Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cyber Security

Cyber Security

Microsoft mendesak pelanggan untuk menambal bug TCP/IP Windows yang kritis

by

Microsoft telah mendesak pelanggan hari ini untuk menginstal pembaruan keamanan untuk tiga kerentanan Windows TCP/IP yang dinilai sebagai kerentanan kritis dan tingkat keparahan tinggi sesegera mungkin.

Peringatan ini dikeluarkan karena risiko eksploitasi yang meningkat dan potensi serangan denial-of-service (DoS) yang dapat segera menargetkan bug ini.

Tiga kerentanan keamanan TCP/IP memengaruhi komputer yang menjalankan versi klien dan server Windows yang dimulai dengan Windows 7 dan yang lebih tinggi.

Mereka semua dapat dieksploitasi dari jarak jauh oleh penyerang dan dilacak sebagai CVE-2021-24074, CVE-2021-24094, dan CVE-2021-24086.

Dua di antaranya mengekspos sistem yang belum ditambal ke serangan eksekusi kode jarak jauh (RCE), sedangkan yang ketiga memungkinkan penyerang memicu status DoS, menjatuhkan perangkat yang ditargetkan.

Meskipun Microsoft mengatakan bahwa sangat penting untuk menerapkan pembaruan keamanan hari ini pada semua perangkat Windows secepat mungkin, perusahaan juga menyediakan solusi bagi mereka yang tidak dapat segera menerapkannya.

Redmond menyediakan solusi Internet Protocol versi 4 (IPv4) dan Internet Protocol versi 6 (IPv6) terpisah untuk masalah keamanan ini.

Solusi IPv4 memerlukan hardening terhadap penggunaan Sorce Routing, biasanya tidak diizinkan dalam keadaan default Windows.

Instruksi terperinci yang tersedia di peringatan CVE-2021-24074 dapat diterapkan baik melalui Kebijakan Grup atau dengan menjalankan perintah NETSH yang tidak memerlukan restart mesin yang ditambal.

Solusi IPv6 memerlukan pemblokiran fragmen IPv6 yang, sayangnya, dapat berdampak negatif pada layanan dengan dependensi IPv6 – info tentang cara menerapkannya tersedia di peringatan CVE-2021-24094 dan CVE-2021-24086.

Selengkapnya: Bleeping Computer

Apple memperbaiki kerentanan eskalasi hak akses root SUDO di macOS

by

Apple telah memperbaiki kerentanan sudo di macOS Big Sur, Catalina, dan Mojave, yang memungkinkan pengguna lokal mendapatkan hak istimewa tingkat root.

Bulan lalu, peneliti keamanan di Qualys, Baron Samedit, mengungkapkan kerentanan SUDO CVE-2021-3156 yang memungkinkan mereka mendapatkan hak akses root pada beberapa distribusi Linux, termasuk Debian, Ubuntu, dan Fedora 33.

Kontributor sudo memperbaiki kerentanan sebelum peneliti mengungkapkannya. Namun, Matthew Hickey (Hacker Fantastic), salah satu pendiri Hacker House, menemukan bahwa kerentanan masih memengaruhi instalasi macOS Big Sur yang sudah ditambal sepenuhnya.

Hari ini, Apple merilis pembaruan keamanan untuk macOS Big Sur 11.2, macOS Catalina 10.15.7, dan macOS Mojave 10.14.6 yang memperbaiki kerentanan sudo.

Hickey telah mengkonfirmasi dengan BleepingComputer bahwa pembaruan keamanan Apple terbaru memperbaiki kerentanan dan bahwa pengguna Apple harus menerapkan pembaruan tersebut sesegera mungkin.

Selain perbaikan sudo, pembaruan hari ini juga memperbaiki dua kerentanan eksekusi kode arbitrer di driver grafis Intel.

Karena tingkat kerentanan yang parah, sangat disarankan agar pengguna macOS menginstal pembaruan keamanan secepat mungkin.

Sumber: Bleeping Computer

Eletrobras, perusahaan energi Copel yang terkena serangan ransomware

by

Centrais Eletricas Brasileiras (Eletrobras) dan Companhia Paranaense de Energia (Copel), dua perusahaan utilitas listrik besar di Brasil telah mengumumkan bahwa mereka mengalami serangan ransomware selama seminggu terakhir.

Dikuasai negara, keduanya adalah pemain kunci di negara tersebut. Copel menjadi yang terbesar di negara bagian Paraná sementara Eletrobras adalah perusahaan utilitas listrik terbesar di Amerika Latin dan juga memiliki Eletronuclear, anak perusahaan yang terlibat dalam pembangunan dan pengoperasian pembangkit listrik tenaga nuklir.

Kedua serangan ransomware mengganggu operasi dan memaksa perusahaan untuk menangguhkan beberapa sistem mereka, setidaknya untuk sementara.

Dalam kasus Eletrobras, insiden tersebut terjadi di anak perusahaan Eletronuclear dan diklasifikasikan sebagai serangan ransomware. Ini mempengaruhi beberapa server jaringan administratif dan tidak berdampak pada operasi di pembangkit listrik tenaga nuklir Angra 1 dan Angra 2.

Dalam kasus Copel, serangan tersebut adalah perbuatan geng ransomware Darkside, yang mengklaim telah mencuri lebih dari 1.000GB data dan cache tersebut mencakup informasi akses infrastruktur yang sensitif dan detail pribadi dari manajemen puncak dan pelanggan.

Menurut para peretas, mereka memperoleh akses ke solusi CyberArk perusahaan untuk pengelolaan akses istimewa dan plaintext passwords yang disaring di seluruh infrastruktur lokal dan internet Copel.

Selengkapnya: Bleeping Computer

Peneliti meretas Microsoft, Apple, dan lebih banyak lagi dalam serangan rantai pasokan baru

by

Seorang peneliti berhasil menembus lebih dari 35 sistem internal perusahaan besar, termasuk Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber, dalam serangan rantai pasokan perangkat lunak baru.

Serangan itu terdiri dari mengunggah malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian didistribusikan secara otomatis ke dalam aplikasi internal perusahaan.

Tidak seperti serangan typosquatting tradisional yang mengandalkan taktik rekayasa sosial atau korban salah mengeja nama paket, serangan rantai pasokan khusus ini lebih canggih karena tidak memerlukan tindakan apa pun dari korban, yang secara otomatis menerima paket berbahaya tersebut.

Ini karena serangan tersebut memanfaatkan cacat desain unik dari ekosistem sumber terbuka yang disebut dependency confusion. Untuk upaya penelitian etisnya, peneliti keamanan Alex Birsan telah menghasilkan lebih dari $130.000 dalam bentuk bug bounty.

Melalui penelitian yang mencakup organisasi besar ini, Birsan mengatakan dia telah membuat perusahaan teknologi terkemuka menyadari jenis serangan ini yang sekarang telah menerapkan semacam mitigasi di seluruh infrastruktur mereka. Namun, peneliti yakin masih banyak yang bisa ditemukan.

Untuk informasi lebih lengkap mengenai temuan Birsan dan bagaimana ia melakukan serangan rantai pasokan yang berhasil terhadap perusahan-perusahaan besar, kunjungi situs di bawah ini.

Selengkapnya: Bleeping Computer

Personel Militer Cina Dituntut atas Peretasan Equifax

by

Amerika telah mendakwa personel militer Cina atas tuduhan meretas sistem komputer Equifax dan mencuri rahasia dagang yang berharga dan data pribadi hampir 150 juta orang Amerika.

Dewan juri federal di Atlanta, Georgia, mengembalikan dakwaan minggu lalu terhadap empat anggota Tentara Pembebasan Rakyat China (PLA). Wu Zhiyong (吴志勇), Wang Qian (王 乾), Xu Ke (许可), dan Liu Lei (刘磊) dituduh berkonspirasi untuk melakukan pencurian data selama tiga bulan.

Menurut dakwaan nine-count, para terdakwa mengeksploitasi kerentanan dalam perangkat lunak Apache Struts Web Framework yang digunakan oleh portal sengketa online Equifax untuk mendapatkan akses tidak sah ke sistem komputer lembaga pelaporan kredit.

Begitu masuk, grup tersebut diduga menjalankan sekitar 9.000 kueri di sistem Equifax dari Mei hingga Juli 2017, mendapatkan nama, tanggal lahir, dan nomor Jaminan Sosial untuk hampir setengah dari warga Amerika.

Terdakwa didakwa dengan tiga dakwaan yaitu persekongkolan melakukan penipuan komputer, persekongkolan untuk melakukan spionase ekonomi, dan persekongkolan untuk melakukan wire fraud. Mereka selanjutnya didakwa dengan dua tuduhan akses tidak sah dan kerusakan yang disengaja pada komputer yang dilindungi, satu tuduhan spionase ekonomi, dan tiga tuduhan wire fraud.

Semua terdakwa adalah anggota Institut Penelitian ke-54 PLA, sebuah komponen dari militer China.

Selengkapnya: Info Security

Ransomware HelloKitty di balik serangan siber CD Projekt Red, pencurian data

by

Serangan ransomware terhadap CD Projekt Red dilakukan oleh grup ransomware yang bernama ‘HelloKitty,’ dan ya, itulah nama yang digunakan oleh pelaku ancaman.

Proyek CD mengungkapkan bahwa mereka adalah target serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan menyebabkan pencurian file yang tidak terenkripsi.

Sebagai bagian dari pengumuman tersebut, CD Projekt juga merilis tangkapan layar dari catatan tebusan yang ditinggalkan oleh para penyerang.

Sumber: BleepingComputer

Menurut Fabian Wosar dari Emisoft, ransomware yang bertanggung jawab atas serangan siber ini disebut ‘HelloKitty’. Operasi ransomware ini telah aktif sejak November 2020 dan telah menargetkan perusahaan besar lainnya, seperti perusahaan listrik Brazil CEMIG tahun lalu.

Ransomware HelloKitty diberi nama setelah mutex bernama ‘HelloKittyMutex’ yang digunakan saat program jahat yang dapat dieksekusi diluncurkan.

Sumber: BleepingComputer

Setelah diluncurkan, HelloKitty akan berulang kali menjalankan taskkill.exe untuk menghentikan proses yang terkait dengan perangkat lunak keamanan, server email, server basis data, perangkat lunak cadangan, dan perangkat lunak akuntansi, seperti QuickBooks.

Setelah mematikan berbagai proses dan layanan yang ditargetkan, HelloKitty akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, HelloKitty akan menambahkan ekstensi .crypted ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Tidak diketahui seberapa besar permintaan tebusan untuk geng ransomware ini dan apakah para korban telah membayar di masa lalu. Saat ini, tidak ada kelemahan yang memungkinkan korban untuk mendekripsi file mereka secara gratis.

Sumber: Bleeping Computer

Microsoft Februari 2021 Patch Tuesday memperbaiki 56 bug, termasuk Windows zero-day

by

Microsoft telah merilis pembaruan keamanan bulanan, yang dikenal sebagai Patch Tuesday. Bulan ini, pembuat OS telah memperbaiki 56 kerentanan keamanan, termasuk bug Windows yang dieksploitasi di alam liar sebelum patch hari ini.

Dilacak sebagai CVE-2021-1732, Windows zero-day adalah peningkatan bug hak istimewa di Win32k, komponen inti dari sistem operasi Windows.

Bug itu dieksploitasi setelah penyerang memperoleh akses ke sistem Windows untuk mendapatkan akses level SISTEM.

Menurut laporan dari perusahaan keamanan China DBAPPSecurity, zero-day tersebut digunakan oleh aktor ancaman tingkat lanjut yang dikenal sebagai Bitter, dengan sejarah panjang serangan yang menargetkan organisasi dan pengguna Pakistan dan China.

DBAPPSecurity mengatakan exploit zero-day yang awalnya mereka deteksi telah dikompilasi pada Mei 2020 dan dirancang untuk menargetkan sistem operasi Windows10 1909 64-bit, tetapi tes selanjutnya mengungkapkan bahwa bug juga memengaruhi Windows10 20H2 64-bitsOS terbaru juga.

Secara total, enam bug produk Microsoft telah diposting detailnya secara online sebelum patch hari ini. Ini termasuk:

  • CVE-2021-1721 – .NET Core and Visual Studio Denial of Service Vulnerability
  • CVE-2021-1733 – Sysinternals PsExec Elevation of Privilege Vulnerability
  • CVE-2021-26701 – .NET Core Remote Code Execution Vulnerability
  • CVE-2021-1727 – Windows Installer Elevation of Privilege Vulnerability
  • CVE-2021-24098 – Windows Console Driver Denial of Service Vulnerability
  • CVE-2021-24106 – Windows DirectX Information Disclosure Vulnerability

Bulan ini, Microsoft juga telah merilis perbaikan untuk tiga kerentanan di TCP/IP stack Windows, yang memungkinkan sistem operasi untuk terhubung ke internet.

Dua dari bug ini (CVE-2021-24074, CVE-2021-24094) menerapkan perbaikan untuk kerentanan eksekusi kode jarak jauh yang dapat memungkinkan penyerang untuk mengambil alih sistem Windows dari jarak jauh.

Selengkapnya: ZDNet

Bahaya Tersembunyi dari Power Automate dan eDiscovery Tools Microsoft 365

by

Ketika organisasi semakin merangkul lingkungan cloud hybrid, para aktor siber mengambil keuntungan dengan menggunakan akses istimewa dan aplikasi yang sah untuk melakukan serangan dan melakukan tindakan jahat.

Dengan tenaga kerja yang semakin tersebar dan adopsi cepat aplikasi berbasis cloud untuk mengakomodasi pekerja jarak jauh, Microsoft Office 365, sekarang disebut Microsoft 365, telah menjadi salah satu alat kolaborasi dan produktivitas yang paling kuat dan banyak digunakan di dunia, dengan lebih dari 250 juta pengguna.

Namun, Microsoft 365 terus menjadi salah satu lingkungan yang paling menantang dan kompleks untuk dipantau dan dikontrol, meskipun adopsi otentikasi multifaktor (MFA) dan kontrol keamanan lainnya ditingkatkan.

Power Automate dan eDiscovery Compliance Search, alat aplikasi yang disematkan di Microsoft 365, telah muncul sebagai target berharga bagi penyerang. Studi Vectra mengungkapkan bahwa 71% akun yang dipantau telah memperhatikan aktivitas mencurigakan menggunakan Power Automate, dan 56% akun mengungkapkan perilaku mencurigakan yang serupa menggunakan alat eDiscovery.

Di bawah ini adalah data yang ditampilkan dari waktu ke waktu dan relatif terhadap penerapan total Microsoft 365.

Sumber: Vectra AI

Penggunaan jahat Power Automate baru-baru ini menjadi yang terdepan ketika Microsoft mengumumkan menemukan pelaku ancaman tingkat lanjut dalam organisasi multinasional besar yang menggunakan alat tersebut untuk mengotomatiskan eksfiltrasi data. Insiden ini tidak terdeteksi selama lebih dari 200 hari.

Yang tidak kalah penting adalah eDiscovery Compliance Search, yang merupakan alat penemuan elektronik yang memungkinkan pengguna mencari informasi di semua konten dan aplikasi Microsoft 365 menggunakan satu perintah sederhana. Penyerang dapat menggunakan eDiscovery sebagai alat eksfiltrasi data. Misalnya, pencarian sederhana untuk “kata sandi” akan memunculkan hasil dari Microsoft Outlook, Teams, SharePoint, OneDrive, dan OneNote.

Power Automate dan eDiscovery secara aktif digunakan bersama di seluruh siklus hidup serangan. Setelah pelaku ancaman mendapatkan akses menggunakan Power Automate dan eDiscovery, mereka dapat mengonfigurasi ulang pengaturan email, membahayakan penyimpanan file SharePoint dan OneDrive, serta menyiapkan kemampuan pengintaian dan eksfiltrasi persisten dalam hitungan menit.

Selengkapnya: Dark Reading