Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Keamanan Siber

Keamanan Siber

Ransomware baru sekarang digunakan dalam serangan Log4Shell

by

Kasus publik pertama dari kerentanan Log4j Log4Shell yang digunakan untuk mengunduh dan menginstal ransomware telah ditemukan oleh para peneliti.

Jumat lalu, eksploitasi publik dirilis untuk kerentanan kritis zero-day bernama ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Log4j adalah kerangka kerja pengembangan yang memungkinkan pengembang untuk menambahkan log event dan error ke dalam aplikasi Java mereka.

Kerentanan ini memungkinkan aktor ancaman untuk membuat string JNDI khusus yang, ketika dibaca oleh Log4j, menyebabkan platform terhubung dan mengeksekusi kode di URL yang disertakan. Ini memungkinkan penyerang untuk dengan mudah mendeteksi perangkat yang rentan atau mengeksekusi kode yang disediakan oleh situs jarak jauh atau melalui string yang disandikan Base64.

Meskipun kerentanan ini telah diperbaiki di Log4j 2.15.0 dan bahkan diperketat lebih lanjut di Log4j 2.16.0, kerentanan ini dimanfaatkan secara luas oleh pelaku ancaman untuk menginstal berbagai malware, termasuk penambang koin, botnet, dan bahkan Cobalt Strike.

Kemarin, BitDefender melaporkan bahwa mereka menemukan keluarga ransomware pertama yang diinstal langsung melalui eksploitasi Log4Shell.

Eksploitasi mengunduh Java class dari hxxp://3.145.115[.]94/Main.class yang dimuat dan dijalankan oleh aplikasi Log4j.

Setelah dimuat, itu akan mengunduh binary .NET dari server yang sama untuk menginstal ransomware baru [VirusTotal] bernama ‘Khonsari.’

Dalam serangan selanjutnya, BitDefender memperhatikan bahwa pelaku ancaman ini menggunakan server yang sama untuk mendistribusikan Trojan Orcus Remote Access.

Selengkapnya: Bleeping Computer

Microsoft Desember 2021 Patch Tuesday memperbaiki 6 zero-days, 67 kerentanan

by

Hari ini adalah Patch Tuesday Desember 2021 Microsoft, dan dengan itu datang perbaikan untuk enam kerentanan zero-day dan total 67 kerentanan keamanan. Pembaruan ini mencakup perbaikan untuk kerentanan Installer Windows yang dieksploitasi secara aktif yang digunakan dalam kampanye distribusi malware.

Microsoft telah memperbaiki 55 kerentanan (tidak termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tujuh diklasifikasikan sebagai Kritis dan 60 sebagai Penting.

Jumlah setiap jenis kerentanan tercantum di bawah ini:

  • 21 Elevation of Privilege Vulnerabilities
  • 26 Remote Code Execution Vulnerabilities
  • 10 Information Disclosure Vulnerabilities
  • 3 Denial of Service Vulnerabilities
  • 7 Spoofing Vulnerabilities

Patch Tuesday kali ini juga mencakup perbaikan untuk enam kerentanan zero-day, dengan satu kerentanan Installer Windows AppX yang dieksploitasi secara aktif.

Kerentanan zero-day Installer Windows AppX yang dieksploitasi secara aktif dilacak sebagai CVE-2021-43890 dan digunakan dalam berbagai kampanye distribusi malware, termasuk Emotet, TrickBot, dan BazarLoader.

Kerentanan tersebut dapat dieksploitasi dari jarak jauh oleh aktor ancaman dengan hak pengguna rendah dalam serangan kompleksitas tinggi yang membutuhkan interaksi pengguna.

Untuk memblokir upaya eksploitasi, pengguna Windows harus menginstal Installer Desktop Microsoft yang ditambal untuk platform mereka:

Microsoft juga menyediakan langkah-langkah mitigasi bagi pelanggan yang tidak dapat segera menginstal pembaruan Microsoft Desktop Installer.

Mitigasi yang direkomendasikan termasuk mengaktifkan BlockNonAdminUserInstall untuk mencegah non-admin menginstal paket Aplikasi Windows dan AllowAllTrustedAppToInstall untuk memblokir pemasangan aplikasi dari luar Microsoft Store.

Selengkapnya: Bleeping Computer

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

by

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Malware pencuri informasi TinyNuke kembali menyerang pengguna Prancis

by

Malware pencuri informasi TinyNuke telah muncul kembali dalam kampanye baru yang menargetkan pengguna Prancis dengan umpan bertema faktur dalam email yang dikirim ke alamat perusahaan dan individu yang bekerja di bidang manufaktur, teknologi, konstruksi, dan layanan bisnis.

Tujuan dari kampanye ini adalah untuk mencuri kredensial dan informasi pribadi lainnya dan menginstal muatan tambahan ke sistem yang disusupi.

Menurut peneliti di Proofpoint yang telah mengikuti kampanye ini, kemunculan kembali ini bermanifestasi melalui dua rangkaian aktivitas yang berbeda, dengan infrastruktur C2 terpisah, muatan, dan tema iming-iming.

Ini juga dapat menunjukkan bahwa malware digunakan oleh dua aktor berbeda, satu terkait dengan aktor TinyNuke awal dan satu terkait dengan aktor yang biasanya menggunakan alat komoditas.

Aktor tersebut mengkompromikan situs web Prancis yang sah untuk meng-host URL payload, sementara yang dapat dieksekusi disamarkan sebagai perangkat lunak yang tidak berbahaya.

Dalam hal kemampuan, payload TinyNuke dapat mencuri kredensial dengan kemampuan mengambil formulir dan kemampuan web-inject untuk Firefox, Internet Explorer, dan Chrome, dan juga dapat memasang muatan tambahan.

Sangat penting untuk tetap waspada dan menghindari mengklik tombol tersemat yang mengarah ke situs yang menghosting executable terkompresi berbahaya.

Karena situs-situs ini dinyatakan sah, solusi keamanan Internet Anda mungkin tidak menimbulkan tanda apa pun, jadi disarankan untuk sangat berhati-hati.

Selengkapnya: Bleeping Computer

Kampanye phishing menggunakan macro PowerPoint untuk menjatuhkan Agent Tesla

by

Varian baru dari malware Agent Tesla telah terlihat dalam kampanye phishing yang sedang berlangsung yang mengandalkan dokumen Microsoft PowerPoint yang dicampur dengan kode macro berbahaya.

Agent Tesla adalah pencuri informasi berbasis .Net yang telah beredar di internet selama bertahun-tahun tetapi tetap menjadi ancaman di tangan pelaku phishing.

Dalam kampanye terbaru, peneliti di Fortinet menjelaskan bahwa pelaku ancaman menargetkan pengguna Korea dengan email yang diduga berisi detail “pesanan”.

Karena lampiran adalah file PowerPoint, kemungkinan meyakinkan penerima bahwa mereka perlu “mengaktifkan konten” di Microsoft Office untuk melihatnya dengan benar meningkat.

Agent Tesla memiliki keylogger, cookie browser dan pencuri kredensial yang disimpan, sniffer data Clipboard, dan bahkan alat tangkapan layar.

Penyerang dapat memilih fitur mana yang akan diaktifkan selama kompilasi payload, sehingga memilih antara keseimbangan kekuatan dan siluman.

Secara total, Agent Tesla dapat mengambil data dari lebih dari 70 aplikasi, dengan yang paling populer tercantum di bawah ini.

Chromium-based Web Browsers:

Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc, and Iridium Browser

Web Browsers:

Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN clients:

OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

Dan masih banyak lagi. Lalu bagaimana cara melindungi diri dari Agent Tesla?
Pertahankan perisai keamanan Internet Anda, perbarui perangkat lunak Anda, Nonaktifkan macro Microsoft Office Anda, dan kendalikan rasa ingin tahu Anda.

Selengkapnya: Bleeping Computer

Serangan ransomware Kronos dapat menyebabkan berhentinya solusi HR selama berminggu-minggu

by

Penyedia solusi manajemen tenaga kerja Kronos telah mengalami serangan ransomware yang kemungkinan akan mengganggu banyak solusi berbasis cloud mereka selama berminggu-minggu.

Kronos adalah penyedia manajemen tenaga kerja dan sumber daya manusia yang menyediakan solusi berbasis cloud untuk mengelola ketepatan waktu, penggajian, tunjangan karyawan, analitik, dan banyak lagi. Pada tahun 2020, Kronos bergabung dengan Ultimate Software untuk membuat perusahaan baru bernama UKG.

Hari ini, Kronos mengungkapkan bahwa solusi UKG yang menggunakan ‘Kronos Private Cloud’ (KPC) tidak tersedia karena serangan ransomware pada 11 Desember. Solusi UKG yang tidak menggunakan Kronos Private Cloud tidak terpengaruh, termasuk UKG Pro, UKG Ready, dan UKG Dimensions.

Menurut Kronos, KPC diamankan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi untuk mencegah akses tidak sah ke sistem mereka. Sayangnya, pelaku ancaman dapat menembus sistem ini dan kemungkinan server yang terenkripsi adalah bagian dari serangan.

Karena itu, Kronos mengatakan solusi KPC mereka tidak tersedia dan kemungkinan akan memakan waktu beberapa minggu sebelum sistem tersedia lagi. Selama waktu ini, mereka menyarankan pelanggan “mengevaluasi dan menerapkan protokol kelangsungan bisnis alternatif yang terkait dengan solusi UKG yang terpengaruh.”

Selengkapnya: Bleeping Computer

Penyerang bisa mendapatkan akses root dengan merusak AccountsService Ubuntu

by

Kerentanan keamanan eskalasi hak istimewa lokal dapat memungkinkan penyerang mendapatkan akses root pada sistem Ubuntu dengan mengeksploitasi bug korupsi memori bebas ganda di komponen AccountsService GNOME.

AccountsService adalah layanan D-Bus yang membantu memanipulasi dan menanyakan informasi yang dilampirkan ke akun pengguna yang tersedia di perangkat.

Kerentanan keamanan (bug manajemen memori yang dilacak sebagai CVE-2021-3939) secara tidak sengaja ditemukan oleh peneliti keamanan GitHub Kevin Backhouse saat menguji demo eksploit untuk bug AccountsService lain yang juga memungkinkan untuk meningkatkan hak istimewa untuk melakukan root pada perangkat yang rentan.

Backhouse menemukan bahwa AccountsService salah menangani memori selama beberapa operasi pengaturan bahasa, sebuah kelemahan yang dapat disalahgunakan oleh penyerang lokal untuk meningkatkan hak istimewa.

Bug hanya memengaruhi fork Ubuntu dari AccountsService. Versi yang terpengaruh oleh kerentanan ini termasuk Ubuntu 21.10, Ubuntu 21.04, dan Ubuntu 20.04 LTS.

Cacat eskalasi hak istimewa ini telah diperbaiki oleh Canonical pada bulan November ketika AccountsService versi 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 dirilis. Setelah menerapkan pembaruan, Anda juga perlu me-restart komputer untuk menerapkan perubahan.

Seperti yang dia jelaskan, bukti konsep eksploitasi CVE-2021-3939-nya lambat (bisa beberapa jam) dan tidak akan berfungsi setiap saat. Namun, itu tidak masalah karena dapat dijalankan hingga berhasil, melihat bahwa bug bebas ganda memungkinkan kerusakan AccountsService sebanyak yang diperlukan.

Rincian lebih lanjut tentang bagaimana kerentanan ditemukan dan eksploitasi dikembangkan tersedia di CVE-2021-3939 Backhouse.

Selengkapnya: Bleeping Computer

Bug dalam miliaran WiFi, chip Bluetooth memungkinkan pencurian data dan kata sandi

by

Para peneliti di University of Darmstadt, Brescia, CNIT, dan Secure Mobile Networking Lab, telah menerbitkan makalah yang membuktikan bahwa mengekstrak kata sandi dan memanipulasi lalu lintas pada chip WiFi dengan menargetkan komponen Bluetooth perangkat dapat dilakukan.

Perangkat elektronik konsumen modern seperti smartphone memiliki fitur SoC dengan komponen Bluetooth, WiFi, dan LTE yang terpisah, masing-masing dengan implementasi keamanan tersendiri.

Namun, komponen ini sering berbagi sumber daya yang sama, seperti antena atau spektrum nirkabel.

Berbagi sumber daya ini bertujuan untuk membuat SoC lebih hemat energi dan memberi mereka throughput yang lebih tinggi dan latensi yang rendah dalam komunikasi.

Seperti yang dijelaskan oleh para peneliti dalam makalah yang baru-baru ini diterbitkan, adalah mungkin untuk menggunakan sumber daya bersama ini sebagai jembatan untuk meluncurkan serangan eskalasi hak istimewa lateral melintasi batas-batas chip nirkabel.

Implikasi dari serangan ini termasuk eksekusi kode, pembacaan memori, dan denial of service.

Para peneliti menemukan kerentanan tersebut pada chip yang dibuat oleh Broadcom, Silicon Labs, dan Cypress, yang dapat ditemukan di dalam miliaran perangkat elektronik.

Semua kerentanan telah dilaporkan ke vendor chip, dan beberapa telah merilis pembaruan keamanan.

Namun masih banyak yang belum mengatasi masalah keamanan tersebut, baik karena tidak lagi mendukung produk yang terpengaruh atau karena patch firmware praktis tidak layak.

Sumber: BleepeingComputer

Sementara itu, dan selama masalah terkait perangkat keras ini masih belum diperbaiki, pengguna disarankan untuk mengikuti langkah-langkah perlindungan sederhana ini:

  • Hapus perangkat Bluetooth yang tidak perlu di ponsel Anda
  • Hapus jaringan WiFi yang tidak digunakan dari pengaturan
  • Gunakan data seluler alih-alih WiFi di ruang publik.

Selengkapnya: Bleeping Computer