Firmware

Kerentanan firmware UEFI yang memengaruhi Fujitsu, Intel, dan lainnya ditemukan

February 4, 2022 by Winnie the Pooh

Para peneliti telah menemukan 23 “kerentanan berdampak tinggi” yang memengaruhi vendor mana pun yang mengadopsi kode Pengembang BIOS Independen (IBV) ke dalam firmware Unified Extensible Firmware Interface (UEFI) mereka.

Binarly menjelaskan kerentanan dalam posting blog minggu ini, membenarkan bahwa “semua kerentanan ini ditemukan di beberapa ekosistem vendor perusahaan besar” termasuk Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel dan Bull Atos.

CERT/CC mengkonfirmasi bahwa Fujitsu, Insyde, dan Intel terpengaruh tetapi membiarkan yang lain ditandai sebagai “tidak diketahui,” mendesak siapa pun yang terpengaruh untuk memperbarui ke versi firmware stabil terbaru.

Menurut blog, sebagian besar kerentanan yang diungkapkan mengarah pada eksekusi kode dengan hak istimewa SMM dan memiliki peringkat keparahan antara 7,5 – 8,2.

Mereka memuji Fujitsu, Intel, dan lainnya karena merespons dengan cepat dan memecahkan kerentanan. Penyedia UEFI, Insyde Software, mengatakan pihaknya bekerja dengan Binarly untuk mengatasi kerentanan dan telah merilis pembaruan firmware untuk semua masalah yang terdaftar.

Kerentanan dilacak sebagai CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021 -41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522 , CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.

Selengkapnya: ZDNet

Dell mengeluarkan patch keamanan untuk ratusan model komputer sejak tahun 2009

May 5, 2021 by Winnie the Pooh

Dell telah merilis patch keamanan yang memperbaiki kerentanan keamanan yang memengaruhi banyak komputer Dell sejak tahun 2009, bersama dengan instruksi tentang cara menginstalnya jika komputer Anda terpengaruh (via threatpost).

Kerentanan, yang ditemukan oleh firma riset keamanan SentinelLabs, terdapat pada driver yang digunakan oleh Dell dan utilitas pembaruan firmware Alienware, dan memungkinkan penyerang untuk mendapatkan izin tingkat kernel penuh di Windows.

Jika Anda memiliki komputer Dell, ada kemungkinan besar komputer itu rentan – daftar komputer yang terpengaruh di situs web Dell memiliki lebih dari 380 model di dalamnya, termasuk beberapa model XPS 13 dan 15 terbaru, dan G3, G5, dan G7 laptop gaming. Dell juga mencantumkan hampir 200 komputer yang terpengaruh yang dianggap tidak lagi menerima layanan.

Baik Dell dan SentinelLabs mengatakan bahwa mereka belum melihat bukti kerentanan yang dieksploitasi oleh peretas, meskipun faktanya sudah lama ada. FAQ Dell menunjukkan bahwa seseorang harus memiliki akses ke komputer Anda dengan cara tertentu untuk memanfaatkan bug, yang dapat mereka peroleh melalui malware, phishing, atau diberikan hak akses jarak jauh.

Perlu juga dicatat bahwa, menurut Dell, driver yang rentan tidak dimuat sebelumnya di sistem – sebagai gantinya, driver akan diinstal saat pengguna memperbarui firmware komputer mereka.

Namun, meskipun Anda tidak ingat pernah melakukan hal seperti itu, Anda mungkin harus menambahkan membuka utilitas Pembaruan Dell atau Alienware dan menginstal apa pun yang tersedia ke daftar tugas Anda hari ini.

Selengkapnya: The Verge

Haruskah perusahaan lebih khawatir tentang serangan cyber firmware?

April 9, 2021 by Winnie the Pooh

Survei terhadap 1.000 pembuat keputusan keamanan dunia maya di perusahaan di berbagai industri di Inggris, AS, Jerman, Jepang, dan China telah mengungkapkan bahwa 80% perusahaan telah mengalami setidaknya satu serangan firmware dalam dua tahun terakhir.

Namun hanya 29% dari anggaran keamanan yang telah dialokasikan untuk melindungi firmware.

Namun, laporan baru ini muncul setelah kerentanan keamanan signifikan baru-baru ini yang memengaruhi sistem email Exchange Microsoft yang banyak digunakan.

Dan raksasa komputasi itu meluncurkan serangkaian komputer Windows 10 ekstra aman tahun lalu yang dikatakan akan mencegah firmware dirusak.

Jadi, apakah ini hanya upaya untuk mengalihkan perhatian dan menjual lebih banyak PC, atau haruskah bisnis lebih khawatir?

Semakin banyak penjahat dunia maya yang merancang malware yang diam-diam merusak firmware di motherboard, yang memberi tahu PC untuk memulai, atau dengan firmware di driver perangkat keras.

Ini adalah cara licik untuk menerobos dengan rapi sistem operasi komputer atau perangkat lunak apa pun yang dirancang untuk mendeteksi perangkat lunak jahat, karena kode firmware ada di perangkat keras, yang merupakan lapisan di bawah sistem operasi.

Pakar keamanan mengatakan kepada BBC bahwa meskipun departemen TI mengikuti praktik terbaik keamanan dunia maya seperti menambal kerentanan keamanan dalam perangkat lunak, atau melindungi jaringan perusahaan dari gangguan jahat, banyak perusahaan masih melupakan firmware.

“Orang-orang tidak memikirkannya dalam kaitannya dengan tambalan mereka – ini tidak sering diperbarui, dan jika ada, terkadang hal itu merusak sesuatu,” jelas peneliti keamanan siber Australia Robert Potter.

Mr Potter membangun pusat operasi keamanan dunia maya di Washington Post dan telah memberi nasihat kepada pemerintah Australia tentang keamanan dunia maya.

“Penambalan firmware terkadang rumit, jadi bagi banyak perusahaan, ini menjadi titik buta.”

selengkapnya :www.bbc.com

Versi TrickBot baru dapat merusak firmware UEFI / BIOS

December 4, 2020 by Winnie the Pooh

Operator botnet malware TrickBot telah menambahkan kemampuan baru yang memungkinkan mereka berinteraksi dengan firmware BIOS atau UEFI komputer yang terinfeksi.

Kemampuan baru ini terlihat di dalam bagian dari modul TrickBot baru, pertama kali terlihat pada akhir Oktober, perusahaan keamanan Advanced Intelligence dan Eclypsium mengatakan dalam joint report yang diterbitkan pada 3 Desember 2020.

Modul baru ini membuat para peneliti keamanan khawatir karena fitur-fiturnya akan memungkinkan malware TrickBot untuk membangun pijakan yang lebih gigih pada sistem yang terinfeksi, pijakan yang memungkinkan malware bertahan dari penginstalan ulang OS.

Selain itu, AdvIntel dan Eclypsium mengatakan fitur modul baru dapat digunakan lebih dari sekadar persistence yang lebih baik, seperti:

Melakukan bricking perangkat dari jarak jauh pada tingkat firmware melalui koneksi jarak jauh malware yang khas.
Melewati kontrol keamanan seperti BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, kontrol perlindungan endpoint seperti A/V, EDR, dll.
Menyiapkan serangan lanjutan yang menargetkan kerentanan Intel CSME, beberapa di antaranya memerlukan akses flash SPI.
Membalikkan ACM atau pembaruan kode mikro yang menambal kerentanan CPU seperti Spectre, MDS, dll.

Kabar baiknya adalah bahwa “sejauh ini, modul TrickBot hanya memeriksa pengontrol SPI untuk memeriksa apakah perlindungan penulisan BIOS diaktifkan atau tidak, dan belum terlihat memodifikasi firmware itu sendiri,” menurut AdvIntel dan Eclypsium.

Namun, Modul ini juga dapat digunakan dalam serangan ransomware, di mana geng TrickBot sering terlibat dengan menyewakan akses ke jaringan botnya kepada kru ransomware.

Selama beberapa minggu terakhir, operasi TrickBot telah memperlihatkan banyak pembaruan, dari teknik obfuscation baru, infrastruktur perintah dan kontrol baru, dan kampanye spam baru.

Sumber: ZDNet

Peretas dapat menginstal firmware berbahaya pada PC menggunakan bug Intel yang baru saja diperbaiki

November 18, 2020 by Winnie the Pooh

Awal pekan ini, Intel memperbaiki serangkaian bug yang memungkinkan penyerang menginstal firmware berbahaya di jutaan komputer yang menggunakan CPU-nya.

Kerentanan tersebut memungkinkan peretas dengan akses fisik untuk mengganti perlindungan yang dibangun Intel ke dalam CPU modern yang mencegah firmware tidak resmi berjalan selama proses boot. Dikenal sebagai Boot Guard, ukuran ini dirancang untuk menghubungkan rantai kepercayaan langsung ke silikon untuk memastikan bahwa semua firmware yang dimuat ditandatangani secara digital oleh produsen komputer. Boot Guard melindungi dari kemungkinan seseorang merusak chip flash yang tersambung ke SPI yang menyimpan UEFI, yang merupakan bagian rumit dari firmware yang menjembatani firmware perangkat PC dengan sistem operasinya.

Jenis peretasan ini biasanya terjadi ketika penyerang memasang perangkat keras ke bagian dalam komputer dan menggunakan Dediprog atau alat pemrograman chip serupa untuk mengganti firmware resmi dengan firmware berbahaya.

Penyerang yang dapat melewati Boot Guard dapat melakukan sejumlah aktivitas berbahaya. salah satunya mendapatkan kunci yang digunakan untuk mengenkripsi hard drive. Dengan itu, penyerang bisa mendapatkan versi yang didekripsi dari semua data yang disimpan di komputer tanpa memerlukan kata sandi pengguna.

Penyerang juga dapat menginfeksi komputer dengan rootkit, kode berbahaya yang sulit dideteksi — yang akan berjalan dalam mode pengelolaan sistem hingga boot ulang berikutnya. Implan SMM semacam itu adalah jenis yang dilaporkan dimiliki oleh NSA.

Intel tidak mengatakan bagaimana cara memperbaiki kerentanan yang berasal dari pengaturan sekering yang tidak dapat diatur ulang. Hudson mencurigai bahwa Intel melakukan perubahan menggunakan firmware yang berjalan di Intel Management Engine, koprosesor keamanan dan manajemen di dalam chipset CPU yang menangani akses ke sekering OTP.

Source : arstechnica

MosaicRegressor: Rootkit UEFI kedua ditemukan di alam liar

October 6, 2020 by Winnie the Pooh

Rootkit UEFI kedua yang digunakan di alam liar ditemukan oleh peneliti keamanan selama investigasi seputar serangan dari tahun 2019 terhadap dua organisasi non-pemerintah (LSM).

Firmware UEFI (Unified Extensible Firmware Interface) memungkinkan malware yang sangat persisten mengingat bahwa itu diinstal dalam penyimpanan flash SPI yang disolder ke motherboard komputer sehingga tidak mungkin untuk dihilangkan melalui instalasi ulang OS atau penggantian hard drive.

Bootkit UEFI, dijuluki MosaicRegressor oleh peneliti Kaspersky Mark Lechtik dan Igor Kuznetsov yang menemukannya, adalah kerangka kerja malware modular dan multi-stage yang digunakan oleh peretas berbahasa Mandarin dalam operasi pencurian data dan spionase.

Hanya satu contoh lain dari bootkit UEFI yang digunakan di alam liar yang diketahui, yaitu LoJax, rootkit yang ditemukan oleh ESET pada tahun 2018.

LoJax disuntikkan oleh kelompok peretas APT28 berbahasa Rusia dalam perangkat lunak anti-theft LoJack yang sah dalam bentuk modul UEFI yang ditambal.

MosaicRegressor mempunyai beberapa downloader dan, terkadang, beberapa pemuat perantara yang tujuan akhirnya adalah mengunduh dan mengeksekusi muatan berbahaya pada mesin target.

Laporan lengkap Kaspersky (termasuk detail teknis) tentang bootkit MosaicRegressor UEFI multi-stage dan modular dapat ditemukan di sini (PDF).

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Patch Segera ! Router Asus dapat direflash menggunakan Malware

July 25, 2020 by Winnie the Pooh

Jika Anda memiliki router ASUS RT-AC1900P, perangkat high-end dan berbandwidth tinggi maka segera lakukan pembaruan sekarang, Pasalnya para peneliti di Trustwave menemukan celah keamanan di firmware router ini pada akhir tahun 2019, yang tidak ditanggapi penuh oleh ASUS, dan para peneliti sekarang mempublish bagaimana melakukan mitigasi terhadap celah keamanan ini.

Ironisnya, bug yang terkait dengan pembaruan firmware router, sehingga pembaruan ini menambal sistem pembaruan itu sendiri. Trustwave menemukan dua kerentanan, CVE-2020-15498 dan CVE-2020-15499, yang memungkinkan penjahat melakukan serangan ganda :

Pembaruan asli ini tidak akan melakukan pengecekan digital signature selama pengunduhan. Secara teori, penjahat bisa membuat pembaruan palsu dan mengalahkan pembaruan yang asli.
Terdapat catatan rilis dengan JavaScript pada pembaruan yang akan dijalankan browser Anda tanpa peringatan. Secara teori, penjahat bahkan tidak perlu firmware palsu untuk meluncurkan serangan.

Yang Harus Anda Lakukan

Cek dan Update firmware anda, menurut Trustwave, bug ini diperbaiki jika versi software anda 3.0.0.4.385_20253 keatas.

Jika anda seorang programmer IOT :

Jangan menggunakan kriptografi sebagai jalan pintas. Jika HTTPS anda mermasalah, jangan matikan pengecekan Sertifikat

Cek penggunaan kriptografi secara berkala. Gunakan kriptografi yang terbaru, jangan pernah menggunakan kriptografi model lama karena dengan berkembangnya teknologi, hacker dengan mudah meretas itu.

Validasi semua inputmu. Selalu berhati-hati dengan booby-trapped input, Contoh menggunakan string yang terlalu panjang,atau mengandung karakter yuang tidak diperbolehkan. Jangan beri kesempatan pada attacker untuk melakukan Buffer Overflow.

Source : Sophos

Jutaan Sistem Windows Dan Linux Rentan Terhadap Serangan Cyber ‘Tersembunyi’ ini

February 20, 2020 by Winnie the Pooh

Penelitian baru dari Eclypsium telah mengungkapkan bagaimana firmware yang tidak ditandatangani di kamera laptop, kartu antarmuka jaringan, trackpads, hub USB dan adaptor Wi-Fi membuat jutaan sistem terkena pencurian data dan serangan ransomware.

Firmware yang tidak ditandatangani yang dimaksud ditemukan di periferal yang digunakan di komputer dari Dell, Lenovo dan HP serta produsen besar lainnya, yang membuat pengguna terbuka untuk diserang.

Inilah celah keamanan yang ditemukan oleh para peneliti Eclypsium, dan di mana:

Lenovo ThinkPad touchpad and trackpad
Kamera wide-vision HP di Spectre x360
Adaptor nirkabel Dell XPS 15 9560
Hub USB Linux dan chipset network interface card Broadcom

Klik pada tautan di bawah ini untuk mengetahui celah keamanan tersebut

Source: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Firmware

Yang Harus Anda Lakukan

Cookies Settings