Cybersecurity

Domain ZIP baru memicu perdebatan di antara pakar keamanan siber

May 17, 2023 by Coffee Bean

Awal bulan ini, Google memperkenalkan delapan domain tingkat atas (TLD) baru yang dapat dibeli untuk menghosting situs web atau alamat email.

Domain baru adalah .dad, .esq, .prof, .phd, .nexus, .foo, dan untuk topik artikel kami, TLD domain .zip dan .mov.

Meskipun TLD ZIP dan MOV telah tersedia sejak 2014, baru pada bulan ini TLD menjadi tersedia secara umum, memungkinkan siapa saja untuk membeli domain, seperti bleepingcomputer.zip, untuk situs web.

Namun, domain ini dapat dianggap berisiko karena TLD juga merupakan ekstensi file yang biasanya dibagikan di postingan forum, pesan, dan diskusi online, yang sekarang akan secara otomatis diubah menjadi URL oleh beberapa platform atau aplikasi online.

Dua jenis file umum yang terlihat online adalah arsip ZIP dan video MPEG 4, yang nama filenya diakhiri dengan .zip (arsip ZIP) atau .mov (file video).

Oleh karena itu, sangat umum bagi orang untuk memposting instruksi yang berisi nama file dengan ekstensi .zip dan .mov.

Namun, sekarang mereka adalah TLD, beberapa platform perpesanan dan situs media sosial akan secara otomatis mengonversi nama file dengan ekstensi .zip dan .mov menjadi URL.

selengkapnya : bleepingcomputer.com

Mengapa Microsoft baru saja menambal tambalan yang menghancurkan bug Outlook yang sedang diserang

May 15, 2023 by Søren

Microsoft pada bulan Maret memperbaiki lubang keamanan yang menarik di Outlook yang dieksploitasi oleh penjahat untuk membocorkan kredensial Windows korban. Minggu ini raksasa TI memperbaiki perbaikan itu sebagai bagian dari pembaruan Patch Selasa bulanannya.

Untuk mengingatkan Anda tentang bug asli, dilacak sebagai CVE-2023-23397: Anda dapat mengirim email kepada seseorang yang menyertakan pengingat dengan suara pemberitahuan khusus. Suara khusus itu dapat ditentukan sebagai jalur URL di dalam email.

Jika penjahat dengan hati-hati membuat email dengan jalur suara yang disetel ke server SMB jarak jauh, saat Outlook mengambil dan memproses pesan, dan secara otomatis mengikuti jalur ke server file, itu akan menyerahkan hash Net-NTLMv2 pengguna dalam upaya untuk masuk.

Itu akan secara efektif membocorkan hash ke pihak luar, yang berpotensi menggunakan kredensial untuk mengakses sumber daya lain sebagai pengguna itu, memungkinkan penyusup menjelajahi sistem jaringan internal, mencuri dokumen, menyamar sebagai korban mereka, dan sebagainya.

Tambalan dari beberapa bulan yang lalu membuat Outlook menggunakan fungsi Windows MapUrlToZone untuk memeriksa ke mana arah jalur suara pemberitahuan, dan jika keluar ke internet, itu akan diabaikan dan suara default akan diputar. Itu seharusnya menghentikan klien yang terhubung ke server jarak jauh dan membocorkan hash.

Ternyata perlindungan berbasis MapUrlToZone ini dapat dilewati, mendorong Microsoft untuk meningkatkan perbaikan bulan Maret di bulan Mei. Bug asli sedang dieksploitasi di alam liar, jadi ketika tambalan untuknya mendarat, itu menarik perhatian semua orang. Dan perhatian itu membantu mengungkapkan bahwa perbaikannya tidak lengkap.

Selengkapnya: The Register

Intel Mengeluarkan Mikrokode CPU Baru Kembali Ke Gen8 Untuk Pembaruan Keamanan Baru yang Dirahasiakan

May 14, 2023 by Søren

Mengenai juga ruang lingkup mikrokode CPU baru untuk pembaruan keamanan pada dasarnya semua keluarga CPU yang didukung.

Dari Gen8 Coffee Lake dan Whiskey Lake Mobile hingga Xeon Scalable Gen 4 terbaru, Xeon Max, dan Gen 13 Raptor Lake semuanya diperbarui. Plus ini adalah pertama kalinya melihat mikrokode CPU yang diperbarui diterbitkan untuk CPU Alder Lake N serta platform Atom C1100 “Arizona Beach”.

Mengingat penurunan Jumat sore setelah Patch Selasa, pembaruan keamanan untuk Penasihat Keamanan Intel yang tidak dipublikasikan, dan berbagai prosesor yang terpengaruh, saya cukup penasaran dengan pembaruan mikrokode CPU ini.

Saya akan mengujinya selama akhir pekan pada beberapa CPU Intel untuk setidaknya melihat apakah ada dampak kinerja dari kode mikro baru. Pada hari Sabtu saya harus melakukan penilaian awal jika saya menemukan dampak kinerja yang dapat diukur sebagai akibat dari mikrokode CPU yang baru.

Pengguna Linux dapat menemukan file mikrokode Intel CPU baru melalui halaman GitHub ini. Mereka yang menggunakan Windows dan platform lain kemungkinan akan segera menemukan pembaruan mikrokode CPU yang diperbarui melalui saluran masing-masing.

Selengkapnya: Phoronix

Perselisihan mengungkapkan pelanggaran data setelah agen pendukung diretas

May 14, 2023 by Søren

Perselisihan memberi tahu pengguna tentang pelanggaran data yang terjadi setelah akun agen dukungan pihak ketiga disusupi.

Pelanggaran keamanan mengungkap antrean tiket dukungan agen, yang berisi alamat email pengguna, pesan yang dipertukarkan dengan dukungan Discord, dan lampiran apa pun yang dikirim sebagai bagian dari tiket.

Discord mengatakan segera menangani akun dukungan yang dilanggar dengan menonaktifkannya setelah insiden itu ditemukan.

“Karena sifat insiden tersebut, alamat email Anda, konten pesan layanan pelanggan, dan lampiran apa pun yang dikirim antara Anda dan Discord mungkin telah diekspos ke pihak ketiga,” kata Discord dalam surat yang dikirim ke pengguna yang terpengaruh.

“Segera setelah Discord mengetahui masalah ini, kami menonaktifkan akun yang disusupi dan menyelesaikan pemeriksaan malware pada mesin yang terpengaruh.”

Mereka juga bekerja dengan mitra layanan pelanggan untuk menerapkan langkah-langkah efektif guna mencegah insiden serupa di masa mendatang.

Jika Anda terpengaruh oleh pelanggaran data di Discord, awasi aktivitas yang mencurigakan, seperti upaya penipuan atau serangan phishing. Meskipun Discord menganggap risikonya minimal, lebih baik tetap berhati-hati.

“Meskipun kami yakin risikonya terbatas, Anda disarankan untuk waspada terhadap pesan atau aktivitas yang mencurigakan, seperti upaya penipuan atau phishing,” kata perusahaan itu.

Juru bicara Discord tidak membalas permintaan komentar saat BleepingComputer menghubungi hari ini.

Discord adalah pesan instan dan platform media sosial yang banyak digunakan dengan 150 juta pengguna aktif bulanan.

Selain itu, perusahaan mengklaim di situs webnya bahwa platform tersebut memiliki 19 juta server aktif setiap minggu.

Selengkapnya: Bleeping Computer

ABB mengonfirmasi insiden keamanan TI yang berdampak pada operasi

May 13, 2023 by Søren

ABB, perusahaan teknologi industri multinasional yang berspesialisasi dalam elektrifikasi dan otomasi, telah mengonfirmasi bahwa lokasi dan layanan tertentu terkena dampak “insiden keamanan TI”.

Raksasa teknologi industri, dengan pendapatan yang dilaporkan sebesar $29,4 miliar pada tahun 2022, mengatakan tim keamanan siber perusahaan sedang bekerja untuk menyelesaikan masalah tersebut.

“ABB baru-baru ini mendeteksi insiden keamanan TI yang secara langsung memengaruhi lokasi dan sistem tertentu. Untuk mengatasi situasi ini, ABB telah mengambil, dan terus mengambil, langkah-langkah untuk mengatasi insiden tersebut,” kata seorang perwakilan ABB kepada Cybernews.

Perusahaan mengklaim bahwa langkah-langkah penahanan yang diberlakukan mengganggu beberapa operasinya, dan ABB menangani masalah tersebut. Namun, ditekankan bahwa sebagian besar “sistem dan pabriknya sekarang aktif dan berjalan, dan ABB terus melayani pelanggannya dengan cara yang aman.”

ABB menikmati kehadiran global, dengan operasi di setiap benua, kecuali Antartika. Satu lengan kerajaan bisnis perusahaan yang luas mengembangkan sistem kontrol industri (ICS). ICS adalah bagian penting dari sistem manufaktur modern dan target menarik bagi pelaku ancaman yang disponsori negara dan bermotivasi finansial.

“ABB terus bekerja dengan rajin dengan pelanggan dan mitranya untuk menyelesaikan situasi ini dan meminimalkan dampaknya,” kata perusahaan dengan staf lebih dari 100.000 karyawan.

Daftar pelanggan perusahaan mencakup beberapa nama terkemuka seperti Volvo, Hitachi, kota Zaragoza dan Nashville, PKN Orlen, Roboship, dan banyak lainnya.

Perusahaan tersebut diduga menjadi korban serangan ransomware oleh kelompok penjahat dunia maya yang terkait dengan Rusia, Black Basta, seperti yang pertama kali dilaporkan oleh Bleeping Computer. Namun, ABB tidak mengonfirmasi hal itu kepada Cybernews, dan nama perusahaan tidak ada dalam situs bocoran Black Basta, blog web gelap tempat penjahat dunia maya memposting korban terbaru mereka.

Selengkapnya: Cybernews

Microsoft mem-patch bypass untuk bug zero-click Outlook yang baru-baru ini diperbaiki

May 13, 2023 by Søren

Microsoft memperbaiki kerentanan keamanan minggu ini yang dapat digunakan oleh penyerang jarak jauh untuk melewati patch terbaru untuk kelemahan keamanan kritis Outlook zero-day yang disalahgunakan secara liar.

Bypass tanpa klik ini (CVE-2023-29324) memengaruhi semua versi Windows yang didukung dan dilaporkan oleh peneliti keamanan Akamai Ben Barnea.

“Semua versi Windows terpengaruh oleh kerentanan. Akibatnya, semua versi klien Outlook di Windows dapat dieksploitasi,” jelas Barnea.

Bug zero-day Outlook yang ditambal pada bulan Maret (CVE-2023-23397) adalah kelemahan eskalasi hak istimewa di klien Outlook untuk Windows yang memungkinkan penyerang mencuri hash NTLM tanpa interaksi pengguna dalam serangan relai NTLM.

Pelaku ancaman dapat mengeksploitasinya dengan mengirimkan pesan dengan properti MAPI yang diperluas yang berisi jalur UNC ke suara notifikasi kustom, menyebabkan klien Outlook terhubung ke share SMB di bawah kendali mereka.

Microsoft mengatasi masalah ini dengan memasukkan panggilan MapUrlToZone untuk memastikan jalur UNC tidak tertaut ke URL internet dan mengganti suara dengan pengingat default jika ada.

Saat menganalisis mitigasi CVE-2023-23397, Barnea menemukan bahwa URL dalam pesan pengingat dapat diubah untuk mengelabui pemeriksaan MapUrlToZone agar menerima jalur jarak jauh sebagai jalur lokal.

Ini menghindari tambalan Microsoft dan menyebabkan klien Windows Outlook terhubung ke server penyerang.

“Masalah ini tampaknya merupakan akibat dari penanganan jalur yang rumit di Windows,” jelas Barnea.

Selengkapnya: Bleeping Computer

Cybersecurity menghadapi tantangan dari kebangkitan kecerdasan buatan

May 12, 2023 by Søren

Awal tahun ini, seorang direktur penjualan di India untuk perusahaan keamanan teknologi Zscaler mendapat telepon yang tampaknya berasal dari kepala eksekutif perusahaan.

Saat ponselnya menampilkan gambar pendiri Jay Chaudhry, sebuah suara yang akrab berkata, “Hai, ini Jay. Saya ingin Anda melakukan sesuatu untuk saya, ”sebelum panggilan terputus. Teks tindak lanjut melalui WhatsApp menjelaskan alasannya. “Saya pikir saya memiliki jangkauan jaringan yang buruk karena saya bepergian saat ini. Apakah boleh mengirim pesan di sini sementara itu?”

Kemudian penelepon meminta bantuan memindahkan uang ke bank di Singapura. Mencoba untuk membantu, penjual pergi ke manajernya, yang mencium bau tikus dan menyerahkan masalah tersebut ke penyelidik internal. Mereka memutuskan bahwa scammers telah menyusun kembali suara Chaudhry dari klip pernyataan publiknya dalam upaya untuk mencuri dari perusahaan.

Chaudhry menceritakan kejadian bulan lalu di sela-sela konferensi keamanan siber RSA tahunan di San Francisco, di mana kekhawatiran tentang revolusi kecerdasan buatan mendominasi pembicaraan.

Penjahat adalah pengadopsi awal, dengan Zscaler mengutip AI sebagai faktor dalam lonjakan 47 persen serangan phishing yang dilihatnya tahun lalu. Penjahat mengotomatiskan lebih banyak teks yang dipersonalisasi dan rekaman suara yang ditulis sambil menghindari alarm dengan melalui saluran yang tidak dipantau seperti pesan WhatsApp terenkripsi di ponsel pribadi. Terjemahan ke bahasa target semakin baik, dan disinformasi semakin sulit dikenali, kata peneliti keamanan.

Selengkapnya: Archive.is

Pembaruan sistem palsu menjatuhkan pencuri Aurora melalui pemuat Printer Tidak Valid

May 12, 2023 by Coffee Bean

Malvertising tampaknya menikmati kebangkitan akhir-akhir ini, apakah itu dari iklan di halaman hasil mesin pencari atau melalui situs web populer. Karena browser saat ini lebih aman daripada 5 atau 10 tahun yang lalu, serangan yang kita lihat semuanya melibatkan beberapa bentuk rekayasa sosial.

Pelaku ancaman menggunakan iklan berbahaya untuk mengalihkan pengguna ke sesuatu yang tampak seperti pembaruan keamanan Windows. Skema ini dirancang dengan sangat baik karena mengandalkan browser web untuk menampilkan animasi layar penuh yang sangat mirip dengan apa yang Anda harapkan dari Microsoft.

Pembaruan keamanan palsu menggunakan loader yang baru diidentifikasi yang pada saat kampanye tidak menyadari kotak pasir malware dan melewati hampir semua mesin antivirus. Kami menulis alat untuk ‘menambal’ loader ini dan mengidentifikasi muatan sebenarnya sebagai pencuri Aurora. Dalam postingan blog ini, kami merinci temuan kami dan bagaimana kampanye ini terhubung dengan serangan lain.

Dalam kampanye malvertising khusus ini, muatan yang digunakan adalah Aurora Stealer, malware populer yang dirancang untuk mengambil kredensial dari sistem.

Malwarebytes menghapus semua sisa ransomware dan mencegah Anda terinfeksi ulang. Ingin mempelajari lebih lanjut tentang bagaimana kami dapat membantu melindungi bisnis Anda? Dapatkan uji coba gratis di bawah ini.

selengkapnya : malwarebytes.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings