RCE

National Guard dipanggil untuk menggagalkan serangan dunia maya di Louisiana beberapa minggu sebelum eleksi.

October 24, 2020 by Winnie the Pooh

Pejabat senior keamanan AS telah memperingatkan di sini setidaknya sejak 2019 bahwa ransomware berisiko bagi pemilu AS, yaitu serangan terhadap kantor pemerintah negara bagian tertentu di sekitar pemilu dapat mengganggu sistem yang diperlukan untuk mengelola aspek pemungutan suara.

Para ahli yang menyelidiki insiden Louisiana menemukan alat yang digunakan oleh peretas yang sebelumnya terkait dengan kelompok yang terkait dengan pemerintah Korea Utara, menurut seseorang yang mengetahui penyelidikan tersebut.

Alat itu digambarkan kepada Reuters sebagai Remote Access Trojan, atau RAT, yang digunakan untuk menyusup ke jaringan komputer. Tetapi analis keamanan siber yang telah memeriksa RAT ini – yang dikenal sebagai “KimJongRat” – mengatakan beberapa kodenya telah dipublikasikan di gudang virus komputer, di mana peretas dapat menyalinnya; membuat atribusi ke Korea Utara kurang pasti.

Satu orang yang mengetahui peristiwa tersebut mengatakan bahwa mereka menilai tujuan peretas adalah menginfeksi komputer dengan ransomware, tetapi menambahkan bahwa sulit untuk menentukannya karena serangan telah dihentikan pada fase awal.

Jika demikian, Louisiana bukan yang pertama. Selama setahun terakhir, beberapa kota AS telah menjadi korban ransomware, termasuk: insiden di Baltimore, Maryland, dan Durham, North Carolina.

Pertanyaan Besar

Jen Miller Osborn, wakil direktur intelijen ancaman untuk perusahaan keamanan siber AS Palo Alto Networks, melacak kelompok peretas tahun lalu yang menggunakan KimJongRat. Dia mengatakan akan menjadi “tidak biasa” bagi grup yang dia pelajari untuk melakukan operasi dunia maya demi keuntungan finansial

Pada 6 Oktober, divisi keamanan siber Departemen Keamanan Dalam Negeri, yang dikenal sebagai CISA, menerbitkan peringatan yang mengatakan bahwa Emotet digunakan untuk menargetkan banyak kantor pemerintah lokal di seluruh negeri.

Dalam kasus baru-baru ini di mana penjahat dunia maya mengejar kantor pemerintah lokal saat pemilihan mendekat, seperti di Washington, pejabat AS bersama dengan perusahaan teknologi seperti Microsoft Corp berlomba untuk lebih memahami jika peretas berbagi koneksi dengan badan intelijen asing dari Rusia, Iran, Cina dan Korea Utara.

“Ini adalah pertanyaan yang sangat menarik dan sesuatu yang kami gali dan coba temukan data, informasi, dan kecerdasan yang akan membantu kami memahami itu dengan lebih baik,” kata Wakil Presiden Microsoft Tom Burt dalam wawancara baru-baru ini.

Source : Reuters

Ancaman Peretasan Jarak Jauh Windows 10 Baru Dikonfirmasi — Perbarui Sekarang

October 21, 2020 by Winnie the Pooh

Departemen Keamanan Dalam Negeri, Keamanan Siber, dan Badan Keamanan Infrastruktur (CISA) A.S. tidak asing lagi merekomendasikan agar pengguna Windows menerapkan pembaruan keamanan sebagai masalah yang mendesak.

Tepat satu bulan yang lalu, pada 18 September, CISA merilis Petunjuk Darurat langka yang memaksa pengguna Windows Server agen federal untuk memperbarui satu pembaruan tersebut dalam waktu tiga hari. Saat ini tidak ada persyaratan untuk dipatuhi, juga tidak ada bukti bahwa celah ini dieksploitasi di alam liar.

Tidak lama setelah peluncuran perbaikan keamanan Patch Tuesday bulanan, yang mencakup 87 kerentanan di mana 11 di antaranya dianggap kritis, Microsoft mengonfirmasi dua pembaruan keamanan out-of-band lainnya pada hari Kamis, 15 Oktober.

Meskipun dinilai “penting” daripada kritis oleh Microsoft, keduanya dapat memungkinkan penyerang untuk mengambil kendali sistem Windows Anda melalui eksploitasi eksekusi kode jarak jauh.

Satu, CVE-2020-17023, adalah kerentanan di editor Kode Visual Studio. Yang lainnya, CVE-2020-17022, menyangkut kerentanan eksekusi kode jarak jauh di Perpustakaan Codec Microsoft Windows, khususnya cara menangani objek di memori.

Perbaikan untuk kerentanan ini tidak datang melalui proses Pembaruan Windows biasa, seperti biasanya. Sebaliknya, itu disajikan secara otomatis oleh Microsoft Store. Dengan asumsi, pengguna memiliki pembaruan aplikasi Microsoft Store yang dikonfigurasi untuk memperbarui secara otomatis. Sangat disarankan untuk memeriksa pengaturan Microsoft Store Anda untuk memastikannya; dengan begitu, Anda akan mendapatkan perlindungan yang Anda butuhkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

CVE-2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability

October 19, 2020 by Winnie the Pooh

Johannes B. Ullrich, Ph.D. , Dekan Riset, SANS Technology Institute, telah membagikan detail mengenai kerentanan CVE-2020-16898.

Satu kerentanan yang mendapat perhatian para “defenders” minggu ini adalah CVE-2020-16898. Kerentanan, yang terkadang disebut “Bad Neighbor”, dapat digunakan untuk mengeksekusi arbitrary code di sistem Windows. Untuk mengeksploitasi kerentanan, penyerang harus mengirim router advertisement ICMPv6 yang dibuat secara khusus.

Apa Itu Router Advertisement?

Beberapa peneliti kadang menyebutnya sebagai “DHCP Lite”. IPv6 tidak terlalu mengandalkan DHCP untuk mengelola alamat IP. Lagi pula, kita mendapatkan banyak IPv6, dan kebutuhan untuk “mendaur ulang” alamat IP cukup banyak. Router akan mengirimkan router advertisement secara berkala atau sebagai tanggapan atas permintaan router yang dikirim oleh host yang baru saja bergabung dengan jaringan. Semua host yang “berbicara” dengan IPv6 akan mendengarkan router advertisement untuk mempelajari konfigurasi jaringan. Bahkan jika Anda menggunakan DHCPv6, Anda masih memerlukan router advertisement untuk mengetahui gateway default.

Satu lagi opsi yang ditambahkan baru-baru ini mencakup daftar server DNS rekursif. Ini “melengkapi” analogi DHCP-Lite dengan menawarkan gateway, alamat IP, dan server DNS. Data yang sama biasanya ditemukan di server DHCP.

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Opsi router advertisement mengikuti format standar “Type/Length/Value”. Mereka mulai dengan satu byte yang menunjukkan type (25 = RDNSS), diikuti dengan byte yang menunjukkan length, dua byte yang telah disisihkan (reserved), dan “masa pakai” 4-byte. Ditambah, tentu saja, alamat IP server DNS.

Seperti tipikal IPv6, panjangnya ditunjukkan dalam kelipatan 8-byte. Jadi panjang “1” menunjukkan bahwa opsi kita adalah 8 byte. Kolom awal (Type, Length, Reserved, Lifetime) sama persis 8 byte panjangnya. Setiap alamat IP panjangnya 16 byte.

Untuk satu alamat IP, panjangnya adalah “3”. Setiap alamat IP menambahkan “2” (2 x 8 Bytes) lainnya. Akibatnya, panjangnya harus selalu ganjil.

Kerentanan dipicu jika panjangnya genap, dan lebih besar dari 3. Misalnya, pertimbangkan paket ini dengan panjang “4”:

Delapan byte terakhir dari alamat IP kedua tidak lagi termasuk dalam panjangnya. Dan di sinilah Windows menjadi bingung. Wireshark juga agak membingungkan:

Wireshark masih menampilkan kedua alamat IP tetapi juga mengenali bahwa ada data di luar panjang opsi.

Seberapa buruk kah ini?

Ini buruk karena ini memungkinkan eksekusi arbitrary code. Tetapi penyerang harus dapat mengirim paket dari jaringan korban. Bahkan host yang terekspos tidak dapat diserang dari “seluruh internet”, hanya di dalam subnet. Penyerang juga harus mengatasi fitur anti-eksploitasi di Windows 10 (pengacakan tata letak alamat dan semacamnya), yang memerlukan kebocoran informasi kedua, kerentanan, dan eksploitasi.

Apa yang dapat dilakukan?

Penambalan mungkin adalah solusi paling sederhana dan paling mudah, yang paling tidak mungkin menyebabkan masalah. Pilihan lain:

Microsoft menawarkan kemampuan untuk mematikan fitur RDNSS sebagai opsi. Ini bisa, tentu saja, kembali menghantui Anda nanti saat Anda mulai menggunakan opsi ini.
Berbagai IDS telah merilis signature untuk mendeteksi serangan tersebut.
Beberapa switch menawarkan fitur “Router Advertising Guard” yang dapat membatasi router advertisement. Mungkin itu akan membantu.

Sumber: SANS ISC InfoSec Forums

Microsoft October 2020 Patch Tuesday memperbaiki 87 kerentanan

October 14, 2020 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan bulanan yang dikenal sebagai Patch Tuesday, dan bulan ini pembuat OS telah menambal 87 kerentanan di berbagai produk Microsoft.

Bug paling berbahaya yang ditambal bulan ini adalah CVE-2020-16898. Digambarkan sebagai kerentanan eksekusi kode jarak jauh (RCE) yaitu kerentanan pada Windows TCP/IP stack, bug ini dapat memungkinkan penyerang untuk mengambil alih sistem Windows dengan mengirimkan paket ICMPv6 Router Advertisement yang berbahaya ke komputer yang belum ditambal melalui koneksi jaringan.

Bug tersebut ditemukan secara internal oleh teknisi Microsoft, dan versi OS yang rentan terhadap CVE-2020-16898 termasuk Windows 10 dan Windows Server 2019.

Peneliti dari McAfee telah merilis detail pada blog mereka yang dapat diakses melalui link ini.

Sangat disarankan untuk menambal bug ini, tetapi solusi seperti menonaktifkan dukungan ICMPv6 RDNSS juga dapat dilakukan, yang memungkinkan administrator sistem menerapkan mitigasi sementara hingga mereka menguji kualitas pembaruan keamanan bulan ini untuk setiap bug yang merusak OS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Bug Instagram membuat pengguna rentan terhadap peretas, klaim perusahaan keamanan siber

September 25, 2020 by Winnie the Pooh

Praktik yang tampaknya ramah dan umum di antara pengguna Instagram telah mengungkapkan kerentanan yang mencolok di aplikasi milik Facebook tersebut, menurut laporan baru dari Check Point Software Technologies (CHKP).

Perusahaan keamanan siber mengatakan bahwa mereka mengungkap kelemahan kritis dalam pemrosesan gambar Instagram: menyimpan satu gambar ke ponsel akan memungkinkan penyerang siber mengakses kontak pengguna, data lokasi, kamera, dan file yang disimpan di perangkat.

Pada bulan Januari, Check Point juga mengungkapkan beberapa kerentanan dalam aplikasi TikTok yang dapat digunakan peretas untuk mendapatkan informasi pribadi rahasia dan memanipulasi data pengguna. Bug tersebut kemudian diperbaiki.

Kepala penelitian siber Check Point, Yaniv Balmas, menggambarkan kerentanan Instagram dengan cara berikut:

Penyerang mengirimkan gambar ke email, pesan teks, atau platform komunikasi lainnya milik korban. Gambar tersebut kemudian disimpan ke perangkat seluler pengguna. Ini dapat dilakukan secara otomatis atau manual tergantung pada metode pengiriman, jenis ponsel, dan konfigurasi. Foto yang dikirim oleh WhatsApp misalnya, disimpan ke telepon secara otomatis secara default. Pengguna kemudian membuka aplikasi Instagram, memicu eksploitasi, memberi penyerang akses penuh untuk eksekusi kendali jarak jauh, atau RCE.

Check Point mengatakan pertama kali bug itu diungkapkan ke Facebook pada 1 Februari, dan pada 10 Februari, Instagram merilis tambalan untuk memperbaiki bug tersebut. Menurut perusahaan tersebut, raksasa media sosial itu mengeluarkan tambalan untuk memperbaiki kerentanan pada versi aplikasi Instagram yang lebih baru.

Pengguna harus memperbarui aplikasi dan sistem operasi di perangkat seluler mereka secara teratur karena patch keamanan kritis dikeluarkan dengan pembaruan ini.

Selain itu, penting untuk lebih memperhatikan jenis izin dan persetujuan yang diizinkan oleh pengguna bagi pengembang aplikasi, daripada hanya mengeklik “izinkan” tanpa membaca petunjuknya.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Yahoo Finance

Microsoft merilis patch keamanan untuk Windows 8.1 dan Windows Server 2012

August 23, 2020 by Winnie the Pooh

Microsoft telah merilis patch keamanan untuk menambal beberapa kerentanan pada Windows 8.1, RT 8.1, and Server 2012,

CVE-2020-1530 | Windows Remote Access Elevation of Privilege Vulnerability
CVE-2020-1537 | Windows Remote Access Elevation of Privilege Vulnerability

Aktor yang memanfaatkan kerentanan tersebut dapat mendapatkan Akses Remote ke sistem.
Anda dapat melihat remediasi dari postingan resmi Microsoft.

Eksploitasi Internet Explorer Dan Zero-day Windows Digunakan Dalam Operasi PowerFall

August 18, 2020 by Winnie the Pooh

Aktor ancaman tingkat lanjut mengeksploitasi salah satu dari dua kerentanan zero-day yang ditambal Microsoft pada hari Selasa dalam serangan yang ditargetkan awal tahun ini.

Aktor tersebut menggunakan dua kelemahan di Windows, keduanya tidak diketahui pada saat serangan, dalam upaya untuk mencapai eksekusi kode jarak jauh dan meningkatkan hak istimewa mereka pada mesin yang dikompromikan.

Upaya jahat itu terjadi pada bulan Mei dan menargetkan perusahaan Korea Selatan. Peneliti dari Kaspersky percaya bahwa ini mungkin operasi DarkHotel, grup peretas yang telah beroperasi selama lebih dari satu dekade.

Dijuluki “Operation PowerFall”, serangan tersebut mengandalkan kerentanan eksekusi kode jarak jauh (RCE) di Internet Explorer 11, sekarang dilacak sebagai CVE-2020-1380, dan celah keamanan di Windows GDI Print / Print Spooler API yang memungkinkan eskalasi hak istimewa, sekarang diidentifikasi sebagai CVE-2020-0986.

Boris Larin dari Kaspersky, yang menemukan dan melaporkan CVE-2020-1380 ke Microsoft pada 8 Juni, telah merilis kode proof-of-concept untuk memicu kerentanan bersamaan dengan penjelasan teknis untuk membantu memahaminya dengan lebih baik.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Celah dari Microsoft Azure mendapat nilai “Perfect 10.0”. “Ini adalah hal buruk bagi Keamanan Cloud”

January 31, 2020 by Winnie the Pooh

“Ini adalah hal buruk bagi keamanan cloud” kata Yaniv Balmas dari Check Point kepada Forbes. Celah dari Microsoft Azure ini mendapat nilai Perfect 10 merujuk pada nilai CVE saat Microsoft mengungkapnya pada Oktober. “CVE mendapat nilai 10, ini berdampak sangat besar bahkan tidak bisa dideskripsikan berapa besar ini”. Alasannya adalah karena Balmas dan timnya menemukan Remote Code Execution exploit pada penyedia layanan cloud besar. Satu user dapat merusak pembatas antar pengguna layanan cloud, mengubah kode, memanipulasi program. Pembatas ini adalah basis dari layanan cloud, yang mengizinkan pengguna berbagi dalam satu hardware yang sama.

Dua celah ini memiliki kode CVE-2019-1372 dan CVE-2019-1234. Celah yang pertama adalah bug dalam software yang bisa di paksa untuk merusak satu sistem dan menggunakan kerusakan tersebut untuk mendapatkan hak akses user. Dan yang kedua adalah kurangnya keamanan dalam layanan bersama yang bisa dimanipulasi untuk merusak bagian dari satu user cloud dan menyebar ke user lain dalam satu hardware yang sama.

Klik link dibawah untuk melihat berita selengkapnya.

Source: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RCE

Apa Itu Router Advertisement?

Bagaimana server DNS rekursif (RDNSS) dikodekan dalam router advertisement?

Seberapa buruk kah ini?

Apa yang dapat dilakukan?

Cookies Settings