Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Dell

Dell

Peretas Lazarus menyalahgunakan bug driver Dell menggunakan rootkit FudModule baru

by

Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.

Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.

Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.

ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.

Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.

Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.

Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.

Driver dbutil_2_3.sys yang ditandatangani Dell digunakan dalam serangan
Sumber: BleepingComputer

Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.

Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.

ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.

Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.

Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.

Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.

Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.

Sumber:

Bug BIOS Dell Baru Mempengaruhi Jutaan Inspiron, Vostro, XPS, Sistem Alienware

by

Lima kelemahan keamanan baru telah diungkapkan di BIOS Dell yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode pada sistem yang rentan, bergabung dengan kerentanan firmware seperti yang baru-baru ini ditemukan di InsydeH2O Insyde Software dan HP Unified Extensible Firmware Interface (UEFI).

Dilacak sebagai CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, dan CVE-2022-24421, kerentanan tingkat tinggi diberi peringkat 8,2 dari 10 pada sistem penilaian CVSS.

“Eksploitasi aktif dari semua kerentanan yang ditemukan tidak dapat dideteksi oleh sistem pemantauan integritas firmware karena keterbatasan pengukuran Trusted Platform Module (TPM),” perusahaan keamanan firmware Binarly, yang menemukan tiga kelemahan terakhir, mengatakan dalam sebuah tulisan- ke atas.

“Solusi pengesahan kesehatan perangkat jarak jauh tidak akan mendeteksi sistem yang terpengaruh karena keterbatasan desain dalam visibilitas waktu proses firmware.”

Semua kelemahan terkait dengan kerentanan validasi input yang tidak tepat yang memengaruhi Mode Manajemen Sistem (SMM) firmware, yang secara efektif memungkinkan penyerang terotentikasi lokal untuk memanfaatkan interupsi manajemen sistem (SMI) untuk mencapai eksekusi kode arbitrer.

Mode Manajemen Sistem mengacu pada mode CPU tujuan khusus dalam mikrokontroler x86 yang dirancang untuk menangani fungsi di seluruh sistem seperti manajemen daya, kontrol perangkat keras sistem, pemantauan termal, dan kode yang dikembangkan pabrikan lainnya.

Setiap kali salah satu dari operasi ini diminta, non-maskable interrupt (SMI) dipanggil saat runtime, yang mengeksekusi kode SMM yang diinstal oleh BIOS. Mengingat bahwa kode SMM dijalankan pada tingkat hak istimewa tertinggi dan tidak terlihat oleh sistem operasi yang mendasarinya, metode ini membuatnya siap untuk disalahgunakan untuk menyebarkan implan firmware persisten.

Sejumlah produk Dell, termasuk Alienware, Inspiron, Vostro line-up, dan Edge Gateway 3000 Series, terpengaruh, dengan pabrikan PC yang bermarkas di Texas merekomendasikan pelanggan untuk mengupgrade BIOS mereka pada “kesempatan paling awal.”

“Kegagalan ini merupakan konsekuensi langsung dari kompleksitas basis kode atau dukungan untuk komponen lama yang kurang mendapat perhatian keamanan, tetapi masih banyak digunakan di lapangan. Dalam banyak kasus, kerentanan yang sama dapat diperbaiki melalui beberapa iterasi, dan tetap saja, kompleksitas permukaan serangan meninggalkan celah terbuka untuk eksploitasi jahat.”

Sumber : The Hacker News

Dell mengeluarkan patch keamanan untuk ratusan model komputer sejak tahun 2009

by

Dell telah merilis patch keamanan yang memperbaiki kerentanan keamanan yang memengaruhi banyak komputer Dell sejak tahun 2009, bersama dengan instruksi tentang cara menginstalnya jika komputer Anda terpengaruh (via threatpost).

Kerentanan, yang ditemukan oleh firma riset keamanan SentinelLabs, terdapat pada driver yang digunakan oleh Dell dan utilitas pembaruan firmware Alienware, dan memungkinkan penyerang untuk mendapatkan izin tingkat kernel penuh di Windows.

Jika Anda memiliki komputer Dell, ada kemungkinan besar komputer itu rentan – daftar komputer yang terpengaruh di situs web Dell memiliki lebih dari 380 model di dalamnya, termasuk beberapa model XPS 13 dan 15 terbaru, dan G3, G5, dan G7 laptop gaming. Dell juga mencantumkan hampir 200 komputer yang terpengaruh yang dianggap tidak lagi menerima layanan.

Baik Dell dan SentinelLabs mengatakan bahwa mereka belum melihat bukti kerentanan yang dieksploitasi oleh peretas, meskipun faktanya sudah lama ada. FAQ Dell menunjukkan bahwa seseorang harus memiliki akses ke komputer Anda dengan cara tertentu untuk memanfaatkan bug, yang dapat mereka peroleh melalui malware, phishing, atau diberikan hak akses jarak jauh.

Perlu juga dicatat bahwa, menurut Dell, driver yang rentan tidak dimuat sebelumnya di sistem – sebagai gantinya, driver akan diinstal saat pengguna memperbarui firmware komputer mereka.

Namun, meskipun Anda tidak ingat pernah melakukan hal seperti itu, Anda mungkin harus menambahkan membuka utilitas Pembaruan Dell atau Alienware dan menginstal apa pun yang tersedia ke daftar tugas Anda hari ini.

Selengkapnya: The Verge

Dell Merilis Alat Baru Untuk Mendeteksi Serangan Pada BIOS

by

Raksasa manufaktur komputer Dell pada hari Jumat merilis alat keamanan baru untuk mendeteksi serangan yang mencoba untuk memodifikasi komponen BIOS Komputer.

Dinamakan Dell SafeBIOS Events & Indicators of Attack, alat ini bekerja dengan mendeteksi perubahan pada konfigurasi BIOS pada komputer Dell dan meningkatkan peringatan di konsol manajemen perusahaan.

Tujuan alat ini adalah memberi administrator sistem kemampuan untuk mengisolasi workstations yang mungkin telah dikompromikan, untuk disisihkan kemudian diremediasi.

Alat ini tidak dimaksudkan untuk menggantikan kemampuan penuh dari sistem endpoint security (antivirus). Sebaliknya, alat ini dimaksudkan untuk memberikan perlindungan terhadap serangkaian serangan (serangan BIOS) yang sebagian besar produk antivirus tidak dirancang untuk menangani atau mendeteksi serangan ini.

Dell mengatakan alat itu akan diberikan secara gratis kepada semua pelanggan perusahaannya. Alat ini telah tersedia untuk diunduh sebagai bagian dari Dell Trusted Device solution.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Jutaan Sistem Windows Dan Linux Rentan Terhadap Serangan Cyber ‘Tersembunyi’ ini

by

Penelitian baru dari Eclypsium telah mengungkapkan bagaimana firmware yang tidak ditandatangani di kamera laptop, kartu antarmuka jaringan, trackpads, hub USB dan adaptor Wi-Fi membuat jutaan sistem terkena pencurian data dan serangan ransomware. 

 

Firmware yang tidak ditandatangani yang dimaksud ditemukan di periferal yang digunakan di komputer dari Dell, Lenovo dan HP serta produsen besar lainnya, yang membuat pengguna terbuka untuk diserang.

 

Inilah celah keamanan yang ditemukan oleh para peneliti Eclypsium, dan di mana:

  • Lenovo ThinkPad touchpad and trackpad
  • Kamera wide-vision HP di Spectre x360
  • Adaptor nirkabel Dell XPS 15 9560
  • Hub USB Linux dan chipset network interface card Broadcom

 

Klik pada tautan di bawah ini untuk mengetahui celah keamanan tersebut

Source: Forbes