News 70 - Naga Cyber Defense

Hal-hal Buruk Datang dalam Paket Besar: Bypass Verifikasi Tanda Tangan .pkg di MacOS

January 15, 2023 by Coffee Bean

Kerentanan (CVE-2022-42841) yang dapat digunakan untuk memodifikasi paket penginstal yang ditandatangani tanpa membatalkan tanda tangannya. Kerentanan ini dapat disalahgunakan untuk mem-bypass Gatekeeper, SIP dan dalam kondisi tertentu meningkatkan hak istimewa ke root.

Kerentanan
Untuk paket yang ditandatangani, hash TOC perlu digunakan untuk dua pemeriksaan berbeda:

Hash TOC yang dihitung harus sama dengan hash TOC yang disimpan di heap.
Tanda tangan dan sertifikat harus sesuai dengan hash TOC.

Ini diterapkan di lokasi berikut dalam kode sumber xar.

Di sini, TOC yang dihitung dibandingkan dengan nilai yang disimpan di heap.

https://github.com/apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/archive.c#L391-L484

Ini pertama mengambil atribut atribut checksum dari dokumen XML sebagai nilai const char *. Kemudian, strtoull mengubahnya menjadi bilangan bulat 64-bit yang tidak ditandatangani dan disimpan dalam variabel offset.

Untuk mendapatkan hash TOC untuk memvalidasi tanda tangan, sedikit kode serupa digunakan:
https://github.com/Apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/signature.c#L244-L276

Perhatikan di sini perbedaan kecil tapi sangat penting: sementara perbandingan pertama menyimpan offset dalam offset uint64_t (integer unsigned 64-bit), di sini ia menggunakan offset uint32_t (integer unsigned 32-bit). Perbedaan ini berarti bahwa jika offset berada di luar rentang yang dapat disimpan dalam nilai 32-bit, kedua pemeriksaan tersebut dapat menggunakan offset heap yang berbeda.

Dengan demikian, dimungkinkan untuk memodifikasi file xar tanpa membatalkan tanda tangannya sebagai berikut:

Ambil file xar yang ditandatangani dengan benar dan parsing TOC.
Ubah nilai offset checksum menjadi 4294967296 (dan buat perubahan lain yang Anda inginkan pada file yang disertakan, seperti menambahkan skrip prainstal berbahaya atau mengganti skrip pemeriksaan instalasi).
Tulis TOC yang dimodifikasi kembali ke file dan hitung hash TOC baru.
Tambahkan padding hingga heap berukuran tepat 4294967296 byte (4 GiB).
Tempatkan hash TOC baru di heap offset 4294967296, biarkan hash TOC asli di heap offset 0.

Perbaikan
Ini diperbaiki oleh Apple dengan perbaikan 2 karakter: mengubah uint32_t menjadi uint64_t di macOS 13.1.

selengkapnya : sector7

AMD Diam-diam Mencantumkan 31 Kerentanan CPU Baru, Mengeluarkan Panduan Patch

January 15, 2023 by Coffee Bean

AMD diam-diam membocorkan 31 kerentanan CPU baru dalam pembaruan januari, mencakup chip Ryzen untuk konsumen dan prosesor pusat data EPYC. Pembaruan kerentananjugamenyertakan daftar versi AGESA, dengan mitigasi untuk prosesor yang terperngaruh. AMD mengungkapkan kerentanan dalam pengungkapan terkoordinasi dengan beberapa peneliti, termasuk tim dari google, Apple dan Oracle.

Seperti yang sering kita lihat pada sistem lama, beberapa mungkin tidak diperbarui. Tampaknya jua beberapa model yang terkena dampak belum memliki mitigasi.

Kerentanan mencakup tiga varian baru untuk PC desktop Ryzen yang ditujukan untuk konsumen, HEDT, Pro, dan prosesor seluler.

kerentanan mencakup chip desktop Pinnacle Ridge seri 2000 Ryzen, bersama dengan produk APU seri 2000 dan 5000 yang hadir dengan grafik terintegrasi (Raven Ridge, Cezanne).

AMD juga telah mendaftarkan 28 kerentanan untuk prosesor EPYC-nya, empat diantaranya sangat parah. Tiga dari varian tingkat keparahan tinggi memungkinkan eksekusi kode arbitrer melalui berbagai vektor serangan, sementara satu varian memungkinkan penulisan data ke wilayah tertentu yang dapat menyebabkan hilangnya integritas dan ketersediaan data. Para peneliti juga menemukan 15 kerentanan lain dengan tingkat keparahan sedang dan sembilan vulnerabilitas tingkat rendah

AMD juga telah mendaftarkan 28 kerentanan untuk prosesor EPYC-nya, empat di antaranya sangat parah. Tiga dari varian tingkat keparahan tinggi memungkinkan eksekusi kode arbitrer melalui berbagai vektor serangan, sementara satu varian memungkinkan penulisan data ke wilayah tertentu yang dapat menyebabkan hilangnya integritas dan ketersediaan data. Para peneliti juga menemukan 15 kerentanan lain dengan tingkat keparahan sedang dan sembilan

Chip AMD telah lama dikenal memiliki kerentanan yang diketahui lebih sedikit daripada model intel.

Keberhasilan AMD baru-baru ini dalam merebut pangsa pasar dari Intel, terutama di pasar pusat data yang berfokus pada keamanan, akan membuat para peneliti lebih mengalihkan pandangan mereka ke arsitektur AMD untuk mencari potensi celah keamanan. AMD juga memiliki beberapa pengungkapan kerentanan baru lainnya di masa lalu.

sumber: tomshardware

14 sekolah Inggris menderita serangan siber, dokumen yang sangat rahasia bocor

January 15, 2023 by Søren

Lebih dari selusin sekolah di Inggris telah mengalami serangan dunia maya yang menyebabkan dokumen yang sangat rahasia dibocorkan secara online oleh penjahat dunia maya.

Menurut laporan dari BBC, informasi SEN anak-anak, pindaian paspor anak, skala gaji staf, dan detail kontrak telah dicuri oleh kelompok kejahatan dunia maya terkenal Vice Society, yang dikenal secara tidak proporsional menargetkan sektor pendidikan dengan serangan ransomware di Inggris dan lainnya. negara.

Sekolah Tata Bahasa Pates di Gloucestershire adalah salah satu dari 14 yang terkena dampak pelanggaran data, BBC melaporkan, dengan peretas Vice Society menggunakan istilah pencarian umum untuk mencuri dokumen.

“Satu folder bertanda ‘paspor’ berisi pindaian paspor untuk siswa dan orang tua dalam perjalanan sekolah sejak 2011, sedangkan ‘kontrak’ bertanda lain berisi penawaran kontrak yang dibuat untuk staf di samping dokumen pengajaran tentang kontraksi otot.

Folder lain bertanda ‘rahasia’ berisi dokumen gaji kepala sekolah dan penerima dana beasiswa,” tulis BBC. Peretasan di Pates diperkirakan terjadi pada 28 September sebelum data dipublikasikan di web gelap.

Kantor Komisi Informasi Inggris (ICO) dan Polisi Gloucestershire mengonfirmasi bahwa mereka sedang menyelidiki dugaan pelanggaran pada tahun 2022.

Selengkapnya: CSO

Kerentanan dengan tingkat keparahan 9.8 di Panel Web Kontrol berada di bawah eksploit aktif

January 15, 2023 by Søren

Peretas jahat telah mulai mengeksploitasi kerentanan kritis dalam versi Panel Web Kontrol yang belum ditambal, antarmuka yang banyak digunakan untuk hosting web.

“Ini adalah RCE yang tidak diautentikasi,” tulis anggota grup Shadowserver di Twitter, menggunakan singkatan untuk eksploitasi kode jarak jauh. “Eksploitasi itu sepele dan PoC diterbitkan.” PoC mengacu pada kode proof-of-concept yang mengeksploitasi kerentanan.

Kerentanan dilacak sebagai CVE-2022-44877. Ditemukan oleh Numan Türle dari Gais Cyber Security dan ditambal pada bulan Oktober dalam versi 0.9.8.1147. Penasihat tidak dipublikasikan sampai awal bulan ini, namun, kemungkinan besar beberapa pengguna masih tidak menyadari ancaman tersebut.

Angka yang diberikan oleh perusahaan Keamanan GreyNoise menunjukkan bahwa serangan dimulai pada 7 Januari dan perlahan meningkat sejak saat itu, dengan putaran terbaru berlanjut hingga Rabu. Perusahaan mengatakan eksploit berasal dari empat alamat IP terpisah yang berlokasi di AS, Belanda, dan Thailand.

Shadowserver menunjukkan bahwa ada sekitar 38.000 alamat IP yang menjalankan Panel Web Kontrol, dengan konsentrasi tertinggi di Eropa, diikuti oleh Amerika Utara dan Asia.

Peringkat keparahan untuk CVE-2022-44877 adalah 9,8 dari kemungkinan 10. “Perintah Bash dapat dijalankan karena tanda kutip ganda digunakan untuk mencatat entri yang salah ke sistem,” kata penasehat untuk kerentanan. Akibatnya, peretas yang tidak diautentikasi dapat menjalankan perintah jahat selama proses login. Video berikut menunjukkan aliran eksploit.

Selengkapnya: ars TECHNICA

NortonLifeLock warns that hackers breached Password Manager accounts

January 15, 2023 by Søren

Gen Digital, sebelumnya Symantec Corporation dan NortonLifeLock, mengirimkan pemberitahuan pelanggaran data kepada pelanggan, memberi tahu mereka bahwa peretas telah berhasil menembus akun Norton Password Manager dalam serangan isian kredensial.

Menurut contoh surat yang dibagikan dengan Kantor Kejaksaan Agung Vermont, serangan tersebut tidak diakibatkan oleh pelanggaran pada perusahaan tetapi dari kompromi akun pada platform lain.

Lebih khusus lagi, pemberitahuan tersebut menjelaskan bahwa sekitar 1 Desember 2022, penyerang menggunakan pasangan nama pengguna dan kata sandi yang mereka beli dari web gelap untuk mencoba masuk ke akun pelanggan Norton.

Perusahaan mendeteksi “volume yang luar biasa besar” dari upaya login yang gagal pada 12 Desember 2022, menunjukkan serangan isian kredensial di mana pelaku ancaman mencoba kredensial secara massal.

Pada 22 Desember 2022, perusahaan telah menyelesaikan penyelidikan internalnya, yang mengungkapkan bahwa serangan isian kredensial telah berhasil meretas sejumlah akun pelanggan yang dirahasiakan.

Untuk pelanggan yang menggunakan fitur Norton Password Manager, pemberitahuan tersebut memperingatkan bahwa penyerang mungkin telah memperoleh detail yang disimpan di brankas pribadi.

Bergantung pada apa yang disimpan pengguna di akun mereka, ini dapat menyebabkan penyusupan akun online lainnya, kehilangan aset digital, terungkapnya rahasia, dan banyak lagi.

NortonLifeLock menggarisbawahi bahwa risikonya sangat besar bagi mereka yang menggunakan kata sandi akun Norton dan kunci utama Pengelola Kata Sandi yang serupa, memungkinkan penyerang untuk melakukan pivot dengan lebih mudah.

Perusahaan mengatakan telah mengatur ulang kata sandi Norton pada akun yang terkena dampak untuk mencegah penyerang mendapatkan akses lagi di masa depan dan juga menerapkan langkah-langkah tambahan untuk melawan upaya jahat.

Selengkapnya: Bleeping Computer

Malware IcedID Menyerang Lagi: Domain Direktori Aktif Tersusupi dalam Waktu Kurang dari 24 Jam

January 14, 2023 by Coffee Bean

Serangan malware IcedID baru baru ini memungkinkan pelaku ancaman untuk mengkompromikan domain Active Directory dari target yang tidak disebutkan namanya kurang dari 24jam setelah mendapatkan akses awal.

IcedID, juga dikenal dengan nama BokBOt memulai hidupnya sebagai trojan perbankan pada a=tahu 2017 sebelum berkemban menjadi dropper untuk malware lainnya, bergabung dengen Emotet, TrickBot, Qakbot, Bumblebee, dan Raspberry Robin.

Serangan yang melibatkan pengiriman IcedID telah memanfaatkan berbagai metode, terutama setelah keputusan Microsoft untuk memblokir makro dari Office yang diunduh

Malware kemudian membangun kegigihan pada host melalui tugas terjadwal dan berkomunikasi dengan server jarak jauh untuk mengunduh muatan tambahan, termasuk Cobalt Strike Beacon untuk kegiatan pengintaian lanjutan.

Itu juga melakukan gerakan lateral di seluruh jaringan dan mengeksekusi Cobalt Strike Beacon yang sama di semua workstation tersebut, dan kemudian mulai menginstal agen Atera, alat administrasi jarak jauh yang sah, sebagai mekanisme akses jarak jauh yang berlebihan.

Cobalt Strike Beacon selanjutnya digunakan sebagai saluran untuk mengunduh alat C# yang dijuluki Rubeus untuk pencurian kredensial, yang pada akhirnya memungkinkan pelaku ancaman untuk berpindah secara lateral ke Server Windows dengan hak admin domain.

Izin yang ditingkatkan kemudian dipersenjatai untuk melakukan serangan DCSync, memungkinkan musuh untuk mensimulasikan perilaku pengontrol domain (DC) dan mengambil kredensial dari pengontrol domain lainnya.

Temuan ini muncul saat para peneliti dari Team Cymru menjelaskan lebih lanjut tentang protokol BackConnect (BC) yang digunakan oleh IcedID untuk memberikan fungsionalitas tambahan pasca kompromi, termasuk modul VNC yang menyediakan saluran akses jarak jauh.

Perkembangan tersebut juga mengikuti laporan dari Proofpoint pada November 2022 bahwa kebangkitan aktivitas Emotet telah dikaitkan dengan distribusi versi baru IcedID.

sumber : thehackernews

Platform Narkoba Rusia Dibuka

January 13, 2023 by Coffee Bean

Rusia adalah tempat berlindung yang aman bagi obat-obatan terlarang (narkoba) dan lahan subur bagi beberapa platform berbahaya yang memasok obat-obatan terlarang ke puluhan ribu pengguna. Penggunaan Dark Web dan teknologi membuat perbedaan besar dalam perdagangan narkoba saat ini. Para pedagang tidak lagi duduk di gang0gang gelap menawarkan barang haram mereka kepada orang asing. Sebaliknya, pengedar narkoba sekarang menggunakan layanan online untuk mengirim pasukan pengedar narkoba yang menyembunyikan berbagai narkoba di tengah lingkungan normal yang sederhana.

Partnership Killnet dan Solaris
KillMilk, pendiri Killnet (kelompok peretas Rusia yang menyerang Ukraina dan sekutunya) secara terbuka berterima kasih kepada kelompok Solaris atas “dukungan besar” mereka.

Ini adalah pengubah permainan. Sampai saat ini Killnet tidak malu meminta dukungan, tetapi afiliasi mereka dengan platform obat-obatan terlarang sangat tidak biasa. Jika ada, staf Solaris harus menentang pemerintah Rusia dan pendukungnya.

Solaris berbohong
Setelah bitcoin dialihkan dari pertukaran Solaris, administrasi Solaris menurunkan sebagian besar infrastrukturnya dengan mengklaim itu karena peningkatan besar. Mereka melakukan yang terbaik untuk menolak cerita Forbes (kecuali transfer uang), meyakinkan pelanggan mereka bahwa versi baru mereka akan lebih besar dan lebih baik. Ini semua bohong.

Killnet juga menyebarkan berita bahwa pemimpinnya terkait dengan geng narkoba. Beberapa anggota Killnet meminta KillMilk untuk berkomentar, tetapi hanya keheningan pengecut yang mengikuti.

Tor Node dan Penjaga DDoS
Data berikut mencakup skrip yang memungkinkan dan kunci SSH untuk penyebaran otomatis ke lebih dari 60 server, termasuk: kode sumber sistem AntiDDoS Solaris Guard, pengalihan dari RuTor ke Solaris, dan konfigurasi penyeimbang muatan Tor (keseimbangan bawang). Data ini juga termasuk Kunci Layanan Tersembunyi Bawang. Tautan

Kesimpulan
Hold Security membagikan temuan dan datanya dari platform obat-obatan terlarang Rusia, Solaris. Dalam beberapa pernyataan publik, grup Solaris telah menghubungkan diri mereka dengan Killnet. Tujuan kami adalah untuk meningkatkan kesadaran akan kesaahan dan koneksi Solaris, serta mengajukan pertanyaan tentang kepemim[inan Kilnet dan sumber dukungan mereka. Data yang ditautkan dlam artikel ini harus berbicara sendiri.

selengkapnya : holdsecurity

Messenger ditagih Lebih Baik Daripada Signal Penuh Dengan Kerentanan

January 13, 2023 by Coffee Bean

Peneliti akademik telah menemukan kerentanan serius di inti Threema, pengirim pesan instan yang menurut pengembangnya yang berbasis di Swiss memberikan tingkat keamanan dan privasi yang tidak dapat ditawarkan oleh layanan obrolan lain. Terlepas dari klaim yang luar biasa kuat dan dua audit keamanan independen yang telah diterima Threema, para peneliti mengatakan bahwa kelemahan tersebut benar-benar merusak jaminan kerahasiaan dan otentikasi yang merupakan landasan dari setiap program yang dijual sebagai penyedia enkripsi ujung-ke-ujung, biasanya disingkat E2EE.

Threema memiliki lebih dari 10 juta pengguna, termasuk pemerintah Swiss, tentara Swiss, Kanselir Jerman Olaf Scholz, dan politisi lain di negara tersebut. Pengembang Threema mengiklankannya sebagai alternatif yang lebih aman untuk messenger WhatsApp Meta. Ini adalah salah satu aplikasi Android teratas untuk kategori berbayar di Swiss, Jerman, Austria, Kanada, dan Australia. Aplikasi ini menggunakan protokol enkripsi yang dirancang khusus yang bertentangan dengan norma kriptografi yang ditetapkan.

Tujuh kelemahan yang mematikan
Para peneliti dari universitas riset ETH yang berbasis di Zurich melaporkan pada hari Senin bahwa mereka menemukan tujuh kerentanan di Threema yang secara serius mempertanyakan tingkat keamanan sebenarnya yang ditawarkan aplikasi tersebut selama bertahun-tahun. Dua dari kerentanan tidak memerlukan akses khusus ke server atau aplikasi Threema untuk menyamar sebagai pengguna secara kriptografis. Tiga kerentanan membutuhkan penyerang untuk mendapatkan akses ke server Threema. Dua sisanya dapat dieksploitasi saat penyerang mendapatkan akses ke ponsel yang tidak terkunci, seperti di perbatasan.

Tujuh kerentanan yang ditemukan para peneliti meliputi:
1. Aktor eksternal tanpa akses khusus

Jika kunci sesaat terungkap sekali pun, penyerang dapat secara permanen menyamar sebagai klien ke server dan kemudian mendapatkan semua metadata di semua pesan E2EE.
Cacat dalam cara protokol klien-ke-server (C2S) Threema berinteraksi dengan protokol end-to-end (E2E) yang menyebabkan pengguna membuat nilai Threema khusus yang dikenal sebagai kotak jaminan dan mengirimkannya ke penyerang.

selengkapnya : arstechnica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings