Bug

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

January 26, 2023 by Mally

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Bug keyboard Corsair Membuatnya Mengetik Sendiri, Tidak Ada Malware yang Terlibat

December 22, 2022 by Mally

Corsair telah mengonfirmasi bahwa bug pada firmware keyboard K100, dan bukan malware, berada di belakang teks yang dimasukkan sebelumnya diketik secara otomatis ke dalam aplikasi beberapa hari kemudian.

Pernyataan perusahaan muncul setelah beberapa pengguna K100 melaporkan bahwa keyboard mereka mengetik teks sendiri secara acak.

Beberapa mengatakan mereka telah menguji keyboard K100 mereka dalam mode aman untuk mengecualikan kemungkinan malware berjalan di Windows dan masih menyaksikan pengetikan kata secara acak, sehingga sumber masalahnya ditentukan berada di perangkat keras itu sendiri.

“Keyboard Corsair benar-benar tidak mencatat input pengguna dengan cara apa pun dan tidak memiliki kemampuan untuk mencatat setiap penekanan tombol,” kata Corsair kepada Ars Technica.

Penyebab pasti dari bug ini belum ditentukan, dan juru bicara Corsair mengatakan perusahaan tersebut bekerja dengan pengguna yang terkena dampak untuk menyelidiki sifat sebenarnya dari masalah tersebut.

Solusi belum pasti
Sayangnya, pembaruan firmware terbaru yang tersedia untuk perangkat K100 (versi 1.11.39) beberapa minggu yang lalu tidak memperbaiki masalah tersebut.

Lebih buruk lagi, pembaruan firmware terbaru ini telah menyebabkan pembekuan acak pada keyboard, yang dilaporkan beberapa pengguna mungkin terkait dengan pengaturan tingkat polling tinggi.

Namun, beberapa pengguna melaporkan bahwa pengaturan ulang pabrik dan menghapus memori keyboard masih tidak mencegah masalah terjadi lagi setelah beberapa saat. Oleh karena itu, pengguna mungkin harus menunggu hingga Corsair menyediakan pembaruan firmware yang memperbaiki bug ini.

Mengulangi masukan yang ditangkap secara acak dapat memaparkan informasi sensitif dalam berbagi layar dan presentasi. Itu juga dapat mengganggu pengalaman bermain pengguna, jadi jika Anda menggunakan keyboard dalam situasi ini, Anda mungkin ingin menggantinya dengan yang lain sampai bug diperbaiki.

sumber : bleeping computer

Acer Memperbaiki Bug UEFI yang Dapat menonaktifkan Secure Boot

November 29, 2022 by Mally

Acer telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model laptop yang dapat memungkinkan penyerang lokal untuk menonaktifkan UEFI Secure Boot pada sistem yang ditargetkan.

Fitur keamanan Secure Boot memblokir bootloader sistem operasi yang tidak tepercaya di komputer dengan chip Trusted Platform Module (TPM) dan firmware Unified Extensible Firmware Interface (UEFI) untuk mencegah kode berbahaya seperti rootkit dan bootkit dimuat selama proses startup.

Penyerang dengan hak istimewa tinggi dapat menyalahgunakannya dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna untuk mengubah pengaturan UEFI Secure Boot dengan memodifikasi variabel NVRAM BootOrderSecureBootDisable untuk menonaktifkan Secure Boot.

Setelah mengeksploitasi kerentanan pada laptop Acer yang terpengaruh dan mematikan Secure Boot, pelaku ancaman dapat membajak proses pemuatan OS dan memuat bootloader yang tidak ditandatangani untuk melewati atau menonaktifkan perlindungan dan menyebarkan muatan berbahaya dengan hak istimewa sistem.

Pembaruan BIOS tersedia, pembaruan Windows masuk
pelanggan dapat mengunduh pembaruan BIOS dari situs web dukungan perusahaan dan menerapkannya secara manual pada sistem yang terpengaruh.

Mengizinkan pelaku ancaman untuk menjalankan kode berbahaya yang tidak ditandatangani sebelum boot OS dapat menyebabkan konsekuensi yang parah, termasuk penyebaran malware yang dapat bertahan di antara penginstalan ulang OS dan melewati perlindungan anti-malware yang disediakan oleh solusi keamanan.

sumber : bleeping computer

Bug Kritis di PLC SIMATIC Siemens Dapat Membiarkan Penyerang Mencuri Kunci Kriptografis

October 14, 2022 by Mally

Kerentanan di Siemens Simatic Programmable Logic Controller (PLC) dapat dieksploitasi untuk mengambil kunci kriptografi pribadi global yang dikodekan secara keras dan mengambil kendali perangkat.

Kerentanan kritis, diberi pengenal CVE-2022-38465, diberi peringkat 9,3 pada skala penilaian CVSS dan telah ditangani oleh Siemens sebagai bagian dari pembaruan keamanan yang dikeluarkan pada 11 Oktober 2022.

Daftar produk dan versi yang terpengaruh ada di bawah –

Keluarga Pengendali Drive SIMATIC (semua versi sebelum 2.9.2)
SIMATIC ET 200SP Open Controller CPU 1515SP PC2, termasuk varian SIPLUS (semua versi sebelum 21.9)
SIMATIC ET 200SP Open Controller CPU 1515SP PC, termasuk varian SIPLUS (semua versi)
Keluarga CPU SIMATIC S7-1200, termasuk varian SIPLUS (semua versi sebelum 4.5.0)
Keluarga CPU SIMATIC S7-1500, termasuk CPU ET200 terkait dan varian SIPLUS (semua versi sebelum V2.9.2)
Pengontrol Perangkat Lunak SIMATIC S7-1500 (semua versi sebelum 21.9), dan SIMATIC S7-PLCSIM Lanjutan (semua versi sebelum 4.0)

Claroty mengatakan bahwa ia bisa mendapatkan hak baca dan tulis ke pengontrol dengan mengeksploitasi kelemahan yang diungkapkan sebelumnya di PLC Siemens (CVE-2020-15782), yang memungkinkan pemulihan kunci pribadi.

Melakukan hal itu tidak hanya akan mengizinkan penyerang untuk menghindari kontrol akses dan mengesampingkan kode asli, tetapi juga mendapatkan kontrol penuh atas setiap PLC per lini produk Siemens yang terpengaruh.

CVE-2022-38465 mencerminkan kelemahan parah lainnya yang diidentifikasi dalam Rockwell Automation PLCs (CVE-2021-22681) tahun lalu dan yang dapat memungkinkan musuh untuk terhubung dari jarak jauh ke pengontrol, dan mengunggah kode berbahaya, mengunduh informasi dari PLC, atau instal firmware baru.

Sebagai solusi dan mitigasi, Siemens merekomendasikan pelanggan untuk menggunakan komunikasi PG/PC dan HMI lama hanya di lingkungan jaringan tepercaya dan akses aman ke Portal TIA dan CPU untuk mencegah koneksi yang tidak sah.

Perusahaan manufaktur industri Jerman juga telah mengambil langkah untuk mengenkripsi komunikasi antara stasiun teknik, PLC, dan panel HMI dengan Transport Layer Security (TLS) di TIA Portal versi 17, sambil memperingatkan bahwa “kemungkinan pelaku jahat menyalahgunakan kunci pribadi global sebagai meningkat.”

Temuan ini merupakan yang terbaru dari serangkaian kelemahan utama yang ditemukan pada perangkat lunak yang digunakan dalam jaringan industri. Awal Juni ini, Claroty merinci lebih dari selusin masalah dalam sistem manajemen jaringan (NMS) Siemens SINEC yang dapat disalahgunakan untuk mendapatkan kemampuan eksekusi kode jarak jauh.

Kemudian pada April 2022, perusahaan membuka dua kerentanan di Rockwell Automation PLCs (CVE-2022-1159 dan CVE-2022-1161) yang dapat dieksploitasi untuk memodifikasi program pengguna dan mengunduh kode berbahaya ke pengontrol.

Sumber: The Hackernews

Peretas Lazarus menyalahgunakan bug driver Dell menggunakan rootkit FudModule baru

October 5, 2022 by Mally

Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.

Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.

Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.

ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.

Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.

Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.

Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.

Driver dbutil_2_3.sys yang ditandatangani Dell digunakan dalam serangan
Sumber: BleepingComputer

Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.

Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.

ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.

Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.

Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.

Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.

Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.

Sumber:

Pembaruan Keamanan Terbaru Microsoft Memperbaiki 64 Kelemahan Baru, Termasuk Zero-Day

September 15, 2022 by Mally

Microsoft telah merilis perbaikan keamanan untuk kerentanan zero-day yang memengaruhi semua versi Windows yang didukung yang telah dieksploitasi dalam serangan di dunia nyata.

Bug zero-day, dilacak sebagai CVE-2022-37969, digambarkan sebagai peningkatan cacat hak istimewa di Windows Common Log File System Driver, subsistem yang digunakan untuk data dan pencatatan peristiwa. Bug memungkinkan penyerang untuk mendapatkan tingkat akses tertinggi, yang dikenal sebagai hak istimewa sistem, ke perangkat yang rentan.

Microsoft mengatakan pengguna yang menjalankan Windows 11 dan sebelumnya, dan Windows Server 2008 dan Windows Server 2012, terpengaruh. Windows 7 juga akan menerima patch keamanan, meskipun tidak lagi didukung pada tahun 2020.

Microsoft mengatakan cacat tersebut mengharuskan penyerang sudah memiliki akses ke perangkat yang disusupi, atau kemampuan untuk menjalankan kode pada sistem target.

Microsoft memuji empat kelompok peneliti yang berbeda dari CrowdStrike, DBAPPSecurity, Mandiant, dan Zscaler karena melaporkan kesalahan tersebut, yang mungkin merupakan eksploitasi yang meluas di alam pembohong.

Dhanesh Kizhakkinan, kerentanan bagian utama senior di Mandiant, mengatakan kepada TechCrunch bahwa perusahaan menemukan bug “selama misi pencarian eksploitasi Offensive Task Force proaktif,” menambahkan bahwa eksploitasi mandiri dan bukan dari rantai serangan.

Microsoft tidak membagikan detail tentang serangan yang mengeksploitasi kerentanan ini dan tidak menanggapi permintaan komentar kami.

Perbaikan tersebut masuk kebagian dari rilis bulanan perbaikan keamanan Microsoft Patch Tuesday, yang mencakup total 63 kerentanan di berbagai produk Microsoft, termasuk Microsoft Edge, Office, dan Windows Defender.

Microsoft juga merilis patch untuk cacat zero-day kedua, dilacak sebagai CVE-2022-23960, yang diprediksi sebagai kerentanan cache yang dikenal sebagai “Spectre-BHB” yang memengaruhi Windows 11 untuk sistem berbasis ARM. Spectre-BHB adalah varian dari kerentanan Spectre v2, yang memungkinkan penyerang mencuri data dari memori.

Sumber: TechCrunch

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

August 5, 2022 by Mally

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Seorang Mahasiswa Menemukan Bug di Perutean Email Cloudflare yang Memungkinkan Anda Membaca Email Setiap Pengguna

August 4, 2022 by Mally

Tahun lalu, perusahaan IT Cloudflare meluncurkan layanan perutean email, yang memberi pengguna kemampuan untuk mengatur sejumlah besar alamat yang terhubung ke kotak masuk yang sama.

Perutean email dapat menjadi alat privasi yang kuat, karena memungkinkan Anda untuk menyembunyikan alamat email Anda yang sebenarnya di balik jaringan alamat sementara atau “dapat dibakar”.

Sayangnya, seperti yang ditunjukkan dalam penelitian yang diterbitkan Rabu oleh seorang mahasiswa dari Denmark, layanan Cloudflare memiliki bug raksasa di dalamnya. Cacatnya, ketika dieksploitasi dengan benar, memungkinkan pengguna mana pun untuk membaca—atau bahkan memanipulasi—email pengguna lain.

Albert Pedersen, yang saat ini menjadi mahasiswa di Skive College di Midtjylland, menulis bahwa ia menemukan kerentanan invasif pada bulan Desember. Dalam sebuah tulisan yang diterbitkan di situs webnya, Pedersen menjelaskan bahwa bug tersebut akan memungkinkan peretas untuk “memodifikasi konfigurasi perutean domain apa pun menggunakan layanan.”

Kerentanan, yang telah dikonfirmasi oleh Cloudflare tetapi dikatakan tidak pernah dieksploitasi, melibatkan cacat dalam sistem “verifikasi kepemilikan zona” program, yang berarti bahwa peretas dapat mengonfigurasi ulang perutean dan penerusan email untuk domain email yang tidak dimiliki oleh mereka.

Manipulasi eksploit yang tepat akan memungkinkan seseorang yang mengetahui bug tersebut untuk merutekan ulang email pengguna ke alamat mereka sendiri. Itu juga akan memungkinkan peretas untuk mencegah email tertentu dikirim ke target sama sekali.

Dalam tulisannya, Pedersen mencatat bahwa tidak sulit untuk menemukan daftar alamat email online yang dilampirkan ke layanan Cloudflare. Menggunakan salah satu daftar itu, orang jahat bisa dengan mudah menargetkan siapa saja yang menggunakan layanan penerusan.

Setelah menemukan eksploit, Pedersen berhasil mereproduksinya beberapa kali menggunakan beberapa domain pribadi dan memutuskan untuk melaporkan masalah tersebut ke program hadiah bug Cloudflare. Program ini akhirnya memberinya total $6.000 untuk usahanya. Pedersen juga mengatakan blognya diterbitkan dengan izin dari Cloudflare.

Dalam email ke Gizmodo, perwakilan perusahaan menegaskan kembali bahwa bug telah diperbaiki segera setelah ditemukan: “Seperti yang dirangkum dalam blog peneliti, kerentanan ini diungkapkan melalui program bug bounty kami. Kami kemudian menyelesaikan masalah dan memverifikasi bahwa kerentanan belum dieksploitasi.”

Untung saja tidak, karena jika seorang peretas mendapatkan eksploitasi ini, mereka dapat menyebabkan kekacauan kotak masuk yang nyata. Dalam tulisannya, Pederson mencatat bahwa penjahat dunia maya dapat menggunakan bug ini untuk mengatur ulang kata sandi, yang akan mengancam akun lain yang terhubung ke alamat email yang dieksploitasi:

“Ini bukan hanya masalah privasi yang besar, tetapi karena fakta bahwa tautan pengaturan ulang kata sandi sering dikirim ke alamat email pengguna, aktor jahat juga berpotensi mendapatkan kendali atas akun apa pun yang ditautkan ke alamat email itu. Ini adalah contoh bagus mengapa Anda harus menggunakan otentikasi 2 faktor,” tulisnya.

Sumber: GIZMODO

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Bug

Cookies Settings