Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Google menghapus dua pemblokir iklan Chrome yang tertangkap sedang mengumpulkan data pengguna

by

Google telah menghapus dua ekstensi pemblokir iklan dari Toko Web Chrome resmi selama akhir pekan setelah keduanya kedapatan mengumpulkan data pengguna minggu lalu.

Kedua ekstensi tersebut diberi nama Nano Adblocker dan Nano Defender, dan masing-masing memiliki lebih dari 50.000 dan 200.000 penginstalan, pada saat keduanya dihapus.

Keduanya telah ada selama lebih dari setahun, tetapi kode berbahaya itu tidak disertakan dengan versi aslinya.

Kode pengumpulan data ditambahkan pada awal bulan ini, pada Oktober 2020, setelah penulis asli menjual dua ekstensi tersebut ke “tim pengembang Turki”.

Setelah analisis lebih lanjut, kode berbahaya ini terungkap untuk mengumpulkan informasi tentang pengguna, seperti:

Alamat IP pengguna
Negara
Detail OS
URL situs web
Time Stamp untuk permintaan web
Metode HTTP (POST, GET, HEAD, dll.)
Ukuran respons HTTP
Kode status HTTP
Waktu yang dihabiskan di setiap halaman web
URL lain yang diklik di halaman web

Setelah dipanggil ke GitHub, kedua pengembang Turki itu membuat halaman kebijakan privasi di mana mereka mencoba untuk mengungkapkan perilaku pengumpulan data dalam upaya yang salah untuk melegitimasi kode berbahaya tersebut. Kedua ekstensi tersebut dihapus selama akhir pekan dan dinonaktifkan di Chrome pengguna browser.

Versi Firefox dari Nano Adblocker dan Nano Defender tidak pernah berisi kode berbahaya, karena mereka bukan bagian dari penjualan dan dikelola oleh pengembang yang berbeda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft mengatakan mereka menghapus 94% dari server perintah dan kontrol TrickBot

by

Minggu lalu, koalisi perusahaan keamanan siber yang dipimpin oleh Microsoft mengatur penghapusan global terhadap TrickBot, salah satu botnet malware dan operasi kejahatan siber terbesar saat ini.

Bahkan jika Microsoft menjatuhkan infrastruktur TrickBot dalam beberapa hari pertama, botnet tetap bertahan, dan operator TrickBot membawa server perintah dan kontrol (C&C) baru secara online dengan harapan dapat melanjutkan kejahatan siber mereka.

“Sejak kami memulai operasi hingga 18 Oktober, kami telah menghentikan 120 dari 128 server yang kami identifikasi sebagai infrastruktur Trickbot di seluruh dunia,” kata Tom Burt, CVP Keamanan dan Kepercayaan Pelanggan di Microsoft.

Burt mengatakan Microsoft menjatuhkan 62 dari 69 server asli TrickBot C&C dan 58 dari 59 server yang coba dihadirkan TrickBot online setelah penghapusan minggu lalu.

Saat ini, botnet TrickBot masih hidup, tetapi sekali lagi telah ditekan aktivitasnya. Meskipun demikian, beberapa server perintah dan kontrol masih hidup, memungkinkan operator TrickBot untuk tetap mengontrol gerombolan perangkat yang terinfeksi.

Menurut firma keamanan siber Intel 471, beberapa sisa C&C TrickBot terakhir ini berlokasi di Brasil, Kolombia, Indonesia, dan Kyrgyzstan.

Meskipun demikian, dari jauh, upaya penghapusan tampaknya tidak terlalu mengkhawatirkan operator TrickBot, karena mereka menghabiskan minggu lalu mencoba membuat korban baru dengan bantuan mitra botnet malware (Emotet).

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Adobe Memperbaiki 16 Bug Eksekusi Kode Kritis di Seluruh Produknya

by

Adobe telah merilis 18 patch keamanan out-of-band dalam 10 paket perangkat lunak yang berbeda, termasuk perbaikan untuk kerentanan kritis yang tersebar di seluruh rangkaian produknya. Adobe Illustrator terpukul paling keras.

Ada 16 bug kritis, yang semuanya memungkinkan eksekusi kode arbitrer dalam konteks pengguna saat ini. Mereka mempengaruhi Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign dan Aplikasi Adobe Creative Cloud Desktop.

Banyak masalah menyangkut elemen jalur pencarian yang tidak terkontrol, tetapi ada juga masalah di luar batas, masalah kerusakan memori, dan bug cross-site scripting (XSS).

Untuk bug penulisan dan pembacaan di luar batas “terjadi karena Illustrator tidak memvalidasi data yang disediakan pengguna dengan benar, yang dapat mengakibatkan penulisan dan pembacaan melewati akhir struktur yang dialokasikan,” kata Dustin Childs, manajer komunikasi untuk Zero Day Initiative dari Trend Micro.

Tambalan out-of-band mengikuti pengungkapan satu kerentanan pada bulan Oktober sebagai bagian dari tambalan terjadwal rutin Adobe (kurang dari 18 kerentanan yang diatasi selama pembaruan reguler bulan September).

Itu adalah bug kritis dalam aplikasi Flash Player untuk pengguna di sistem operasi Windows, macOS, Linux, dan ChromeOS (CVE-2020-9746). Jika berhasil dieksploitasi, itu dapat menyebabkan crash yang dapat dieksploitasi, berpotensi mengakibatkan eksekusi kode arbitrer dalam konteks pengguna saat ini, menurut Adobe.

Pada bulan ini juga, Adobe mengumumkan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart. Mereka dapat mengizinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Bug Pada Browser Seluler Membuat Pengguna Safari dan Opera Dapat Terinfeksi Malware

by

Serangkaian kerentanan spoofing address-bar yang memengaruhi sejumlah browser seluler membuka pintu bagi pengiriman malware, phishing, dan kampanye disinformasi.

Bug tersebut, dilaporkan oleh Rapid7 dan peneliti independen Rafay Baloch, memengaruhi enam browser, mulai dari yang umum (Apple Safari, Opera Touch/Mini, dan Yandex), hingga yang kurang umum (Bolt Browser, RITS Browser, dan UC Browser). Mereka memungkinkan penyerang menampilkan alamat palsu untuk halaman web – yang merupakan masalah di dunia seluler, di mana URL sering kali menjadi satu-satunya verifikasi keabsahan yang dimiliki pengguna sebelum menavigasi ke situs web.

“Browser seluler adalah jenis perangkat lunak yang cukup khusus yang akhirnya bertindak sebagai jalur ganda pengguna untuk semua jenis aplikasi penting dalam kehidupan sehari-hari mereka,” jelas direktur riset Rapid7 Tod Beardsley, dalam sebuah blog pada hari Selasa. Pada dasarnya, jika browser Anda memberi tahu Anda bahwa pemberitahuan pop-up atau halaman ‘dari’ bank Anda, atau beberapa layanan penting lainnya yang Anda andalkan, Anda benar-benar harus memiliki beberapa mekanisme untuk memvalidasi sumber itu. Di browser seluler, sumber itu dimulai dan diakhiri dengan URL seperti yang ditunjukkan di address bar.”

Karena kurangnya real estat untuk indikator keamanan di layar seluler, browser biasanya memblokir pengembang untuk mengubah apa pun di address bar. Apa yang ditampilkan di layar harus sesuai dengan tempat halaman sebenarnya dihosting, sehingga hampir tidak mungkin untuk memalsukan lokasi teks atau gambar secara meyakinkan. Namun, kelompok bug ini memungkinkan penyerang untuk menghindari perlindungan semacam itu.

“Bug ini memungkinkan penyerang untuk mengganggu waktu antara pemuatan halaman dan ketika browser mendapat kesempatan untuk menyegarkan address bar,” kata Baloch, dalam makalah teknis yang juga diposting pada hari Selasa.

“Mereka dapat menyebabkan pop-up tampak berasal dari situs web arbitrer atau dapat membuat konten di jendela browser yang secara keliru tampak berasal dari situs web arbitrer.”

Baloch merilis eksploitasi bukti konsep (PoC) yang mendemonstrasikan kerentanan spoofing berbasis browser di Safari untuk iOS dan Mac (CVE-2020-9987).

Berikut adalah daftar browser yang terpengaruh dan CVE yang ditetapkan:

Sumber: Threat Post

Berita selengkapnya:
Source: The Threat Post

NSA Mengungkapkan 25 Kerentanan Teratas yang Dieksploitasi oleh Peretas Negara-Bangsa China

by

Badan Keamanan Nasional AS (NSA) hari ini menerbitkan daftar 25 kerentanan teratas yang diketahui publik yang paling sering dipindai dan ditargetkan oleh penyerang yang disponsori negara Cina.

Daftar ini mencakup kelemahan yang baru-baru ini diungkapkan seperti Zerologon di Microsoft Windows dan kerentanan lainnya di Windows, Windows Server, Citrix Gateway, Pulse Connect Secure, perangkat proxy/load balancer F5 BIG-IP, Adobe ColdFusion, Oracle WebLogic Server, dan produk serta layanan lainnya.

NSA menyarankan organisasi untuk memprioritaskan perbaikan 25 kerentanan ini dan mencatat bahwa ini adalah daftar tidak lengkap dari apa yang tersedia untuk, dan digunakan oleh, penyerang China; Namun, kekurangan ini diketahui dioperasionalkan oleh China.

Daftar tambalan dapat dilihat melalui tautan ini.

Source: Dark Reading

Ryuk Ransomware Menggunakan Bug Zerologon untuk Serangan Secepat Kilat

by

Pelaku ancaman Ryuk telah menyerang lagi, beralih dari mengirim email phishing ke menyelesaikan enkripsi di seluruh jaringan korban hanya dalam lima jam.

Kecepatan sangat tinggi itu sebagian merupakan hasil dari kelompok yang menggunakan bug eskalasi hak istimewa Zerologon (CVE-2020-1472), kurang dari dua jam setelah phish awal, kata para peneliti.

Kerentanan Zerologon memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan ke domain controller untuk sepenuhnya membahayakan semua layanan identitas Active Directory, menurut Microsoft. Itu telah diperbaiki pada bulan Agustus, tetapi banyak organisasi tetap rentan.

Dalam serangan khusus ini, setelah penyerang meningkatkan hak istimewanya menggunakan Zerologon, mereka menggunakan berbagai alat komoditas seperti Cobalt Strike, AdFind, WMI, dan PowerShell untuk mencapai tujuan mereka, menurut analisis dari para peneliti di Laporan DFIR.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Microsoft sekarang menjadi brand yang paling banyak ditiru dalam serangan phishing

by

Sebuah posting blog hari Senin dari penyedia intelijen ancaman cyber, Check Point Research menemukan bahwa Microsoft adalah brand yang paling sering dipalsukan dalam upaya phishing selama kuartal ketiga.

Sekitar 19% dari semua upaya phishing brand di seluruh dunia mencoba menipu raksasa perangkat lunak tersebut pada kuartal ketiga, naik dari hanya 7% pada kuartal sebelumnya. Check Point mengaitkan kenaikan peringkat Microsoft dengan iklim kerja jarak jauh yang sedang berlangsung yang diharuskan karena COVID-19.

Sebagai satu contoh, Check Point menemukan kampanye email phishing berbahaya pada pertengahan Agustus di mana para penyerang mencoba untuk mendapatkan kredensial akun Microsoft. Strateginya adalah meyakinkan penerima untuk mengklik link berbahaya di email yang kemudian akan mengarahkan mereka ke halaman login Microsoft palsu.

Di belakang Microsoft, DHL adalah brand kedua yang paling banyak ditiru pada kuartal terakhir, muncul dalam 9% serangan phishing yang dilihat oleh Check Point. Google berada di posisi ketiga, diikuti oleh PayPal dan Netflix. Di urutan 10 teratas adalah Facebook, Apple, WhatsApp, Amazon, dan Instagram.

Untuk melindungi Anda dan organisasi Anda dari serangan Phishing, lakukan beberapa langkah di bawah ini;

  • Perhatikan pengirim dan link pada email sebelum membuka nya
  • Tidak mengunduh lampiran, apalagi dengan ekstensi yang mencurigakan
  • Melakukan pembaruan perangkat lunak secara reguler
  • Perhatikan indikator-indikator mencurigakan lainnya, seperti salam yang umum pada email/pesan teks
  • Laporkan kepada IT staff Anda ketika Anda menemukan hal mencurigakan, agar dapat ditindaklanjuti

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Cacat Keamanan di Aplikasi Desktop Discord Memungkinkan Peretas Mengambil Alih Sistem

by

Platform perpesanan instan dan VoIP populer, Discord, memiliki kerentanan di aplikasi desktopnya yang terbuka untuk serangan eksekusi kode jarak jauh (RCE). Pertama kali diungkapkan oleh pemburu bug bounty Masato Kinugawa, RCE dapat dieksploitasi untuk mengambil alih komputer korban.

Kinugawa pertama kali mendeteksi kerentanan beberapa bulan lalu dan melaporkannya melalui program bug bounty Discord. Dalam deskripsi detail di blognya, dia mengatakan kerentanan tersebut merupakan kombinasi dari beberapa bug – tidak ada contextIsolation, XSS di sematan iframe, dan bypass pembatasan navigasi.

Penyebab utama bug adalah Electron, kerangka kerja perangkat lunak sumber terbuka yang membantu dalam membuat aplikasi lintas platform menggunakan CSS, JavaScript, dan HTML. Aplikasi perpesanan desktop Discord bukan open source tetapi memiliki kode JavaScript yang digunakan Electron. Kode disimpan secara lokal.

Dia menambahkan bahwa ketika dia mencoba menemukan cara untuk mengeksekusi JavaScript di aplikasi Electron, dia menemukan cacat cross-site scripting (XSS) di iframe. Ini digunakan untuk menyematkan video yang dapat ditampilkan dalam obrolan atau halaman web.

Ketika peneliti memeriksa domain di iframe, dia menemukan Sketchfab yang memungkinkan tampilan konten 3D di halaman web. Meskipun Sketchfab dapat disematkan di iframe, ia menemukan kerentanan XSS berbasis DOM (Document Object Model) di halaman sematan yang dapat disalahgunakan.

Berikut adalah video dimana Masato Kinugawa, dengan menggabungkan tiga bug yang ia temukan, dapat mencapai RCE.