Exploit code

Proof of concept exploit telah dirilis oleh peneliti Akamai untuk vulnerable kritis Windows CryptoAPI yang ditemukan oleh NSA dan NCSC Inggris yang memungkinkan spoofing sertifikat tabrakan MD5.

“Kami telah mencari aplikasi di alam liar yang menggunakan CryptoAPI dengan cara yang rentan terhadap serangan spoofing ini. Sejauh ini, kami menemukan bahwa Chrome versi lama (v48 dan sebelumnya) dan aplikasi berbasis Chromium dapat dieksploitasi,” para peneliti dikatakan.

“Kami percaya ada target yang lebih rentan di alam liar dan penelitian kami masih berlangsung. Kami menemukan bahwa kurang dari 1% perangkat yang terlihat di pusat data telah ditambal, membuat sisanya tidak terlindungi dari eksploitasi vulnerable ini.”

Dengan mengeksploitasi vulnerable ini, penyerang dapat memengaruhi validasi kepercayaan untuk koneksi HTTPS dan menandatangani kode, file, atau email yang dapat dieksekusi.

Akibatnya, target tidak akan memiliki indikasi bahwa file tersebut benar-benar berbahaya, mengingat tanda tangan digital tampaknya berasal dari penyedia yang memiliki reputasi dan dapat dipercaya.

NSA melaporkan cacat spoofing Windows CryptoAPI lainnya (CVE-2020-0601) dua tahun lalu, dengan cakupan yang jauh lebih luas dan memengaruhi target yang berpotensi lebih rentan.

Kode eksploitasi PoC untuk vulnerable, yang sekarang dikenal sebagai CurveBall, dirilis dalam waktu 24 jam oleh pakaian keamanan siber Swiss Kudelski Security dan peneliti keamanan Oliver Lyak.

Pada saat itu, CISA memerintahkan badan-badan federal untuk menambal semua titik akhir yang terkena dampak dalam waktu sepuluh hari kerja sesuai Petunjuk Darurat yang kedua kalinya.

sumber : bleepingcomputer

Pada hari kamis lalu (18/06) Pusat Keamanan Siber Australia (ACSC) mengumumkan bahwa Pemerintah Australia saat ini menyadari adanya penargetan berkelanjutan pemerintah dan perusahaan Australia oleh aktor berbasis negara yang canggih. Di dalam pengunguman tersebut ACSC juga mengeluarkan peringatan kepada organisasi-organisasi Australia, agar keduanya menyadari ancaman ini dan mengambil langkah segera untuk meningkatkan pertahanan jaringan mereka.

Peringatan ACSC yang berjudul ‘Copy-paste compromises’ berasal dari aktor yang menggunakan kode eksploit proof-of-concept, web shells, dan alat-alat lain yang disalin hampir identik dari sumber terbuka (open source).

Aktor ini telah diidentifikasi memanfaatkan sejumlah vektor akses awal, dengan yang paling umum adalah eksploitasi infrastruktur public-facing – terutama melalui penggunaan kerentanan eksekusi kode jarak jauh dalam versi Telerik UI yang tidak ditambal (patched).

Aktor ini juga telah menunjukkan kemampuan untuk dengan cepat memanfaatkan kode eksploitasi proof-of-concepts yang telah dipublikasikan untuk menargetkan jaringan yang diminati dan secara teratur melakukan pengintaian terhadap jaringan target untuk mencari layanan yang rentan, berpotensi mempertahankan daftar layanan public-facing agar dapat dengan cepat menargetkan kerentanan baru yang dirilis di masa mendatang.

Ketika eksploitasi infrastruktur public-facing tidak berhasil, ACSC telah mengidentifikasi aktor akan menggunakan berbagai teknik spearphishing. Spearphishing ini berbentuk:
– tautan ke situs web pemanen kredensial
– email dengan tautan ke file jahat, atau dengan file jahat yang langsung dilampirkan
– tautan yang mendorong pengguna untuk memberikan token OAuth Office 365 kepada aktor
– penggunaan layanan pelacakan email untuk mengidentifikasi email yang telah dibuka dan click-through event

Setelah akses awal tercapai, aktor memanfaatkan campuran open source dan alat khusus untuk bertahan, dan berinteraksi dengan, jaringan korban. Meskipun alat ditempatkan di dalam jaringan, aktor tersebut berpindah ke remote access yang sah menggunakan kredensial curian. Agar berhasil menanggapi ancaman terkait, semua akses harus diidentifikasi dan dihapus.

Dalam berinteraksi dengan jaringan korban, aktor diidentifikasi menggunakan situs web resmi Australia yang dikompromikan sebagai server C2 mereka. Terutama, perintah dan kontrol dilakukan menggunakan web shells dan lalu lintas HTTP/HTTPS. Teknik ini membuat pemblokiran geografis tidak efektif dan menambahkan legitimasi ke lalu lintas jaringan yang jahat selama penyelidikan.

Untuk memitigasi ancaman ini, ACSC telah merekomendasikan para IT Administrator di organisasi untuk:
– Melakukan tambalan (patching) dengan cepat untuk seluruh perangkat lunak, sistem operasi, dan perangkat yang menghadap ke internet (internet facing)
– Penggunaan otentikasi multi-faktor di semua layanan akses jarak jauh
– Meninjau dan menerapkan panduan ACSC pada Windows Event Logging and Forwarding dan System Monitoring.

Advisory selengkapnya dapat dibaca pada tautan berikut:
Source: ACSC

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Eksploitasi Dirilis untuk Bug Spoofing Windows CryptoAPI yang Kritis

Kompromi Copy-paste – Taktik, Teknik, dan Prosedur yang Digunakan Untuk Menargetkan Beberapa Jaringan di Australia

Exploit code

Cookies Settings