Cybersecurity

Pakar Merinci Kerentanan Windows Zero-Click Baru untuk Pencurian Kredensial NTLM

May 11, 2023 by Mally

Peneliti keamanan siber telah membagikan detail tentang kelemahan keamanan yang sekarang sudah ditambal di platform Windows MSHTML yang dapat disalahgunakan untuk melewati perlindungan integritas pada mesin yang ditargetkan.

Kerentanan, dilacak sebagai CVE-2023-29324 (skor CVSS: 6,5), telah dijelaskan sebagai pemintas fitur keamanan. Itu ditangani oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday untuk Mei 2023.

Peneliti keamanan Akamai Ben Barnea, yang menemukan dan melaporkan bug tersebut, mencatat bahwa semua versi Windows terpengaruh, tetapi menunjukkan Microsoft, server Exchange dengan pembaruan Maret menghilangkan fitur yang rentan.

Akamai mengatakan masalah ini berasal dari penanganan jalur yang rumit di Windows, sehingga memungkinkan aktor ancaman membuat URL berbahaya yang dapat menghindari pemeriksaan zona keamanan internet.

“Kerentanan ini adalah contoh lain dari pemeriksaan tambalan yang mengarah ke kerentanan baru dan jalan pintas,” kata Barnea. “Ini adalah permukaan serangan parsing media tanpa klik yang berpotensi mengandung kerentanan korupsi memori kritis.”

Agar tetap terlindungi sepenuhnya, Microsoft selanjutnya merekomendasikan pengguna untuk menginstal pembaruan Kumulatif Internet Explorer untuk mengatasi kerentanan di platform MSHTML dan mesin skrip.

selengkapnya : thehackernews.com

FBI: Agen Keamanan Rusia telah menggunakan Jaringan Rahasia Komputer yang Rusak untuk Memata-matai NATO selama beberapa dekade, tetapi AS baru saja membukanya

May 10, 2023 by Mally

Departemen Kehakiman mengungkapkan pada hari Selasa mengenai hal tersebut.

FBI berhasil mengacaukan jaringan komputer global yang telah disusupi oleh malware canggih ‘Snake’. Agensi melakukan operasi resmi pengadilan untuk menonaktifkan ‘Snake’ di komputer yang dikompromikan dengan menggunakan alat yang menginstruksikan malware untuk menghancurkan dirinya sendiri.

Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) menganggap ‘Snake’ sebagai alat spionase siber paling canggih di gudang senjata FSB selama hampir dua dekade untuk menargetkan dan mencuri dokumen sensitif dari sistem komputer di banyak negara di seluruh dunia, termasuk anggota NATO, Justice menurut departemen.

FSB telah menggunakan Snake untuk mengumpulkan intelijen sensitif dari target prioritas tinggi, seperti jaringan pemerintah, fasilitas penelitian, dan jurnalis.

CISA merinci satu kasus spesifik di mana agen FSB berhasil menggunakan Snake untuk mengakses dan mengekstraksi dokumen hubungan internasional yang sensitif, serta komunikasi diplomatik lainnya melalui korban di negara NATO yang tidak ditentukan. Di AS, FSB telah mengorbankan beberapa sektor, termasuk fasilitas pemerintah, manufaktur kritis, jasa keuangan, pendidikan, organisasi media, dan usaha kecil, kata penasihat itu.

Menurut pernyataan tertulis FBI, agensi tersebut bekerja dengan mitra intelijen AS dan pemerintah asing untuk menyelidiki cara kerja Snake. FSB menggunakan Snake untuk menarik data dari sistem komputer sensitif dan mengirimkan data melalui sistem yang dikompromikan di AS sebelum dikirim kembali ke Rusia. Melakukan hal itu mempersulit korban untuk mengungkap bagaimana jaringan itu terhubung.

Melalui analisis Departemen Kehakiman terhadap Snake, FBI mengembangkan kemampuan untuk memecahkan kode dan mendekripsi komunikasi Snake. FBI kemudian menciptakan alat ‘Perseus’ yang dapat berkomunikasi dengan Snake pada sistem tertentu dan menggunakan perintah untuk memaksa malware untuk menghancurkan dirinya sendiri.

Pejabat tinggi Departemen Kehakiman memuji kemampuan FBI untuk menetralisir jaringan FSB.

Selengkapnya: Insider

San Bernardino County Membayar Tebusan $1,1 juta Kepada Hacker setelah Serangan Siber

May 9, 2023 by Mally

Pada April, seorang hacker menyebabkan gangguan jaringan pada pada sistem komputer Departemen Sheriff San Bernardino County dibayar uang tebusan $1,1 juta untuk membiarkan pejabat daerah kembali ke jaringan.

Hacker mengunggah ransomware untuk menyusup ke sistem teknologi informasi departemen sheriff. Pejabat sheriff juga tidak dapat mengakses sistem yang memberikan informasi tentang apakah seseorang dicari karena kejahatan di tempat lain di wilayah itu.

Mengetahui hal tersebut, pejabat daerah segera mengamankan jaringan dan bekerja dengan staf teknologi informasi dan spesialis forensik pihak ketiga untuk menyelidiki.

Namun belum ada konfirmasi lebih lanjut mengenai pembayaran $ 1,1 juta kepada para hacker, berapa lama sistem tidak dapat diakses oleh departemen, atau mengapa pejabat menunggu sampai sekarang untuk memberitahu publik tentang pembayaran uang tebusan.

Pembayaran uang tebusan tersebut bertujuan untuk memulihkan fungsionalitas penuh sistem dan mengamankan data apa pun yang terlibat dalam pelanggaran. Polis asuransi memastikan pembayaran sebesar $511.852, kata pejabat daerah.

Departemen sheriff sedang melakukan pemeriksaan forensik untuk memahami sepenuhnya sejauh mana insiden tersebut, dengan temuan penting bagi badan publik yang berusaha menghindari serangan serupa, kata pejabat daerah.

Selengkapnya: Daily Press

APT Korea Utara Beradaptasi dengan Pemblokiran Makro dengan Menggunakan Trik LNK

May 5, 2023 by Mally

Juga dikenal sebagai ‘Scarcruft’, ditemukan menggunakan switch-up LNK canggih untuk melewati pemblokiran makro dalam serangan spionase siber, mengirimkan malware RokRAT.

Kelompok Advanced Persistent Threat (APT) diyakini memiliki hubungan dengan Kementerian Keamanan Negara (MSS) Korea Utara dan dikenal dengan kontra spionase dalam negeri dan kegiatan kontra intelijen di luar negeri.

‘Scarcruft’ memiliki sejarah menggunakan teknik penghindaran anti-malware yang inovatif, seperti eksploit Flash Player (CVE-2016-4117) dan memanfaatkan server yang disusupi, platform perpesanan, dan penyedia layanan cloud untuk menghindari deteksi dan menetapkan perintah dan kontrol (C2).

Grup APT terutama menargetkan individu dan organisasi Korea Selatan melalui serangan spear-phishing yang dirancang untuk memberikan berbagai alat kustom, termasuk malware penghapus, pencuri kredensial, dan utilitas penangkap audio.

Setelah C2 dibuat, APT 37 terlibat dalam pencurian kredensial, eksfiltrasi data, tangkapan layar, pengumpulan informasi sistem, eksekusi perintah dan kode shell, serta manajemen file dan direktori.

Menanggapi tindakan penguncian makro default Microsoft Security 2022, Scarcruft diyakini telah mulai bereksperimen dengan file LNK berukuran besar sebagai rute pengiriman malware RokRAT.

Pada April 2023, ‘Scarcruft’ menggunakan dokumen Word berbasis makro, menggunakan file LNK sebagai umpan untuk mengaktifkan rantai infeksi. Taktik ini ditemukan oleh AhnLab Security Emergency Response Center (ASEC) minggu lalu ketika mereka menemukan perintah PowerShell menyebarkan malware RokRAT.

Tim keamanan diharuskan tetap waspada, disamping peretas terus mengembangkan taktik mereka untuk mengeksploitasi penyimpanan cloud dan aplikasi untuk tujuan perintah dan kontrol, menggunakan serangan multi-rantai yang memanfaatkan makro dan perintah PowerShell.

Selengkapnya: Overt Operator

Botnet Mirai suka mengeksploitasi router TP-Link Anda yang belum ditambal, CISA memperingatkan

May 4, 2023 by Mally

Cybersecurity and Infrastructure Security Agency (CISA) pemerintah AS menambahkan tiga kelemahan lagi ke dalam daftar kerentanan yang diketahui dieksploitasi, termasuk satu yang melibatkan router TP-Link yang menjadi sasaran operator botnet Mirai yang terkenal kejam.

Dua lainnya ditempatkan pada daftar minggu ini melibatkan versi perangkat lunak Server WebLogic Oracle dan perpustakaan log4j Java Log4j dari Apache Foundation.

Cacat injeksi perintah di router Wi-Fi 6 Archer AX21 TP-Link – dilacak sebagai CVE-2023-1389 – bersembunyi di firmware perangkat sebelum versi 1.1.4 Build 20230219, yang mengatasi masalah tersebut. Penyerang yang tidak sah dapat mengeksploitasi lubang ini untuk menyuntikkan perintah yang dapat menyebabkan eksekusi kode jarak jauh (RCE), yang memungkinkan penyusup mengambil kendali perangkat dari seluruh jaringan atau internet.

Malware Mirai menggulung perangkat Internet of Things (IoT) berbasis Linux yang terinfeksi ke dalam botnet yang kemudian dapat dikendalikan dari jarak jauh untuk melakukan serangan jaringan berskala besar, termasuk serangan denial-of-services (DDoS) terdistribusi.

Kerentanan command-injection ditemukan oleh beberapa tim yang berpartisipasi dalam kontes Pwn2Own Toronto ZDI tahun lalu dan seperti yang kami katakan, TP-Link telah mengeluarkan firmware untuk memperbaiki masalah tersebut. Setelah mendengar dari ZDI bahwa operator botnet Mirai mencoba mengeksploitasinya, TP-Link mengeluarkan pernyataan yang mendesak pengguna untuk menginstal firmware yang diperbarui.

Untuk perangkat yang ditautkan ke akun TP-Link Cloud, firmware diperbarui secara otomatis. Pengguna lain perlu memperbarui router sendiri.

Para peneliti ZDI menulis bahwa melihat kelemahan yang dieksploitasi begitu cepat setelah tambalan dirilis adalah contoh lain dari berkurangnya waktu antara kerentanan ditemukan dan upaya eksploitasi dimulai.

selengkapnya : theregister.com

Mengamankan lingkungan multi-cloud adalah salah satu tantangan utama DoD. Inilah cara mereka bisa berhasil

May 3, 2023 by Mally

Saat Departemen Pertahanan mengumumkan kontrak Joint Warfighting Cloud Capability pada bulan Desember, ini merupakan langkah besar dalam perjalanan multi-cloud DoD. Dengan menerapkan tata kelola multi-cloud, yang berpusat pada keamanan, DoD memiliki peluang untuk menyelaraskan adopsi multi-cloud ini dengan strategi tanpa kepercayaan. Strategi tersebut sangat eksplisit tentang hasil yang dicari untuk mengamankan lingkungan dan memberikan metrik untuk menentukan keberhasilan – misalnya, dapatkah DoD mengidentifikasi dan melacak individu yang sama di beberapa lingkungan? Ini juga memberikan fleksibilitas, memberi DoD kemampuan untuk mencoba berbagai pendekatan untuk mencapai hasil yang diinginkan, dan memilih opsi terbaik.

“Meskipun ada manfaat operasional bagi DoD yang memanfaatkan berbagai lingkungan penyedia layanan cloud dan semua kemampuan keamanan asli yang ada, memiliki kemampuan keamanan yang dapat memperluas dan menutupi celah di lingkungan CSP tertentu akan memberi mereka pandangan holistik di seluruh sistem mereka,” kata Steve Faehl, kepala petugas teknologi keamanan untuk Microsoft Federal. “Kemampuan keamanan Azure juga dapat membantu mempertahankan cloud lain, di mana kita dapat melihat DoD menghasilkan efisiensi dan skala ekonomis yang signifikan: memiliki gambaran operasional yang sama dengan memanfaatkan komponen Azure yang terbentang secara menyeluruh.”

Untuk lebih mengamankan jaringan dan sistem DoD, dan mencapai tujuan dari strategi tanpa kepercayaannya, analis dan pembela dunia maya DoD akan membutuhkan visibilitas di seluruh lanskap cloud, daripada harus beralih di antara instance yang terpisah. DoD membutuhkan gambaran umum tentang identitas pengguna, cara umum untuk menempatkan kebijakan dan perlindungan ke titik akhir, dan lapisan pertahanan umum.

“Kami yakin bahwa kepercayaan nol dapat diukur,” kata Jay Bhalodia, direktur kesuksesan pelanggan di divisi keamanan Microsoft Federal. “Dengan memulai dengan lapisan umum untuk dapat melihat segalanya, Anda kemudian dapat menambahkan kebijakan dan tata kelola tersebut. Dan harus ada perubahan terukur dalam lingkungan yang mencerminkan hal itu. Jika Anda menangkap telemetri terlebih dahulu, dan memahami apa titik awal Anda, Anda memiliki kemampuan untuk mengukur kematangan lingkungan relatif tersebut, dan mengetahui di mana Anda perlu menghilangkan risiko atau mengatasi masalah tertentu. Pengukuran dimulai dengan visibilitas.”

Tapi ini bukan hanya tentang kemampuan itu sendiri; Analis dan pembela DoD harus dididik tentang cara mengoperasikan kemampuan ini juga. Mereka memerlukan pelatihan untuk mempelajari cara kerja alat, dan cara memahami dasbor dan visibilitas di berbagai solusi cloud. Mereka juga memerlukan pelatihan tentang cara menerapkan pengetahuan itu ke dalam konteks organisasi untuk mencapai tujuan dan hasil spesifik yang dicari DoD. Microsoft telah berinvestasi dalam keterlibatan khusus hasil DOD untuk jalur implementasi yang lebih cepat dan program pelatihan langsung untuk mendukung pengembangan kemampuan bagi karyawan DoD dan Federal.

sekengkapnya : federalnewsnetwork.com

Apple Merilis Perbaikan Keamanan ‘Cepat’ Pertama untuk iPhone, iPad, dan Mac

May 2, 2023 by Mally

Pada hari Senin, Apple merilis batch pertama patch “Rapid Security” yang tersedia untuk umum, bertujuan untuk memperbaiki kerentanan keamanan dengan cepat yang berada di bawah eksploitasi aktif atau menimbulkan risiko signifikan bagi pelanggannya.

Menurut pemberitahuan, pembaruan ‘Rapid Security Response’ memberikan peningkatan keamanan penting di antara pembaruan perangkat lunak yang lebih cepat daripada pembaruan perangkat lunak biasa.

Apple mengaktifkan fitur ini secara default dan beberapa tambalan cepat dapat diinstal tanpa perlu melakukan boot ulang, meskipun tidak selalu.

Pembaruan keamanan tersebut hanya tersedia untuk pelanggan yang menjalankan iOS 16.4.1, iPadOS 16.4.1, dan macOS 13.3.1. Setelah diinstal, itu akan menambahkan huruf ke versi perangkat lunak, seperti iOS 16.4.1 (a), iPadOS 16.4.1 (a), dan macOS 13.3.1 (a).
Kredit gambar-gambar: TechCrunch (tangkapan layar)

Terdapat beberapa kendala dalam peluncuran. Beberapa pelanggan tidak dapat menginstal pembaruan. Apple belum menanggapi permintaan komentar.

Dalam beberapa minggu terakhir, para peneliti telah menemukan eksploitasi baru yang dikembangkan oleh pembuat spyware QuaDream dan NSO Group yang ditujukan untuk menargetkan pemilik iPhone di seluruh dunia.

Sementara Citizen Lab mengatakan bulan lalu bahwa Lockdown Mode, sebuah fitur yang diluncurkan oleh Apple tahun lalu untuk mencegah serangan bertarget serupa, berhasil memblokir setidaknya satu eksploit yang dikembangkan NSO yang menyalahgunakan kerentanan dalam fitur rumah pintar Apple, HomeKit.

Selengkapnya: TechCrunch+

Penurunan Drastis Ancaman Online di Vietnam

May 2, 2023 by Mally

Perubahan Positif Postur Keamanan Siber Vietnam tersebut menurut laporan terbaru oleh perusahaan keamanan siber global, Kapersky.

Sudah 5 tahun sejak 2022 berturut-turut Vietnam menyaksikan penurunan jumlah insiden keamanan siber yang diblokir oleh perusahaan keamanan siber global.

Kaspersky mendeteksi dan memblokir total hampir 42 juta ancaman siber berbeda dari Internet di komputer peserta KSN di Vietnam pada tahun 2022, turun 34 persen dari tahun 2021.

Persentase pengguna Vietnam yang hampir terinfeksi oleh ancaman web selama periode ini tercatat sebesar 37,6 persen, menduduki peringkat ke-49 secara global dan turun 17 peringkat dibandingkan tahun sebelumnya.

Penurunan jumlah ancaman siber dapat dikaitkan dengan berbagai faktor. Selain peningkatan upaya Pemerintah untuk meningkatkan kesadaran dan meningkatkan langkah-langkah keamanan siber, pengguna Vietnam kini mengambil langkah lebih proaktif untuk melindungi diri mereka sendiri di ruang digital dengan berinvestasi pada perangkat lunak antivirus, memperbarui perangkat secara rutin, dan mempraktikkan kebiasaan online yang lebih aman.

Selengkapnya: bizhub

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings