Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Microsoft: Bug ProxyShell “mungkin dieksploitasi”, tambal server Anda sekarang!

by

Microsoft akhirnya menerbitkan panduan hari ini untuk kerentanan ProxyShell yang dieksploitasi secara aktif yang berdampak pada beberapa versi Microsoft Exchange lokal.

ProxyShell adalah kumpulan dari tiga kelemahan keamanan (ditambal pada bulan April dan Mei) yang ditemukan oleh peneliti keamanan Devcore Orange Tsai, yang mengeksploitasinya untuk menyusup ke server Microsoft Exchange selama kontes peretasan Pwn2Own 2021:

  • CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

Meskipun Microsoft sepenuhnya menambal bug ProxyShell pada Mei 2021, mereka tidak menetapkan ID CVE untuk kerentanan hingga Juli, mencegah beberapa organisasi dengan server yang belum ditambal mengetahui bahwa mereka memiliki sistem yang rentan di jaringan mereka.

Microsoft mengatakan bahwa pelanggan harus menginstal SETIDAKNYA SATU dari pembaruan kumulatif terbaru yang didukung dan SEMUA pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Per Microsoft, server Exchange rentan jika salah satu dari kondisi berikut ini benar:

  • Server menjalankan CU yang lebih lama dan tidak didukung;
  • Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
  • Server menjalankan CU yang lebih lama dan tidak didukung, dengan penerapan mitigasi EOMT Maret 2021.

Selengkapnya: Bleeping Computer

Serangan zero-click NSO baru menghindari perlindungan keamanan iPhone Apple, kata Citizen Lab

by

IPhone seorang aktivis hak asasi manusia Bahrain diretas secara diam-diam awal tahun ini oleh spyware kuat yang dijual ke negara-bangsa, mengalahkan perlindungan keamanan baru yang dirancang Apple untuk menahan kompromi rahasia, kata para peneliti di Citizen Lab.

Aktivis, yang tetap berada di Bahrain dan meminta untuk tidak disebutkan namanya, adalah anggota Pusat Hak Asasi Manusia Bahrain, sebuah organisasi nirlaba pemenang penghargaan yang mempromosikan hak asasi manusia di negara Teluk. Kelompok itu terus beroperasi meskipun ada larangan yang diberlakukan oleh kerajaan pada tahun 2004 menyusul penangkapan direkturnya karena mengkritik perdana menteri negara itu.

Citizen Lab, pengawas internet yang berbasis di University of Toronto, menganalisis iPhone 12 Pro aktivis dan menemukan bukti bahwa itu diretas mulai Februari menggunakan apa yang disebut serangan “zero-click”, karena tidak memerlukan interaksi pengguna untuk menginfeksi perangkat korban.

Serangan zero-click memanfaatkan kerentanan keamanan yang sebelumnya tidak diketahui di iMessage Apple, yang dieksploitasi untuk mendorong spyware Pegasus, yang dikembangkan oleh perusahaan Israel NSO Group, ke telepon aktivis.

Peretasan itu signifikan, paling tidak karena peneliti Citizen Lab mengatakan menemukan bukti bahwa serangan zero-click berhasil mengeksploitasi perangkat lunak iPhone terbaru pada saat itu, baik iOS 14.4 dan iOS 14.6 yang lebih baru, yang dirilis Apple pada bulan Mei.

Tetapi peretasan juga menghindari fitur keamanan perangkat lunak baru yang ada di semua versi iOS 14, dijuluki BlastDoor, yang seharusnya mencegah peretasan perangkat semacam ini dengan memfilter data berbahaya yang dikirim melalui iMessage.

Karena kemampuannya untuk menghindari BlastDoor, para peneliti menyebut eksploitasi terbaru ini ForcedEntry.

Bill Marczak dari Citizen Lab mengatakan kepada TechCrunch bahwa para peneliti membuat Apple mengetahui upaya untuk menargetkan dan mengeksploitasi iPhone terbaru. Ketika dihubungi oleh TechCrunch, Apple tidak secara eksplisit mengatakan jika telah menemukan dan memperbaiki kerentanan yang dieksploitasi NSO.

Selengkapnya: Tech Crunch

Firefox mengikuti Chrome dan bersiap untuk memblokir unduhan yang tidak aman

by

Pengembang Mozilla memberikan sentuhan akhir pada fitur baru yang akan memblokir unduhan file yang tidak aman di Firefox.

Disebut pemblokiran unduhan konten campuran, fitur ini bekerja dengan memblokir unduhan file yang dimulai dari halaman HTTPS terenkripsi tetapi yang sebenarnya terjadi melalui saluran HTTP yang tidak terenkripsi.

Gagasan di balik fitur ini adalah untuk mencegah pengguna Firefox agar tidak disesatkan oleh bilah URL dan mengira mereka mengunduh file dengan aman melalui HTTPS ketika, pada kenyataannya, file tersebut dapat dirusak oleh pihak ketiga saat dalam perjalanan.

Feature specifics:

  • Semua file HTTP yang diunduh dari halaman HTTPS akan diblokir dengan pesan di Pusat Unduhan Firefox (CTRL+J).
  • Sebuah opsi akan tersedia untuk memungkinkan pengguna mengizinkan unduhan jika mereka mau.
  • Unduhan file HTTP dari halaman HTTP tidak akan diblokir.
  • Tautan unduhan HTTP yang diakses langsung (disalin di bilah alamat Firefox) tidak akan diblokir.
  • Fitur ini sudah aktif dan diaktifkan di Firefox edisi Beta, Developer, dan Nightly.
  • Berdasarkan entri pelacak bug Firefox saat ini, fitur ini diharapkan akan diaktifkan untuk semua pengguna Firefox di v92, dijadwalkan untuk rilis resmi pada awal September 2021.

Fitur serupa sudah ada di Chrome dan sebagian besar browser berbasis Chromium sejak akhir 2020, telah diluncurkan dalam beberapa tahap dari Chrome v81 hingga v88.

Pengguna Firefox Stable yang ingin mengujinya sekarang dapat membuka halaman pengaturan about:config dan mengaktifkan opsi berikut:

dom.block_download_insecure — set to true

Sumber: The Record

AS mengumumkan kesepakatan dunia maya dengan Singapura saat Washington berupaya melawan Beijing

by

Pemerintahan Biden pada hari Senin meluncurkan serangkaian perjanjian dengan Singapura, termasuk tiga yang dimaksudkan untuk meningkatkan hubungan keamanan siber dan memerangi ancaman digital.

Pengumuman dari Gedung Putih bertepatan dengan perjalanan Wakil Presiden Kamala Harris ke wilayah tersebut, yang merupakan bagian dari upaya pemerintah untuk melawan pengaruh China yang berkembang di sana. Kesepakatan itu terjadi setelah Harris bertemu dengan Presiden Singapura Halimah Yacob dan Perdana Menteri Lee Hsien Loong.

Badan Keamanan Siber dan Infrastruktur dan Departemen Pertahanan dan Keuangan masing-masing menandatangani nota kesepahaman dengan rekan-rekan mereka di Singapura untuk memperluas berbagi informasi.

Kesepakatan final antara CISA dan Badan Keamanan Siber Singapura “akan meningkatkan pertukaran informasi tentang ancaman siber dan langkah-langkah defensif, meningkatkan koordinasi untuk respons insiden siber, dan memungkinkan pembangunan kapasitas keamanan siber di seluruh Asia Tenggara,” menurut Gedung Putih.

Sementara itu, kesepakatan yang ditandatangani antara Departemen Keuangan dan Otoritas Moneter Singapura “akan membantu kedua sektor keuangan kita lebih siap dan tahan terhadap ancaman dunia maya, sementara juga memfasilitasi berbagi informasi bilateral tentang ancaman dunia maya ke pasar keuangan.”

Hubungan antara Washington dan Beijing telah mengalami penurunan yang stabil selama bertahun-tahun dan semakin memburuk sejak bulan lalu ketika AS dan sekutunya menuduh China melakukan kampanye spionase digital global.

Selengkapnya: The Record

Pelaku Ancaman Nigeria Meminta Karyawan untuk Menyebarkan Ransomware Dan Menawarkan Hadiah Besar

by

Para peneliti telah menemukan aktor ancaman Nigeria yang mencoba mengubah karyawan sebuah organisasi menjadi Insider Threat dengan meminta mereka untuk menyebarkan ransomware untuk mendapatkan potongan dari keuntungan uang tebusan.

Para peneliti di Abnormal Security mengidentifikasi dan memblokir sejumlah email yang dikirim awal bulan ini kepada beberapa pelanggannya yang menawarkan kepada orang-orang $1 juta dalam bentuk bitcoin untuk menginstal ransomware DemonWare. Para calon penyerang mengatakan mereka memiliki hubungan dengan kelompok ransomware DemonWare, juga dikenal sebagai Black Kingdom atau DEMON, kata mereka.

“Dalam kampanye terbaru ini, pengirim memberi tahu karyawan bahwa jika mereka dapat menyebarkan ransomware di komputer perusahaan atau server Windows, maka mereka akan dibayar $1 juta dalam bentuk bitcoin, atau 40% dari uang tebusan yang diperkirakan $2,5 juta,” tulis para peneliti dalam laporan yang diterbitkan Kamis tentang kampanye tersebut. “Karyawan tersebut diberitahu bahwa mereka dapat meluncurkan ransomware secara fisik atau jarak jauh.”

Kampanye dimulai dengan email awal yang meminta bantuan dari seorang karyawan untuk menginstal ransomware sambil menggantungkan tawaran pembayaran jika orang tersebut mengikutinya. Ini juga memberi penerima cara untuk menghubungi pengirim email.

Setelah dihubungi, pelaku ancaman mengirimi peneliti dua tautan untuk file executable yang dapat diunduh di situs berbagi file WeTransfer atau Mega.nz.

Melalui temuan awal dari penelitian yang dilakukan sebelum mereka membuka mata rantai komunikasi, mereka mengatakan bahwa aktor kemungkinan adalah orang Nigeria.

Kampanye ini juga menyoroti bagaimana penyerang memanfaatkan gagasan orang dalam yang tidak puas untuk mencoba membuat mereka melakukan pekerjaan kotor untuk mereka—sebuah konsep yang juga bukan hal baru, tetapi dapat memberikan wawasan penting tentang cara lain ransomware dapat menemukan jalannya ke jaringan organisasi, catat profesional keamanan lainnya.

Selengkapnya: The Threat Post

Virus ‘Joker’ telah kembali ke Android: mengosongkan rekening bank Anda tanpa Anda sadari dan bersembungi di aplikasi ini di Google Play Store

by

Polisi Belgia memperingatkan tentang kembalinya virus ‘Joker’, yang menyerang perangkat Android dan bersembunyi di berbagai aplikasi di Google Play Store. Malware ini mampu membuat pengguna berlangganan layanan pembayaran tanpa seizin mereka dan mengosongkan rekening bank mereka tanpa mereka sadari.

Malware ‘Joker’ menjadi terkenal pada tahun 2017 karena menginfeksi dan merampok korbannya dengan bersembunyi di berbagai aplikasi. Sejak itu, sistem pertahanan Google Play Store telah menghapus sekitar 1.700 aplikasi dengan malware ‘Joker’ sebelum diunduh oleh pengguna.

Virus Trojan ‘Joker’ milik keluarga malware yang dikenal sebagai Bread , yang tujuannya adalah untuk meretas tagihan ponsel dan mengotorisasi operasi tanpa persetujuan pengguna.

Peneliti dari perusahaan cybersecurity Quick Heal Security Lab, yang dikutip dalam pernyataan tersebut, menjelaskan bahwa virus ini dapat memasukkan pesan teks, kontak, dan informasi lain di smartphone yang terinfeksi.

Apa yang membuat malware ini lebih berbahaya adalah kemampuannya untuk melakukan langganan pengguna Android yang terpengaruh ke layanan berbayar, biasanya versi Premium atau yang paling mahal, tanpa izin sebelumnya.

Pada kesempatan ini, aplikasi berbahaya yang dihapus di Google Play Store setelah mendeteksi bahwa mereka mengandung virus ‘Joker’ adalah:

  • Auxiliary Message
  • Element Scanner
  • Fast Magic SMS
  • Free CamScanner
  • Go Messages
  • Super Message
  • Super SMS
  • Travel Wallpapers

Namun, spesialis lain memperingatkan bahwa lebih banyak aplikasi yang terpengaruh dan, oleh karena itu, jutaan pengguna yang tidak tahu bahwa mereka telah menjadi korban penipuan dunia maya ini.

Selengkapnya: Entrepreneur

Bug Windows 11 merusak aplikasi Keamanan Windows, tetapi ada perbaikan

by

Bug yang tampaknya cukup luas menyebabkan Keamanan Windows menampilkan pesan kesalahan “You’ll need a new app to this windowsdefender link” di pratinjau build Windows 11.

Pratinjau awal Windows 11 saat ini tersedia untuk penguji di Program Windows Insider, dan pengguna menghadapi berbagai masalah dan bug dengan OS desktop yang dirancang.

Menurut laporan pengguna, Microsoft baru-baru ini merilis pembaruan yang salah dan tampaknya menyebabkan beberapa masalah serius dengan aplikasi Keamanan Windows yang digunakan untuk mengelola Windows Defender dan fitur keamanan lainnya. Untungnya, ada perbaikan sederhana di sini. Karena “Keamanan Windows” adalah aplikasi sistem, itu dapat diperbaiki menggunakan PowerShell.

Untuk memperbaiki kesalahan “windowsdefender link” di Windows 11, gunakan langkah-langkah ini:

  • Buka Windows PowerShell dari pencarian atau Start Menu dengan hak administrator.
  • Salin dan tempel Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
  • Tutup jendela PowerShell.

Setelah selesai, Anda akan dapat meluncurkan aplikasi Keamanan Windows lagi.

Selengkapnya: Windows Latest

15 Kerentanan Teratas Dieksploitasi Jutaan Kali untuk Meretas Sistem Linux

by

Hampir 14 juta sistem berbasis Linux secara langsung terpapar ke Internet, menjadikannya target yang menguntungkan untuk serangkaian serangan dunia nyata yang dapat mengakibatkan penyebaran web shell berbahaya, penambang koin, ransomware, dan trojan lainnya.

Itu menurut pandangan mendalam pada lanskap ancaman Linux yang diterbitkan oleh perusahaan keamanan siber AS-Jepang Trend Micro, yang merinci ancaman dan kerentanan teratas yang memengaruhi sistem operasi pada paruh pertama tahun 2021, berdasarkan data yang dikumpulkan dari honeypots, sensor, dan telemetri anonim.

Perusahaan, yang mendeteksi hampir 15 juta kejadian malware yang ditujukan untuk lingkungan cloud berbasis Linux, menemukan penambang koin dan ransomware menyumbang 54% dari semua malware, dengan web shell menyumbang 29% pangsa.

Selain itu, dengan membedah lebih dari 50 juta peristiwa yang dilaporkan dari 100.000 host Linux unik selama periode waktu yang sama, para peneliti menemukan 15 kelemahan keamanan berbeda yang diketahui dieksploitasi secara aktif di alam liar atau memiliki bukti konsep (PoC) —

  • CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
  • CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
  • CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
  • CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
  • CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
  • CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
  • CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
  • CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
  • CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
  • CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
  • CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
  • CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
  • CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
  • CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability
Sumber: The Hacker News

Selengkapnya: The Hacker News