Cybersecurity

CPU AMD Zen 3 Rentan Terhadap Kerentanan Seperti Spectre

April 5, 2021 by Winnie the Pooh

AMD telah menerbitkan whitepaper tentang potensi kerentanan keamanan yang memengaruhi prosesor Zen 3 terbaru perusahaan. Eksploitasi saluran samping mirip dengan Spectre yang memengaruhi sebagian besar prosesor Intel tiga tahun lalu.

Dengan Zen 3, AMD memperkenalkan teknologi baru yang disebut Predictive Store Forwarding (PSF), yang membantu meningkatkan kinerja eksekusi kode dengan memprediksi hubungan antara beban dan penyimpanan. Dalam sebagian besar kasus, prediksi PSF tepat sasaran. Namun, masih ada kemungkinan kecil bahwa prediksi tersebut mungkin tidak akurat, yang menghasilkan spekulasi CPU yang salah.

Arsitek CPU AMD telah menemukan bahwa spekulasi PSF yang buruk setara dengan Spectre v4. Perangkat lunak yang mengandalkan isolasi atau “sandboxing” sangat berisiko jika menghasilkan spekulasi yang salah. AMD menyediakan dua skenario di mana prediksi PSF yang salah dapat terjadi.

“Pertama, ada kemungkinan bahwa pasangan store/load memiliki ketergantungan untuk sementara tetapi kemudian berhenti memiliki ketergantungan. Ini dapat terjadi jika alamat penyimpanan atau pemuatan berubah selama pelaksanaan program.”

“Sumber kedua dari prediksi PSF yang salah dapat terjadi jika ada alias dalam struktur prediktor PSF. Prediktor PSF dirancang untuk melacak pasangan store/load berdasarkan bagian RIP mereka. Ada kemungkinan bahwa pasangan store/load yang memiliki ketergantungan dapat alias dalam prediktor dengan pasangan store/load lain yang tidak. Hal ini dapat mengakibatkan spekulasi yang salah saat pasangan store/load kedua dijalankan.”

Selengkapnya: Tom’s Hardware

CISO baru harus lebih fokus pada orang dan lebih sedikit pada teknologi, menurut laporan

April 4, 2021 by Winnie the Pooh

Menurut sebuah laporan baru dari Forrester yang mengacu pada wawancara dengan lusinan eksekutif keamanan, beberapa bulan pertama CISO di tempat kerja adalah ujian ketajaman politik dan keterampilan membangun hubungan mereka sama seperti tentang rencana keterampilan teknis atau transformasi digital.

Dua tema utama muncul dari penelitian dan wawancara yang dilakukan dengan CISO. Yang pertama adalah bahwa mengembangkan hubungan manusia lebih penting untuk keberhasilan awal CISO daripada penguasaan detail teknis. Kedua: meskipun secara virtual tidak mungkin untuk memperbaiki atau mengatasi tantangan keamanan utama perusahaan dalam 100 hari pertama, sangatlah mungkin untuk mengasingkan unit bisnis lain dan merusak merek tim keamanan Anda secara tidak dapat diperbaiki di mata rekan dan kolega.

Eksekutif keamanan baru harus tetap memiliki rencana terperinci tentang cara menangani beberapa bulan pertama mereka, tetapi juga fleksibel dan mudah beradaptasi, karena kemungkinan besar perlu diperbarui saat informasi baru masuk. Selain memetakan keamanan teratas masalah, rencana ini juga harus mempertimbangkan pertanyaan seperti mengapa perusahaan membutuhkan CISO baru di tempat pertama (Apakah pendahulu dipecat atau apakah perusahaan bahkan memilikinya?), apakah mereka baru-baru ini mengalami pelanggaran data yang serius dan bagaimana masalah keamanan dikomunikasikan ke atas dan ke bawah rantai komando.

Jeff Pollard, wakil presiden, analis utama dan penulis utama laporan Forrester, mengatakan kepada SC Media bahwa CISO berkali-kali menyebut kemampuan untuk membina hubungan positif sebagai kualitas paling penting untuk dimiliki di awal pekerjaan.

selengkapnya : www.scmagazine.com

Google: Peretas Korea Utara menargetkan peneliti keamanan lagi

April 1, 2021 by Winnie the Pooh

Grup Threat Analysis (TAG) Google mengatakan bahwa peretas yang disponsori pemerintah Korea Utara sekali lagi menargetkan peneliti keamanan menggunakan akun Twitter dan media sosial LinkedIn palsu.

Para peretas juga membuat situs web untuk perusahaan palsu bernama SecuriElite (berlokasi di Turki) dan diduga menawarkan layanan keamanan ofensif ketika tim keamanan Google fokus memburu peretas yang didukung negara yang ditemukan pada 17 Maret.

Semua akun LinkedIn dan Twitter yang dibuat oleh peretas Korea Utara dan terkait dengan kampanye baru ini dilaporkan oleh Google dan sekarang dinonaktifkan.

Sama seperti serangan yang terdeteksi selama Januari 2021, situs ini juga menghosting public key PGP penyerang, yang digunakan sebagai umpan untuk menginfeksi peneliti keamanan dengan malware setelah memicu eksploitasi browser saat membuka halaman.

Namun, serangan tersebut terlihat pada fase awal karena situs SecuriElite belum disiapkan untuk mengirimkan muatan berbahaya apa pun.

“Saat ini, kami belum mengamati situs web penyerang baru yang menyajikan konten berbahaya, tetapi kami telah menambahkannya ke Penjelajahan Aman Google sebagai tindakan pencegahan,” kata Adam Weidemann dari Grup Threat Analysis.

“Berdasarkan aktivitas mereka, kami terus percaya bahwa aktor ini berbahaya, dan kemungkinan memiliki lebih banyak zero day.

“Kami mendorong siapa pun yang menemukan kerentanan Chrome untuk melaporkan aktivitas tersebut melalui proses pengiriman Chrome Vulnerabilities Rewards Program.”

Selengkapnya: Bleeping Computer

Malware BazarCall menggunakan call center berbahaya untuk menginfeksi korban

April 1, 2021 by Winnie the Pooh

Selama dua bulan terakhir, peneliti keamanan telah melakukan pertempuran online melawan malware ‘BazarCall’ baru yang menggunakan pusat panggilan (call center) untuk mendistribusikan beberapa malware Windows yang paling merusak.

Malware baru ditemukan sedang didistribusikan oleh pusat panggilan pada akhir Januari dan diberi nama BazarCall, atau BazaCall, karena pelaku ancaman awalnya menggunakannya untuk menginstal malware BazarLoader.

Seperti banyak kampanye malware lainnya, BazarCall dimulai dengan email phishing tetapi dari sana menyimpang ke metode distribusi baru – menggunakan pusat panggilan telepon untuk mendistribusikan dokumen Excel berbahaya yang menginstal malware.

Alih-alih mengirimkan lampiran dengan email, email BazarCall meminta pengguna untuk menghubungi nomor telepon untuk membatalkan langganan sebelum mereka ditagih secara otomatis. Pusat panggilan ini kemudian akan mengarahkan pengguna ke situs web yang dibuat khusus untuk mengunduh “formulir pembatalan” yang menginstal malware BazarCall.

Sementara sebagian besar email yang dilihat oleh BleepingComputer berasal dari perusahaan fiktif bernama “Medical reminder service, Inc.”, email tersebut juga menggunakan nama perusahaan palsu lainnya seperti ‘iMed Service, Inc.’, ‘Blue Cart Service, Inc . ‘, dan ‘iMers, Inc. ‘

Semua email ini menggunakan subjek yang mirip seperti “Terima kasih telah menggunakan uji coba gratis Anda” atau “Masa uji coba gratis Anda hampir berakhir!” Peneliti keamanan ExecuteMalware telah mengumpulkan daftar subjek email yang lebih luas yang digunakan oleh serangan ini.

Selengkapnya: Bleeping Computer

Malware tersembunyi di cheat dan mod game yang digunakan untuk menargetkan gamer

April 1, 2021 by Winnie the Pooh

Pelaku ancaman menargetkan pemain game dengan tweak, patch, dan cheat game backdoor yang menyembunyikan malware yang mampu mencuri informasi dari sistem yang terinfeksi.

Para penyerang kebanyakan menggunakan saluran media sosial dan video petunjuk YouTube untuk mengiklankan alat permainan terkait modding yang mengandung malware.

Peneliti Cisco Talos yang melihat beberapa kampanye menggunakan taktik ini mengatakan bahwa mereka “telah melihat beberapa alat kecil yang tampak seperti patch game, tweak, atau alat modding” ditanami dengan malware yang dikaburkan.

Salah satu jenis malware yang disebarkan pada komputer gamer yang terinfeksi adalah XtremeRAT (alias ExtRat), trojan akses jarak jauh (RAT) yang tersedia secara komersial yang digunakan dalam serangan yang ditargetkan dan kejahatan siber tradisional sejak setidaknya tahun 2010.

XtremeRAT memungkinkan operatornya untuk mengekstrak dokumen dari sistem yang dikompromikan, mencatat penekanan tombol, menangkap tangkapan layar, merekam audio menggunakan kamera web atau mikrofon, berinteraksi langsung dengan korban melalui remote shells, dan banyak lagi.

Game cheats adalah sumber infeksi malware yang diketahui dan telah digunakan untuk menginfeksi pemain dengan trojan akses jarak jauh, penambang cryptocurrency, dan jenis malware lainnya.

Tetapi para gamer juga menjadi sasaran serangan lain yang lebih kompleks. Misalnya, bulan lalu, para peneliti ESET menemukan bahwa aktor ancaman yang tidak dikenal membahayakan mekanisme pembaruan emulator Android untuk Windows dan macOS untuk menginfeksi gamer dengan malware.

Selengkapnya: Bleeping Computer

File jQuery palsu menginfeksi situs WordPress dengan malware

April 1, 2021 by Winnie the Pooh

Peneliti keamanan telah menemukan versi palsu dari plugin jQuery Migrate yang disuntikkan ke lusinan situs web yang berisi kode yang dikaburkan (obfuscated) untuk memuat malware.

File-file ini diberi nama jquery-migrate.js dan jquery-migrate.min.js dan ada di lokasi yang tepat di mana file JavaScript biasanya ada di situs WordPress tetapi sebenarnya berbahaya.

Saat ini, lebih dari 7,2 juta situs web menggunakan plugin jQuery Migrate, yang menjelaskan mengapa penyerang menyamarkan malware mereka dengan nama plugin populer ini.

Peneliti keamanan Denis Sinegubko dan Adrian Stoian melihat file jQuery palsu yang meniru plugin jQuery Migrate di puluhan situs web minggu ini.

Meskipun skala penuh serangan ini belum ditentukan, Sinegubko membagikan kueri penelusuran yang menunjukkan lebih dari tiga lusin halaman yang saat ini terinfeksi skrip analitik berbahaya.

Bertentangan dengan namanya, bagaimanapun, file analitik tidak ada hubungannya dengan pengumpulan metrik situs web:

BleepingComputer menganalisis beberapa kode yang dikaburkan yang ada di file.

Kode tersebut memiliki referensi ke “/wp-admin/user-new.php” yang merupakan halaman administrasi WordPress untuk membuat pengguna baru. Selain itu, kode mengakses variabel _wpnonce_create-user yang digunakan WordPress untuk menerapkan perlindungan Cross-Site Request Forgery (CSRF).

Secara umum, dapat memperoleh atau menyetel token CSRF akan memberi penyerang kemampuan untuk membuat permintaan palsu atas nama pengguna.

Menyuntikkan skrip seperti ini di situs WordPress memungkinkan penyerang melakukan berbagai aktivitas berbahaya termasuk apa pun dari penipuan Magecart untuk skimming kartu kredit hingga mengarahkan pengguna ke situs scam.

Namun, dalam kasus ini, fungsi checkme() mencoba mengalihkan jendela browser pengguna ke URL berbahaya yang diidentifikasi oleh BleepingComputer.

Selengkapnya: Bleeping Computer

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

April 1, 2021 by Winnie the Pooh

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Whistleblower mengklaim pelanggaran data Ubiquiti Networks merupakan ‘bencana besar’

April 1, 2021 by Winnie the Pooh

Seorang whistleblower yang terlibat dalam menanggapi pelanggaran data yang diderita oleh Ubiquiti Networks mengklaim bahwa insiden tersebut diremehkan dan dapat digambarkan sebagai “bencana besar”.

Pada 11 Januari, penyedia peralatan jaringan dan perangkat Internet of Things (IoT) mulai mengirimkan email kepada pelanggan yang memberi tahu mereka tentang pelanggaran keamanan baru-baru ini.

Pada saat itu, vendor mengatakan informasi termasuk nama, alamat email, dan kredensial kata sandi salted/hash mungkin telah disusupi, bersama dengan alamat rumah dan nomor telepon jika pelanggan memasukkan data ini dalam portal ui.com.

Ubiquiti tidak mengungkapkan berapa banyak pelanggan yang mungkin terlibat.

Pelanggan diminta untuk mengubah kata sandi mereka dan mengaktifkan otentikasi dua faktor (2FA).

Namun, beberapa bulan kemudian, seorang sumber yang “berpartisipasi” dalam menanggapi pelanggaran keamanan tersebut mengatakan kepada pakar keamanan Brian Krebs bahwa insiden itu jauh lebih buruk daripada yang terlihat dan dapat digambarkan sebagai “bencana besar”.

Berbicara kepada KrebsOnSecurity setelah menyampaikan kekhawatirannya melalui jalur whistleblower Ubiquiti dan otoritas perlindungan data Eropa, sumber tersebut mengklaim bahwa penjelasan penyedia cloud pihak ketiga adalah “fabrikasi” dan pelanggaran data “diremehkan secara besar-besaran” dalam upaya untuk melindungi nilai saham perusahaan itu.

Menurut dugaan responden, penjahat siber memperoleh akses administratif ke database AWS Ubiquiti melalui kredensial yang disimpan dan dicuri dari akun LastPass karyawan, yang memungkinkan mereka untuk mendapatkan akses admin root ke akun AWS, S3 buckets, log aplikasi, rahasia untuk cookie SSO, dan semua database, termasuk yang berisi kredensial pengguna.

Sumber itu juga mengatakan kepada Krebs bahwa pada akhir Desember, staf TI Ubiquiti menemukan backdoor yang ditanam oleh pelaku ancaman, yang telah dihapus pada minggu pertama Januari. Backdoor kedua juga diduga ditemukan, yang menyebabkan kredensial karyawan dirotasi sebelum publik mengetahui pelanggaran tersebut.

Para penyerang siber menghubungi Ubiquiti dan berusaha memeras 50 Bitcoin (BTC) – kira-kira $ 3 juta – dengan imbalan mereka akan diam. Namun, vendor tidak melakukan pendekatan dengan mereka.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings