News 385 - Naga Cyber Defense

Intel memperbaiki kerentanan di Windows, driver grafis Linux

February 13, 2021 by Winnie the Pooh

Intel membahas 57 kerentanan keamanan selama Patch Tuesday bulan ini, termasuk yang sangat parah yang memengaruhi Driver Grafis Intel.

40 di antaranya ditemukan secara internal oleh Intel, sedangkan 17 lainnya dilaporkan secara eksternal, hampir semuanya melalui program Bug Bounty Intel.

Microsoft juga telah merilis pembaruan mikrokode Intel untuk Windows 10 20H2, 2004, 1909, dan versi yang lebih lama untuk memperbaiki masalah yang memengaruhi versi Windows 10 saat ini dan yang dirilis sebelumnya.

Pembaruan kode mikro ini ditawarkan ke perangkat yang terpengaruh melalui Pembaruan Windows tetapi juga dapat diunduh secara manual langsung dari Katalog Microsoft menggunakan tautan berikut:

• KB4589212: Pembaruan mikrokode Intel untuk Windows 10, versi 2004 dan 20H2, dan Windows Server, versi 2004 dan 20H2
• KB4589211: Pembaruan mikrokode Intel untuk Windows 10, versi 1903 dan 1909, dan Windows Server, versi 1903 dan 1909
• KB4589208: Pembaruan mikrokode Intel untuk Windows 10, versi 1809 dan Windows Server 2019
• KB4589206: Pembaruan kode mikro Intel untuk Windows 10, versi 1803
• KB4589210: Pembaruan mikrokode Intel untuk Windows 10, versi 1607 dan Windows Server 2016
• KB4589198: Pembaruan mikrokode Intel untuk Windows 10, versi 1507

Namun, penting untuk menyebutkan bahwa pembaruan serupa diketahui telah menyebabkan sistem macet dan masalah kinerja pada CPU lama di masa lalu karena cara masalah tersebut diatasi.

selengkapnya : BleepingComputer

Microsoft Mengeluarkan Pembaruan Windows 10 Out-of-Band untuk Memperbaiki Bug WPA3 WiFi Diperkenalkan oleh Pembaruan Januari

February 13, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan Windows 10 out-of-band untuk mengatasi masalah yang memengaruhi perangkat dengan koneksi WiFi menggunakan WPA3 dan menginstal KB4598298 Januari 2021. Bug juga memengaruhi perangkat yang menginstal pembaruan kumulatif Patch Tuesday KB4601315 minggu ini.

Masalah tersebut dilaporkan oleh beberapa pengguna di awal bulan. Pembuat Windows hari ini telah mengakui masalah tersebut dan merilis pembaruan kecil untuk memperbaikinya. Masalah ini hanya memengaruhi perangkat yang menjalankan Windows 10 versi 1909, dan Windows Server versi 1909.

selengkapnya : WCCFTECH

1376 / 5000 Translation results Microsoft mengatakan jumlah web shells telah berlipat ganda sejak tahun lalu

February 13, 2021 by Winnie the Pooh

Microsoft mengatakan jumlah web shells berbahaya yang dipasang di server web hampir dua kali lipat sejak penghitungan terakhirnya, tahun lalu pada Agustus 2020.

Dalam sebuah posting blog kemarin, perusahaan Redmond mengatakan telah mendeteksi sekitar 140.000 web shell per bulan antara Agustus 2020 dan Januari 2021, naik dari rata-rata 77.000 yang dilaporkan tahun lalu.

Jumlahnya meningkat sebagai akibat dari pergeseran cara peretas melihat web shells. Setelah dianggap sebagai alat untuk skrip kiddies yang merusak situs web dan alat masuk dari operator botnet DDoS, web shells sekarang menjadi bagian dari gudang geng ransomware dan peretas negara-bangsa dan merupakan alat penting yang digunakan dalam intrusi kompleks.

Dua alasan mengapa mereka menjadi begitu populer adalah keserbagunaan dan akses yang mereka berikan ke server yang diretas.

Web shells, yang tidak lebih dari skrip sederhana, dapat ditulis di hampir semua bahasa pemrograman yang berjalan di server web — seperti PHP, ASP, JSP, atau JS — dan semacamnya, dapat dengan mudah disembunyikan di dalam kode sumber situs web. Hal ini membuat pendeteksian mereka menjadi operasi yang sulit, yang sering kali melibatkan analisis manual dari operator manusia.

Selain itu, web shells memberi peretas cara sederhana untuk menjalankan perintah pada server yang diretas melalui antarmuka grafis atau baris perintah, memberikan penyerang cara sederhana untuk meningkatkan serangan.

selengkapnya : ZDNET

Yandex mengatakan mereka menangkap seorang karyawan yang menjual akses ke inbox pengguna

February 13, 2021 by Winnie the Pooh

Mesin pencari dan penyedia email Rusia Yandex mengatakan hari ini bahwa mereka menangkap salah satu karyawannya yang menjual akses ke akun email pengguna untuk keuntungan pribadi.

Perusahaan tersebut, yang tidak mengungkapkan nama karyawan tersebut, mengatakan bahwa orang tersebut adalah “salah satu dari tiga administrator sistem dengan hak akses yang diperlukan untuk memberikan dukungan teknis” untuk layanan Yandex.Mail miliknya.

Perusahaan Rusia itu mengatakan sekarang sedang dalam proses memberi tahu pemilik 4.887 kotak surat yang telah disusupi dan di mana karyawan tersebut menjual akses ke pihak ketiga.

Pejabat Yandex juga mengatakan mereka mengamankan kembali akun yang disusupi dan memblokir apa yang tampaknya merupakan login tidak sah. Mereka sekarang meminta pemilik akun yang terkena dampak untuk mengubah sandi mereka.

selengkapnya : ZDNET

Avaddon ransomware memperbaiki cacat yang memungkinkan dekripsi gratis

February 13, 2021 by Winnie the Pooh

Geng ransomware Avaddon telah memperbaiki bug yang memungkinkan korban memulihkan file mereka tanpa membayar uang tebusan. Cacat ini terungkap setelah peneliti keamanan mengeksploitasinya untuk membuat decryptor.

Pada hari Selasa, Javier Yuste, Ph.D. mahasiswa di Universitas Rey Juan Carlos, menerbitkan decryptor untuk Avaddon Ransomware di halaman GitHub-nya dan merilis laporan yang menjelaskan cacat melalui ArXiv.

Menurut penelitian Yuste, ketika ransomware Avaddon mengenkripsi perangkat, ia membuat kunci sesi enkripsi AES256 unik yang digunakan untuk mengenkripsi dan mendekripsi file.

Namun, kekurangan dalam cara ransomware membersihkan kunci ini memungkinkan Yuste membuat dekripsi yang mengambil kunci dari memori selama komputer belum dimatikan sejak dienkripsi.

Penting untuk diingat bahwa ransomware dan pelaku ancaman mengikuti Twitter dan umpan berita yang sama dengan yang Anda lakukan.

BleepingComputer juga telah dihubungi berkali-kali oleh pelaku ancaman yang ingin mengklarifikasi suatu poin dalam artikel atau memberi tahu kami informasi lebih lanjut.

Oleh karena itu, selalu penting untuk mengasumsikan bahwa setiap kekurangan ransomware yang diungkapkan secara terbuka juga akan dilihat oleh pelaku ancaman.

Kami telah melihat ini secara historis dengan CryptoDefense, DarkSide, dan sekarang Avaddon.

Untuk alasan ini, sebagian besar ahli ransomware tidak berpikir perusahaan keamanan dan peneliti harus mempublikasikan kelemahan atau dekripsi enkripsi karena memungkinkan pelaku ancaman untuk memperbaiki bug di malware mereka.

Sebaliknya, disarankan agar mereka yang membuat decryptor menjangkau perusahaan antivirus, firma penanganan insiden, penegak hukum, dan komunitas seperti BleepingComputer yang biasanya membantu korban ransomware.

Decryptors ini kemudian dapat digunakan oleh organisasi-organisasi ini untuk membantu korban secara pribadi, sementara pada saat yang sama tidak mengungkapkan secara publik kepada pengembang ransomware bagaimana memperbaiki kekurangan mereka.

selengkapnya : BleepingComputer

3 Kerentanan di TinyCheck yang didukung Kaspersky

February 13, 2021 by Winnie the Pooh

Dalam penelitian terbaru Sayfer, menemukan 3 kerentanan berbeda di TinyCheck, alat sumber terbuka yang dikembangkan dan diterbitkan oleh Félix Aimé, salah satu pakar GReAT Kaspersky. Setiap kerentanan memiliki tingkat keparahan yang tinggi. Setelah digabungkan menjadi sebuah rantai, penyerang jarak jauh dapat memanfaatkannya untuk mendapatkan RCE (eksekusi kode jarak jauh) pada mesin TinyCheck jarak jauh.

Singkatnya, Sayfer menggunakan kredensial default TinyCheck untuk mengedit dua bagian dalam file konfigurasi:

Yang pertama, menambahkan muatan berbahaya, yang akan dieksekusi nanti melalui kerentanan injeksi perintah.
Yang kedua, menambahkan URL ke daftar yang akan menyebabkan SSRF, yang nantinya akan memicu muatan berbahaya dari bagian pertama.

Kerentanan # 1 – Kredensial Default
Ini adalah yang paling sederhana dari 3 kerentanan, tetapi penting untuk keseluruhan serangan. Secara default, TinyCheck hadir dengan kredensial default “tinycheck” sebagai nama pengguna dan kata sandi.

Kerentanan # 2 – SSRF
Server side request forget (SSRF) selalu menarik dan sering kali diabaikan oleh pengembang atau peneliti keamanan. Dengan mengeksploitasi kerentanan ini, Sayfer dapat memaksa server untuk membuat permintaan HTTP. Ini berguna untuk melewati firewall atau untuk mengakses jaringan internal, yang sebelumnya tidak dapat diakses.

Kerentanan # 3 – Command Injection
Sayfer mulai menyelidiki server “frontend”. Jangan bingung dengan namanya, ini adalah server Flask, bukan hanya frontend JS.

Dengan memiliki dunia titik akhir yang benar-benar baru dari kerentanan SSRF, Sayfer memeriksa kelas layanan, fungsi, dan utilitas yang mungkin dapat dieksploitasi.

selengkapnya : Sayfer

Peretas Cyberpunk dan Witcher melelang kode sumber curian seharga jutaan dolar

February 13, 2021 by Winnie the Pooh

Para peretas yang menargetkan pengembang video game CD Projekt Red (CDPR) dengan serangan ransomware telah melelang kode sumber curian yang mereka peroleh dengan bayaran jutaan dolar.

Pelanggaran, yang pertama kali diungkapkan CDPR kemarin setelah mempelajarinya pada hari Senin minggu ini, melibatkan kode permainan penting yang terkait dengan rilis profil tinggi seperti The Witcher 3 dan Cyberpunk 2077. CDPR mengatakan pada saat itu bahwa mereka tidak berniat untuk bertemu dengan para peretas ‘tuntutan, bahkan jika itu berarti materi curian dari peretasan mulai beredar secara online.

Itu mulai terjadi tidak lama kemudian. Pada hari Rabu, kebocoran informasi kode sumber yang berpotensi sah mulai muncul di forum online, seperti yang dicatat di Twitter oleh akun keamanan siber vx-underground.

selengkapnya : TheVerge

NIST Menyelesaikan Panduan Keamanan Siber untuk Sistem Penentuan Posisi, Navigasi, dan Pengaturan Waktu

February 13, 2021 by Winnie the Pooh

Sebagai bagian dari upaya untuk membantu pengguna menerapkan Cybersecurity Framework (CSF) yang terkenal seluas dan seefektif mungkin, National Institute of Standards and Technology (NIST) telah merilis panduan keamanan siber final untuk layanan positioning, navigation and timing (PNT).

Secara resmi berjudul Profil PNT Dasar: Menerapkan Kerangka Kerja Keamanan Siber untuk Penggunaan yang Bertanggung Jawab dari Layanan Penentuan Posisi, Navigasi dan Waktu (PNT) (NISTIR 8323), dokumen ini merupakan bagian dari tanggapan NIST terhadap 12 Februari 2020, Perintah Eksekutif 13905, Penguatan Nasional Ketahanan Melalui Penggunaan Layanan Pemosisian, Navigasi, dan Pengaturan Waktu yang Bertanggung Jawab. Untuk mengembangkan profil, NIST meminta masukan publik terkait penggunaan umum data PNT sebelum merilis versi draf pada Oktober 2020. Versi final mencerminkan komentar publik yang diterima NIST tentang draf tersebut.

“Profil”, istilah yang digunakan NIST untuk menggambarkan penerapan CSF pada skenario implementasi tertentu, dimaksudkan untuk membantu mengurangi risiko keamanan siber yang dihadapi layanan PNT. Layanan ini penting untuk keamanan nasional dan ekonomi dan mencakup Sistem Pemosisian Global yang banyak digunakan oleh aplikasi navigasi berbasis ponsel cerdas, serta teknologi waktu sepersekian detik yang memungkinkan perdagangan saham dan kontrol yang efisien dari jaringan listrik.

Penambahan utama sejak versi draf dirilis adalah “Quick Guide” yang dimaksudkan untuk menawarkan cara yang lebih mudah kepada pengguna untuk mulai menggunakan profil.

selengkapnya : NIST

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings