Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for eksploitasi

eksploitasi

Kematian Ratu Elizabeth II dieksploitasi untuk mencuri kredensial Microsoft

by

Pelaku ancaman mengeksploitasi kematian Ratu Elizabeth II dalam serangan phishing untuk memikat target mereka ke situs yang mencuri kredensial akun Microsoft mereka.

Selain detail akun Microsoft, penyerang juga berusaha mencuri kode otentikasi multi-faktor (MFA) korban mereka untuk mengambil alih akun mereka.

Dalam kampanye yang ditemukan oleh Proofpoint, aktor phishing menyamar sebagai “tim Microsoft” dan mencoba memancing penerima untuk menambahkan memo mereka ke papan memori online “untuk mengenang Yang Mulia Ratu Elizabeth II.”

Setelah mengklik tombol yang disematkan di dalam email phishing, target malah dikirim ke halaman arahan phishing di mana mereka diminta untuk memasukkan kredensial Microsoft mereka terlebih dahulu.

Contoh email phishing (Proofpoint)

Penyerang menggunakan platform reverse-proxy Phishing-as-a-Service (PaaS) baru yang dikenal sebagai EvilProxy yang dipromosikan di forum clearnet dan dark web hacking, yang memungkinkan aktor ancaman berketerampilan rendah mencuri token otentikasi untuk melewati MFA.

Pusat Keamanan Siber Nasional Inggris memperingatkan pada hari Selasa tentang peningkatan risiko penjahat dunia maya mengeksploitasi kematian Ratu untuk keuntungan mereka sendiri dalam kampanye phishing dan penipuan lainnya.

“Sementara NCSC – yang merupakan bagian dari GCHQ – belum melihat bukti ekstensif tentang hal ini, seperti biasa Anda harus menyadari kemungkinan itu dan memperhatikan email, pesan teks, dan komunikasi lain mengenai kematian Yang Mulia Raja. Ratu dan pengaturan pemakamannya,” kata NCSC.

Meskipun aktivitas berbahaya ini tampaknya terbatas, NCSC telah melihat serangan phishing tersebut dan saat ini sedang menyelidikinya.

Sumber juga mengatakan bahwa NCSC mengetahui pesan phishing di mana penyerang berusaha mengelabui calon korban agar menyerahkan informasi sensitif, termasuk rincian perbankan.

“Tujuannya sering kali membuat Anda mengunjungi situs web, yang mungkin mengunduh virus ke komputer Anda, atau mencuri detail bank atau informasi pribadi lainnya.”

TikTok diretas, lebih dari 2 miliar catatan basis data pengguna dicuri.

by

Peneliti keamanan siber pada hari Senin menemukan potensi pelanggaran data dalam aplikasi video pendek China TikTok, yang diduga melibatkan hingga 2 miliar catatan basis data pengguna.

Beberapa analis keamanan siber men-tweet tentang penemuan “pelanggaran server tidak aman yang memungkinkan akses ke penyimpanan TikTok, yang mereka yakini berisi data pengguna pribadi”.

“Ini adalah peringatan Anda. #TikTok dilaporkan mengalami #pelanggaran #data, dan jika benar, mungkin ada dampak darinya dalam beberapa hari mendatang. Kami sarankan Anda mengubah #kata sandi TikTok Anda dan mengaktifkan Otentikasi Dua Faktor, jika Anda belum melakukannya sudah melakukannya,” cuit BeeHive CyberSecurity.

“Kami telah meninjau sampel data yang diekstraksi. Kepada pelanggan email dan klien pribadi kami, kami telah mengirimkan komunikasi peringatan,” tambahnya.

Troy Hunt, pencipta situs informasi pelanggaran data yang telah dibuat, memposting utas di Twitter untuk memverifikasi apakah data sampel itu asli atau tidak. Baginya, buktinya “sejauh ini tidak meyakinkan”.

BlueHornet|AgaisntTheWest memposting semua detail di forum yang dilanggar.

“Siapa yang mengira @TikTok akan memutuskan untuk menyimpan semua kode sumber backend internal mereka di satu instance Alibaba Cloud menggunakan kata sandi yang tidak berguna?” tweet mereka, memposting tentang betapa mudahnya mereka mengunduh data.

Seorang juru bicara TikTok mengatakan dalam laporan berita bahwa tim keamanan mereka “menyelidiki pernyataan ini dan memutuskan bahwa kode yang dimaksud sama sekali tidak terkait dengan kode sumber backend TikTok”.

Tim Riset Pembela Microsoft 365 baru saja menemukan kerentanan di aplikasi TikTok untuk Android yang memungkinkan peretas mengambil alih video pribadi jutaan pengguna setelah mereka mengklik tautan berbahaya.

Microsoft menemukan kerentanan tingkat tinggi dalam aplikasi TikTok Android, yang memungkinkan penyerang menyusup ke akun pengguna dengan satu klik.

Kerentanan, yang akan membutuhkan beberapa masalah untuk dirantai bersama untuk dieksploitasi, kini telah diperbaiki oleh perusahaan China.

“Penyerang dapat memanfaatkan kerentanan untuk membajak akun tanpa sepengetahuan pengguna jika pengguna yang ditargetkan hanya mengklik tautan yang dibuat khusus,” kata raksasa teknologi itu dalam sebuah pernyataan pekan lalu.

Sumber: Business Standard

Perbaikan backport Apple untuk iOS zero-day yang dieksploitasi secara aktif ke iPhone lama

by

Apple telah merilis pembaruan keamanan baru untuk tambalan backport yang dirilis awal bulan ini untuk iPhone dan iPad lama yang menangani WebKit zero-day yang dapat dieksploitasi dari jarak jauh yang memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang belum ditambal.

Kerentanan zero-day ini sama dengan yang ditambal Apple untuk perangkat macOS Monterey dan iPhone/iPad pada 17 Agustus, dan untuk Safari pada 18 Agustus.

Cacat ini dilacak sebagai CVE-2022-3289 dan merupakan kerentanan penulisan di luar batas di WebKit, mesin browser web yang digunakan oleh Safari dan aplikasi lain untuk mengakses web.

Jika berhasil dieksploitasi, ini memungkinkan penyerang untuk melakukan eksekusi kode arbitrer dari jarak jauh dengan mengelabui target mereka agar mengunjungi situs web jahat yang berada di bawah kendali mereka.

Dalam penasihat keamanan yang diterbitkan hari ini, Apple sekali lagi mengatakan bahwa mereka mengetahui laporan bahwa masalah keamanan ini “mungkin telah dieksploitasi secara aktif.”

Daftar pembaruan keamanan perangkat hari ini berlaku untuk mencakup iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6), semuanya menjalankan iOS 12.5.6.

Meskipun Apple telah mengungkapkan bahwa mereka menerima laporan eksploitasi aktif di alam liar, perusahaan tersebut belum merilis info mengenai serangan ini.

Dengan menahan informasi ini, Apple kemungkinan bertujuan untuk memungkinkan sebanyak mungkin pengguna menerapkan pembaruan keamanan sebelum penyerang lain mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan mereka sendiri yang menargetkan iPhone dan iPad yang rentan.

Meskipun kerentanan zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, masih sangat disarankan untuk menginstal pembaruan keamanan iOS hari ini sesegera mungkin untuk memblokir potensi upaya serangan.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga menambahkan bug keamanan ini ke katalog kerentanan yang dieksploitasi pada 19 Agustus, yang mengharuskan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambalnya untuk melindungi “terhadap ancaman aktif.”

Sumber: Bleeping Computer

Kerentanan TikTok dengan ‘keparahan tinggi’ memungkinkan peretas pembajakan akun

by

Microsoft menemukan dan melaporkan kelemahan parah pada aplikasi TikTok Android pada bulan Februari yang memungkinkan penyerang “dengan cepat dan diam-diam” mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

Mengklik tautan tersebut dapat mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah:

  • mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan)
  • mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

    • Kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft.

    Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

    Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

    Informasi tambahan tentang bagaimana kerentanan ini dapat digunakan dalam serangan untuk pengambilalihan akun dapat ditemukan dalam laporan Microsoft.

    Pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga.

    Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.

    Menurut entri Google Play Store-nya, aplikasi Android TikTok memiliki lebih dari 1 miliar pemasangan. Berdasarkan perkiraan Sensor Tower Store Intelligence, aplikasi seluler telah melampaui 2 miliar pemasangan di semua platform sejak April 2020.

    Sumber : Bleeping Computer

Video musik Janet Jackson menyatakan eksploitasi keamanan siber

by

Video musik untuk hit pop Janet Jackson tahun 1989, Rhythm Nation, telah diakui sebagai eksploitasi untuk kerentanan keamanan siber setelah Microsoft melaporkannya dapat merusak komputer laptop lama.

Kisah tersebut merinci bagaimana “produsen komputer besar menemukan bahwa memutar video musik untuk Rhythm Nation milik Janet Jackson akan merusak model laptop tertentu.”

Penyelidikan lebih lanjut mengungkapkan bahwa beberapa mesin pabrikan juga mogok. Terkadang memutar video di satu laptop akan membuat laptop lain di dekatnya mogok. Ini misterius karena lagunya sebenarnya tidak seburuk itu.

Investigasi mengungkapkan bahwa semua laptop yang mogok berbagi hard disk drive 5400 RPM yang sama.

Pabrikan yang menemukan masalah tampaknya menambahkan filter khusus di saluran audio untuk mendeteksi dan menghapus frekuensi yang mengganggu selama pemutaran audio.

Beberapa mesin modern memiliki hard disk drive, apalagi drive yang berputar dengan kecepatan sangat lambat 5400 putaran per menit. Juga, hampir tidak ada orang yang mendengarkan Janet Jackson lagi.

Register tetap melaporkan berita ini karena The Mitre Corporation telah melihat cocok untuk mendaftarkannya pada daftar Common Vulnerabilities and Exposures (CVEs) – daftar pasti kerentanan keamanan siber yang perlu kita semua waspadai.

Ini terdaftar sebagai CVE-2022-38392 dan telah diakui oleh vendor keamanan Tenable.

Meskipun bug tersebut tampak lucu, serangan saluran samping adalah ancaman nyata. Peneliti Israel Mordechai Guri telah menemukan cara untuk menyerang komputer termasuk dengan membuat memori memancarkan radiasi dalam pita yang sama yang digunakan oleh Wi-Fi dan mengkodekan informasi ke dalam emisi tersebut.

Oleh karena itu, pemilik laptop dengan hard disk lama, lambat, harus sangat berhati-hati jika mereka mendengar lagu Janet Jackson saat bekerja – itulah sebabnya kami tidak menyertakan Rhythm Nation dalam cerita ini.

Sumber: The Register

Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

by

Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

  • merusak perangkat
  • jalankan kode arbitrer
  • membangun Backdoor untuk ketekunan
  • merutekan ulang lalu lintas jaringan
  • mencegat lalu lintas jaringan

Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

Peneliti mengatakan bahwa:

  • Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
  • Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
  • Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
  • Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

Sumber: Bleeping Computer

SmokeLoader Menyebar Secara Aktif dengan Mengeksploitasi Kerentanan Lama

by

Kerentanan yang tidak ditambal selalu menjadi titik manis bagi penjahat dunia maya untuk melancarkan serangan. Salah satu insiden yang menggambarkan keadaan menyedihkan dari sistem yang rentan telah menjadi perhatian akhir-akhir ini.

Para peneliti telah melihat eksploitasi massal dari dua kelemahan—CVE-2017-0199 dan CVE-2017-11882—yang berusia hampir lima tahun. Meskipun tambalan tersedia untuk kedua kekurangan, mereka terus dieksploitasi. Pelaku ancaman memanfaatkan kerentanan ini untuk mendistribusikan malware SmokeLoader.

SmokeLoader, yang tersedia di pasar dalam satu atau lain bentuk sejak 2011, terutama digunakan untuk mendistribusikan keluarga malware lain seperti TrickBot.

Modus operandi

  • Rantai infeksi dimulai dengan email phishing yang mendesak penerima untuk meninjau pesanan pembelian dan memeriksa tanggal yang terkait dengan pengiriman.
  • Email ini berasal dari alamat email web yang dihosting oleh perusahaan telekomunikasi besar di Taiwan dan menyertakan file excel seperti ‘Pesanan Pembelian FG-20220629.xlsx.’
  • File-file ini berisi eksploitasi untuk kerentanan dalam format terenkripsi.
  • Serangan itu juga memanfaatkan file EXE dan DLL untuk mem-bypass sistem keamanan email.

Sementara Fortinet menemukan bahwa sampel terbaru yang dijatuhkan oleh SmokeLoader adalah trojan zgRAT, ada juga laporan yang menjelaskan distribusi malware Amadey.

Menurut peneliti AhnLab, SmokeLoader digunakan dalam kampanye baru-baru ini yang menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Setelah celah perangkat lunak ini dibuka, mereka menyebabkan pengunduhan SmokeLoader yang akhirnya mendistribusikan versi baru malware Amadey.

Sementara CVE-2017-0199 dan CVE-2017-11882 ditemukan pada tahun 2017, mereka masih aktif dieksploitasi di berbagai kampanye lainnya. Ini menunjukkan bahwa pembuat malware mengandalkan kerentanan penuaan yang masih harus ditambal secara efektif di berbagai perangkat lunak. Sementara itu, kemunculan kembali SmokeLoader, menunjukkan bahwa penetes malware ada di sini untuk waktu yang lama.

Sumber: cyware

CISA memperingatkan kelemahan Windows dan UnRAR yang dieksploitasi di alam liar

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan dua kelemahan ke katalog Kerentanan yang Diketahui telah Dieksploitasi, berdasarkan bukti eksploitasi aktif.

Kelemahan tersebut adalah :

Bug Windows DogWalk
Dilacak sebagai CVE-2022-34713, merupakan kelemahan keamanan di MSDT memungkinkan penyerang untuk menempatkan executable berbahaya ke dalam folder Startup Windows.

Masalah ini awalnya dilaporkan ke Microsoft oleh peneliti Imre Rad pada Januari 2020 tetapi laporannya salah diklasifikasikan karena tidak menggambarkan risiko keamanan dan diabaikan begitu saja.

Masalah tersebut kembali menjadi perhatian publik tahun ini oleh peneliti keamanan j00sean, yang merangkum apa yang dapat dicapai penyerang dengan mengeksploitasinya dan memberikan bukti video:


sumber : j00sean twitter

Eksploitasi yang berhasil membutuhkan interaksi pengguna, hambatan yang mudah dilampaui melalui rekayasa sosial, terutama dalam serangan email dan berbasis web, Microsoft mengatakan dalam sebuah nasihat hari ini:

Dalam skenario serangan email, penyerang dapat mengeksploitasi kerentanan dengan mengirimkan file yang dibuat khusus kepada pengguna dan meyakinkan pengguna untuk membuka file tersebut.

Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web (atau memanfaatkan situs web yang disusupi yang menerima atau menghosting konten yang disediakan pengguna) yang berisi file yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan.

Patch tidak resmi ada sejak awal Juni dari layanan micropatch 0patch, untuk sebagian besar versi Windows yang terpengaruh (Windows 7/10/11 dan Server 2008 hingga 2022).

Microsoft membahas CVE-2022-34713 hari ini sebagai bagian dari pembaruan keamanan Agustus 2022 untuk Windows. Perusahaan mencatat bahwa masalah tersebut telah dieksploitasi dalam serangan.

UnRAR bug dieksploitasi
Kerentanan kedua yang ditambahkan ke Katalog Kerentanan Tereksploitasi yang Diketahui CISA dilacak sebagai CVE-2022-30333 dan merupakan bug traversal jalur di utilitas UnRAR untuk sistem Linux dan Unix.

Penyerang dapat memanfaatkannya untuk menanam file berbahaya pada sistem target dengan mengekstraknya ke lokasi yang berubah-ubah selama operasi pembongkaran.

Masalah keamanan diungkapkan oleh perusahaan Swiss SonarSource pada akhir Juni dalam sebuah laporan yang menjelaskan bagaimana hal itu dapat digunakan untuk eksekusi kode jarak jauh untuk mengkompromikan server email Zimbra tanpa otentikasi.

Kode eksploitasi telah ditambahkan ke perangkat lunak pengujian penetrasi Metasploit awal bulan ini.

Sumber: Bleeping Computer