penggunaan sistem telah ditarik kembali dan otoritas terkait, termasuk Badan Keamanan Siber Singapura dan polisi setempat, telah diberitahu mengenai hal ini.

“Informasi pelanggan mungkin telah diakses,” kata perusahaan telekomunikasi itu. “Prioritas kami adalah bekerja secara langsung dengan pelanggan dan stakeholders yang informasinya mungkin telah disusupi agar mereka tetap didukung dan membantu mereka mengelola risiko apa pun. Kami akan menghubungi mereka secepatnya setelah kami mengidentifikasi file mana yang relevan dengan mereka yang diakses secara ilegal.”

Accellion pada 1 Februari mengatakan sistem FTA-nya adalah perangkat lunak transfer file besar berusia 20 tahun yang mendekati akhir siklus hidupnya. Itu telah menjadi target dari “serangan cyber yang canggih”, yang pertama kali diketahui pada tanggal 23 Desember ketika Accellion menginformasikan semua pelanggannya tentang serangan yang melibatkan sistem berbagi file.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings