Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

KeepChange mengatakan mereka menghentikan peretas mencuri dana pengguna, tetapi bukan data pribadi

by

KeepChange, portal pertukaran Bitcoin yang diluncurkan tahun lalu, mengatakan telah diretas selama akhir pekan tetapi perlindungan keamanan yang diterapkannya menghentikan para penyusup untuk mencuri dana pengguna.

“Permintaan penarikan Bitcoin dimulai dari akun pelanggan ke alamat milik penyerang,” kata pasar Bitcoin dalam sebuah posting blog minggu ini.

“Salah satu subsistem kontrol kami menendang dan menghentikan permintaan penarikan tersebut, dan tidak ada Bitcoin yang dicuri dari KeepChange.”

Namun, KeepChange mengatakan bahwa meskipun peretas tidak berhasil mencuri dana pengguna, mereka berhasil mencuri beberapa data pribadi pelanggannya. Ini termasuk detail seperti nama, alamat email, jumlah perdagangan, total jumlah yang diperdagangkan, dan kata sandi yang di hash.

KeepChange telah menghentikan penarikan dana di platform hingga hari ini, Kamis, 11 Februari, untuk memberi pengguna waktu untuk mengubah kata sandi dan mengaktifkan berbagai fitur keamanan untuk akun mereka.

Di antaranya adalah otentikasi dua faktor (2FA), yang perusahaan mendesak pengguna untuk mengaktifkannya pada akun mereka.

Selengkapnya: ZDNet

PayPal memperbaiki kerentanan reflected XSS dalam konverter mata uang dompet pengguna

by

PayPal telah menyelesaikan kerentanan reflected cross-site scripting (XSS) yang ditemukan di fitur pengonversi mata uang di dompet pengguna.

Pertama kali diungkapkan pada 19 Februari 2020, oleh pemburu bug bounty yang menggunakan nama “Cr33pb0y” di HackerOne, kerentanan ini digambarkan sebagai masalah “reflected XSS dan CSP bypass”.

Dalam pengungkapan terbatas, yang diterbitkan pada 10 Februari – hampir setahun setelah peneliti melaporkan masalah tersebut secara pribadi – PayPal mengatakan bug itu ada di endpoint konversi mata uang dan disebabkan oleh kegagalan untuk membersihkan input pengguna dengan benar.

Parameter URL yang lemah gagal membersihkan masukan yang dapat memungkinkan pelaku ancaman untuk memasukkan JavaScript, HTML, atau kode berbahaya lainnya “yang dapat dijalankan oleh browser”, menurut advisory tersebut.

Akibatnya, muatan berbahaya dapat terpicu di Document Object Model (DOM) dari halaman browser korban tanpa sepengetahuan atau persetujuan mereka.

Biasanya, serangan reflected XSS mencerminkan skrip dari sumber web ke browser dan mungkin hanya mengharuskan korban untuk mengklik tautan berbahaya untuk memicunya. Muatan dapat digunakan untuk mencuri cookie, token sesi, atau informasi akun, atau dapat digunakan sebagai langkah dalam serangan yang lebih luas.

Sumber: ZDNet

Bug Windows Defender berusia 12 tahun memberi hak admin kepada peretas

by

Microsoft telah memperbaiki kerentanan eskalasi hak istimewa di Microsoft Defender Antivirus (sebelumnya Windows Defender) yang dapat memungkinkan penyerang mendapatkan hak admin pada sistem Windows yang belum ditambal.

Peningkatan hak istimewa yang dilacak sebagai CVE-2021-24092 memengaruhi versi Defender sejak 2009, dan memengaruhi rilis klien dan server yang dimulai dengan Windows 7 dan yang lebih baru.

Aktor ancaman dengan hak pengguna dasar dapat mengeksploitasinya secara lokal, sebagai bagian dari serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Kerentanan juga memengaruhi produk keamanan Microsoft lainnya termasuk namun tidak terbatas pada Microsoft Endpoint Protection, Microsoft Security Essentials, dan Microsoft System Center Endpoint Protection.

SentinelOne menemukan dan melaporkan kerentanan tersebut pada November 2020. Microsoft merilis patch pada hari Selasa, bersama dengan pembaruan keamanan lainnya yang diterbitkan sebagai bagian dari Patch pada Februari 2021 pada Selasa.

Kerentanan tersebut ditemukan di driver BTR.sys (juga dikenal sebagai Boot Time Removal Tool) yang digunakan selama proses perbaikan untuk menghapus file dan entri registri yang dibuat oleh malware pada sistem yang terinfeksi.

Versi Microsoft Malware Protection Engine terakhir yang terpengaruh oleh kerentanan ini adalah versi 1.1.17700.4. Versi pertama yang menangani bug adalah 1.1.17800.5.

Sistem yang ditambal terhadap kerentanan ini harus menjalankan Microsoft Malware Protection Engine versi 1.1.17800.5 atau yang lebih baru.

Sumber: Bleeping Computer

Singtel mengalami pelanggaran keamanan vendor pihak ketiga, data pelanggan kemungkinan bocor

by

Singtel mengatakan sedang menyelidiki dampak pelanggaran keamanan siber yang mungkin telah membahayakan data pelanggan, setelah dipastikan pada 9 Februari bahwa “file telah diambil”.

Serangan tersebut telah memengaruhi sistem berbagi file yang dikembangkan dua dekade lalu oleh vendor pihak ketiga Accellion, yang telah digunakan oleh perusahaan telekomunikasi Singapura secara internal dan dengan stakeholders eksternal.

Singtel mengungkapkan dalam sebuah pernyataan hari Kamis bahwa mereka telah diberitahu oleh Accellion bahwa sistem berbagi file, yang disebut FTA (File Transfer Appliance), telah dilanggar oleh peretas tak dikenal.

Semua penggunaan sistem telah ditarik kembali dan otoritas terkait, termasuk Badan Keamanan Siber Singapura dan polisi setempat, telah diberitahu mengenai hal ini.

“Informasi pelanggan mungkin telah diakses,” kata perusahaan telekomunikasi itu. “Prioritas kami adalah bekerja secara langsung dengan pelanggan dan stakeholders yang informasinya mungkin telah disusupi agar mereka tetap didukung dan membantu mereka mengelola risiko apa pun. Kami akan menghubungi mereka secepatnya setelah kami mengidentifikasi file mana yang relevan dengan mereka yang diakses secara ilegal.”

Accellion pada 1 Februari mengatakan sistem FTA-nya adalah perangkat lunak transfer file besar berusia 20 tahun yang mendekati akhir siklus hidupnya. Itu telah menjadi target dari “serangan cyber yang canggih”, yang pertama kali diketahui pada tanggal 23 Desember ketika Accellion menginformasikan semua pelanggannya tentang serangan yang melibatkan sistem berbagi file.

Selengkapnya: ZDNet

VMware sangat menyarankan TPM untuk semua server dalam panduan keamanan vSphere yang diperketat

by

VMware telah menerbitkan panduan konfigurasi keamanan baru dan lebih ketat untuk suite cloud pribadi vSphere andalannya.

Bob Plankers, seorang arsitek pemasaran teknis VMware, mengumumkan panduan yang diperbarui hari ini dan mengatakan bahwa edisi 2020 “mengambil kesempatan untuk menjadi lebih preskriptif tentang praktik terbaik di semua bagian implementasi vSphere”.

Pada panduan tersebut ia juga memberikan saran yang sangat kuat bahwa inilah saatnya untuk hanya menjalankan server yang menjalankan Trusted Platform Module (TPM).

TPM masih menjadi opsi di beberapa server atau tidak diaktifkan secara default. vAdmin catat!

Perubahan lainnya adalah kontrol untuk mengisolasi manajemen, vMotion, dan vSAN. Plankers menulis bahwa melakukan itu “umumnya dianggap sebagai semacam ‘tribal knowledge'”.

Panduan lengkap dapat ditemukan di sini. The Register menyarankan itu penting karena sementara VMware telah memperpanjang masa pakai yang didukung vSphere 6.7, dukungan untuk versi 6.5 berakhir pada November 2021 dan virtual software biz dengan sopan-tapi-bersikeras mendorong pengguna untuk meningkatkan ke penawaran terbarunya. Dengan dosis ganda bimbingan keamanan baru-baru ini untuk Anda pertimbangkan, melakukan upgrade kemungkinan akan membutuhkan sedikit perhatian lebih dari proyek-proyek sebelumnya.

Sumber The Register

Proofpoint menuntut Facebook untuk mendapatkan izin menggunakan domain yang mirip untuk pengujian phishing

by

Pusat kekuatan keamanan siber Proofpoint telah mengajukan gugatan minggu ini terhadap Facebook sehubungan dengan upaya jaringan sosial untuk menyita nama domain yang digunakan perusahaan keamanan untuk pelatihan kesadaran phishing.

Kasus ini adalah tuntutan balasan untuk pengajuan Facebook mulai 30 November 2020, ketika jejaring sosial menggunakan permintaan UDRP (Uniform Domain-Name Dispute-Resolution) untuk memaksa pencatat nama domain Namecheap menyerahkan beberapa nama domain yang meniru Facebook dan Instagram merek.

Di antara nama domain yang terdaftar adalah orang-orang seperti facbook-login.com, facbook-login.net, instagrarn.ai, instagrarn.net, dan instagrarn.org.

PROOFPOINT KATAKAN DOMAIN ADALAH GAME FAIR
Dalam dokumen pengadilan yang diajukan pada hari Selasa, Proofpoint mengatakan UDRP tidak boleh berlaku untuk domain ini, yang harus diizinkan untuk disimpan dan terus digunakan.

Facebook dan Proofpoint belum menanggapi permintaan komentar.

selengkapnya : ZDNET

Waspadalah terhadap “ahli” teknis yang membombardir Anda dengan laporan bug

by

Peneliti Sophos, Chester Wisniewski, telah menjuluki “beg bounty hunters” ini, karena itu adalah pesan yang tidak diminta yang meminta perhatian Anda,

Anda mungkin tahu bahwa banyak perusahaan saat ini memiliki cara untuk pemburu bug – beberapa di antaranya mencari nafkah dari mencari tahu lubang keamanan di situs web dan perangkat lunak perusahaan – untuk melaporkan masalah yang mereka temukan, dan berpotensi mendapatkan bayaran atas pekerjaan mereka.

Pada saat yang sama, program bug bounty biasanya memiliki batasan yang cukup jelas sehingga mereka tidak menawarkan alasan biasa “keluar dari penjara” yang dapat disalahgunakan oleh penjahat yang tujuannya bukan untuk membantu memperbaiki masalah tetapi untuk menemukan dan mengeksploitasi mereka.

Misalnya, jika Anda ingin berburu serangga atas nama Sophos, Anda harus setuju, antara lain:

  • Bahwa Anda tidak akan mengubah atau menghancurkan data yang bukan milik Anda, yang berarti bahwa Anda akan mencoba bertindak online seperti pejalan kaki yang ramah lingkungan yang mengikuti panduan semak informal untuk “hanya mengambil gambar dan meninggalkan hanya jejak kaki”.
  • Bahwa Anda akan melakukan upaya dengan niat baik untuk menghindari pelanggaran privasi serta perusakan, gangguan, atau pemisahan layanan kami, yang berarti Anda akan melakukan yang terbaik untuk membuktikan maksud Anda tanpa merugikan orang lain.
  • Bahwa Anda akan memberi [kami] kesempatan untuk memperbaiki kerentanan dalam jangka waktu yang wajar sebelum mengungkapkan masalah yang teridentifikasi kepada publik, yang menyiratkan bahwa motivasi Anda, selain mendapatkan hadiah, adalah untuk meningkatkan keamanan dan menutup lubang daripada mempelajari caranya melewati keamanan untuk mengeksploitasinya.

Yang disebut Chester “beg bounty hunters” tidak peduli tentang semua ini, karena modus operandi mereka berjalan seperti ini:

  • Mengontak teknis untuk perusahaan atau situs web.
  • Menghasilkan beberapa teks technobabble yang mengklaim telah menemukan kerentanan, mungkin didukung oleh deskripsi yang terdengar menakutkan yang disalin dan ditempelkan dari alat pemindaian keamanan (atau bahkan hanya dari Wikipedia atau situs komunitas serupa).
  • Kirimkan technobabble ke seluruh, bersama dengan semacam permintaan yang terselubung baik untuk kontrak pertunjukan untuk ‘memperbaiki’ ‘kerentanan’, atau untuk pembayaran untuk ‘menemukan’ ‘lubang’, atau keduanya.

Apa yang harus dilakukan?
Berikut saran Chester:

  • Jangan membalas tawaran yang tidak diminta untuk ‘memperbaiki’ jaringan Anda. Perlakukan para penipu ini seperti penipu dukungan teknis palsu yang kami sebutkan di atas, yang tiba-tiba memanggil dan menindas Anda agar menerima dan membayar ‘bantuan’ yang tidak dapat Anda percayai dan tidak butuhkan.
  • Hubungi perusahaan tepercaya setempat untuk menilai kelemahan keamanan Anda. Carilah tim yang akan bekerja dengan Anda untuk membantu Anda meningkatkan situasi keamanan Anda dari prinsip pertama.

selengkapnya : NakedSecurity

‘Favicons’ Browser Dapat Digunakan sebagai ‘Supercookies’ yang Tidak Dapat Dihapus untuk Melacak Anda Secara Online

by

Favicons adalah salah satu hal yang pada dasarnya digunakan setiap situs web tetapi tidak ada yang memikirkannya.

Namun, menurut seorang peneliti, ikon-ikon ini bisa menjadi kerentanan keamanan yang memungkinkan situs web melacak pergerakan Anda dan melewati VPN, status penjelajahan penyamaran, dan metode tradisional lainnya untuk menyembunyikan pergerakan Anda secara online.

Metode pelacakan tersebut disebut Supercookie, dan ini hasil karya perancang perangkat lunak Jerman Jonas Strehle.

“Supercookie menggunakan favicon untuk menetapkan pengenal unik bagi pengunjung situs web. Tidak seperti metode pelacakan tradisional, ID ini dapat disimpan hampir secara terus-menerus dan tidak dapat dengan mudah dihapus oleh pengguna, ”kata Strehle di Github-nya.

Untuk lebih jelasnya, ini adalah proof of the concept dan bukan sesuatu yang ditemukan Strehle di alam liar. Program supercookie Strehle (yang menggunakan favicon Cookie Monster) adalah proof of the concept yang dijelaskan oleh peneliti universitas.

“Favicon harus dibuat sangat mudah diakses oleh browser. Oleh karena itu, mereka di-cache dalam database lokal terpisah pada sistem, yang disebut cache favicon (F-Cache), “kata Strehle.

Entri F-Cache menyertakan banyak data tentang di mana pengguna berada, semuanya dalam layanan untuk mengirimkan ikon kecil cepat ke jendela penelusuran Anda. Data ini memungkinkan server web untuk mengetahui sedikit tentang pengunjungnya.

Selengkapnya: Vice