Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Jangan mengabaikan manajemen permukaan serangan

by

Ketika datang untuk mengamankan lingkungan komputasi awan, satu aspek utama sering diabaikan: manajemen permukaan serangan (ASM). Mengapa? Banyak program pelatihan keamanan cloud, termasuk sertifikasi penyedia cloud tertentu, tidak fokus padanya. Sebaliknya, mereka fokus pada alat khusus dan tren yang sedang berkembang, yang hanya merupakan bagian dari keamanan cloud.

Selain itu, dengan kekurangan keterampilan keamanan cloud yang sedang berlangsung, kami tidak lagi pilih-pilih tentang talenta keamanan cloud yang kami ikuti. Penyerang menjadi lebih baik dalam apa yang mereka lakukan dan sekarang dapat mempersenjatai teknologi kecerdasan buatan untuk melawan Anda. Ini bisa berubah menjadi badai sempurna yang mengarah ke putaran pelanggaran lain yang mengenai siklus berita 24 jam dan mengirimkan nilai perusahaan ke tanah.

Singkat cerita, perusahaan harus menyadari pentingnya meminimalkan permukaan serangan mereka—titik rentan yang dapat dieksploitasi penyerang. Mereka melakukan ini dengan menerapkan praktik ASM yang kuat. Dengan sedikit pengetahuan, bisnis dapat memperkuat pertahanan cloud mereka dan melindungi aset berharga mereka dari ancaman yang kita tahu ada di luar sana.

Komputasi awan memperkenalkan tantangan keamanan yang unik karena sifatnya yang terdistribusi dan model tanggung jawab bersama. Permukaan serangan di cloud sangat luas, meliputi berbagai lapisan dan komponen.

Ini tidak hanya mencakup infrastruktur cloud itu sendiri tetapi juga aplikasi, API, jaringan virtual, perangkat Internet of Things, akses seluler, kontrol akses pengguna, dan banyak lagi. Setiap elemen mewakili titik masuk potensial bagi penyerang, menyoroti perlunya pemahaman proaktif atas titik masuk ini dan cara mengurangi risiko sebanyak mungkin.

Selengkapnya: Info World

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

by

Sebuah tambalan tertunda melalui x86/mendesak untuk mengatasi masalah dengan prosesor Intel Alder Lake dan Raptor Lake yang membuat pengembang kernel untuk sementara waktu menonaktifkan Process Context Identifiers (PCID) dengan prosesor seluler/desktop Intel ini.

Sebuah tambalan diatur untuk mainline untuk pengembangan Linux 6.4 dan juga di-porting ke versi kernel yang stabil untuk menghindari flush INVLPG global yang tidak lengkap.

Prosesor yang terpengaruh adalah prosesor Intel Alder Lake dan Raptor Lake. Seperti disebutkan dalam pesan tambalan, Intel dikatakan bekerja pada mitigasi mikrokode untuk masalah ini tetapi untuk saat ini setidaknya kernel Linux diatur untuk menonaktifkan dukungan PCID untuk Alder Lake / Alder Lake L / Alder Lake N / Raptor Lake / Raptor Lake P / Raptor Lake S hingga mitigasi mikrokode dapat ditangani.

INVLPG digunakan untuk membatalkan entri TLB tertentu. Setidaknya Alder Lake dan Raptor Lake tidak membutuhkan Kernel Page Table Isolation (KPTI) untuk memitigasi Meltdown karena prosesor yang lebih baru ini tidak terpengaruh olehnya.

Tetapi untuk prosesor Intel yang lebih lama, dukungan PCID membantu mengimbangi beberapa biaya tambahan dalam menangani Isolasi Tabel Halaman Kernel / mengurangi Meltdown seperti yang ditunjukkan beberapa tahun yang lalu.

Selengkapnya: Phoronix

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

by

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu. Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Selengkapnya: Bleeping Computer

Eksploitasi KeePass membantu mengambil kata sandi master cleartext, segera diperbaiki

by

Pengelola kata sandi KeePass yang populer rentan untuk mengekstraksi kata sandi utama dari memori aplikasi, memungkinkan penyerang yang menyusupi perangkat untuk mengambil kata sandi bahkan dengan basis data terkunci.

Masalah ini ditemukan oleh peneliti keamanan yang dikenal sebagai ‘vdohney,’ yang menerbitkan alat proof-of-concept yang memungkinkan penyerang mengekstrak kata sandi utama KeePass dari memori sebagai proof-of-concept (PoC).

Pengelola kata sandi memungkinkan pengguna membuat kata sandi unik untuk setiap akun online dan menyimpan kredensial dalam database yang mudah dicari, atau gudang kata sandi, sehingga Anda tidak perlu mengingatnya satu per satu.

Namun, untuk mengamankan brankas kata sandi ini dengan benar, pengguna harus mengingat satu kata sandi utama yang digunakan untuk membukanya dan mengakses kredensial yang disimpan.

Kata sandi utama ini mengenkripsi basis data kata sandi KeePass, mencegahnya dibuka atau dibaca tanpa terlebih dahulu memasukkan kata sandi. Namun, setelah kata sandi utama itu disusupi, pelaku ancaman dapat mengakses semua kredensial yang disimpan dalam database.

Oleh karena itu, agar pengelola kata sandi diamankan dengan benar, pengguna harus menjaga kata sandi utama dan tidak membaginya dengan orang lain.

Kerentanan KeePass baru yang dilacak sebagai CVE-2023-3278 memungkinkan untuk memulihkan kata sandi utama KeePass, selain dari satu atau dua karakter pertama, dalam bentuk teks-jelas, terlepas dari apakah ruang kerja KeePass terkunci, atau mungkin, bahkan jika program ditutup.

Kerentanan berdampak pada versi terbaru KeePass, 2.53.1, dan karena program ini bersifat open-source, setiap project fork kemungkinan akan terpengaruh.

Selengkapnya: Bleeping Computer

Domain ZIP baru memicu perdebatan di antara pakar keamanan siber

by

Awal bulan ini, Google memperkenalkan delapan domain tingkat atas (TLD) baru yang dapat dibeli untuk menghosting situs web atau alamat email.

Domain baru adalah .dad, .esq, .prof, .phd, .nexus, .foo, dan untuk topik artikel kami, TLD domain .zip dan .mov.

Meskipun TLD ZIP dan MOV telah tersedia sejak 2014, baru pada bulan ini TLD menjadi tersedia secara umum, memungkinkan siapa saja untuk membeli domain, seperti bleepingcomputer.zip, untuk situs web.

Namun, domain ini dapat dianggap berisiko karena TLD juga merupakan ekstensi file yang biasanya dibagikan di postingan forum, pesan, dan diskusi online, yang sekarang akan secara otomatis diubah menjadi URL oleh beberapa platform atau aplikasi online.

Dua jenis file umum yang terlihat online adalah arsip ZIP dan video MPEG 4, yang nama filenya diakhiri dengan .zip (arsip ZIP) atau .mov (file video).

Oleh karena itu, sangat umum bagi orang untuk memposting instruksi yang berisi nama file dengan ekstensi .zip dan .mov.

Namun, sekarang mereka adalah TLD, beberapa platform perpesanan dan situs media sosial akan secara otomatis mengonversi nama file dengan ekstensi .zip dan .mov menjadi URL.

selengkapnya : bleepingcomputer.com

Mengapa Microsoft baru saja menambal tambalan yang menghancurkan bug Outlook yang sedang diserang

by

Microsoft pada bulan Maret memperbaiki lubang keamanan yang menarik di Outlook yang dieksploitasi oleh penjahat untuk membocorkan kredensial Windows korban. Minggu ini raksasa TI memperbaiki perbaikan itu sebagai bagian dari pembaruan Patch Selasa bulanannya.

Untuk mengingatkan Anda tentang bug asli, dilacak sebagai CVE-2023-23397: Anda dapat mengirim email kepada seseorang yang menyertakan pengingat dengan suara pemberitahuan khusus. Suara khusus itu dapat ditentukan sebagai jalur URL di dalam email.

Jika penjahat dengan hati-hati membuat email dengan jalur suara yang disetel ke server SMB jarak jauh, saat Outlook mengambil dan memproses pesan, dan secara otomatis mengikuti jalur ke server file, itu akan menyerahkan hash Net-NTLMv2 pengguna dalam upaya untuk masuk.

Itu akan secara efektif membocorkan hash ke pihak luar, yang berpotensi menggunakan kredensial untuk mengakses sumber daya lain sebagai pengguna itu, memungkinkan penyusup menjelajahi sistem jaringan internal, mencuri dokumen, menyamar sebagai korban mereka, dan sebagainya.

Tambalan dari beberapa bulan yang lalu membuat Outlook menggunakan fungsi Windows MapUrlToZone untuk memeriksa ke mana arah jalur suara pemberitahuan, dan jika keluar ke internet, itu akan diabaikan dan suara default akan diputar. Itu seharusnya menghentikan klien yang terhubung ke server jarak jauh dan membocorkan hash.

Ternyata perlindungan berbasis MapUrlToZone ini dapat dilewati, mendorong Microsoft untuk meningkatkan perbaikan bulan Maret di bulan Mei. Bug asli sedang dieksploitasi di alam liar, jadi ketika tambalan untuknya mendarat, itu menarik perhatian semua orang. Dan perhatian itu membantu mengungkapkan bahwa perbaikannya tidak lengkap.

Selengkapnya: The Register

NIST Merevisi Pedoman SP 800-171 untuk Melindungi Informasi Sensitif

by

National Institute of Standards and Technology (NIST) telah memperbarui draf panduannya untuk melindungi informasi rahasia yang sensitif, dalam rangka membantu lembaga federal dan kontraktor pemerintah menerapkan persyaratan keamanan siber secara lebih konsisten.

Rancangan pedoman yang telah direvisi, Melindungi Informasi Terkontrol Terkontrol dalam Sistem dan Organisasi Nonfederal (Publikasi Khusus NIST [SP] 800-171 Revisi 3), akan menjadi perhatian khusus bagi ribuan bisnis yang melakukan kontrak dengan pemerintah federal.

Aturan federal yang mengatur perlindungan informasi yang tidak terklasifikasi (CUI), yang mencakup data sensitif seperti informasi kesehatan, informasi infrastruktur energi kritis, dan kekayaan intelektual, mengacu pada persyaratan keamanan SP 800-171.

Perubahan tersebut dimaksudkan sebagian untuk membantu bisnis ini lebih memahami bagaimana menerapkan perlindungan keamanan siber khusus yang disediakan dalam publikasi NIST yang terkait erat, SP 800-53 Rev. 5.

Penulis telah menyelaraskan bahasa kedua publikasi tersebut, sehingga bisnis dapat lebih mudah menerapkan katalog alat teknis, atau kontrol SP 800-53, untuk mencapai hasil keamanan siber SP 800-171.

Menurut NIST, pembaruan ini dirancang untuk membantu mempertahankan pertahanan yang konsisten terhadap ancaman tingkat tinggi terhadap keamanan informasi.

NIST meminta komentar publik tentang draf pedoman paling lambat 14 Juli 2023. Pembaruan penting dalam draf meliputi:
1. Perubahan untuk mencerminkan kontrol keamanan siber negara-praktik;
2. Revisi kriteria yang digunakan oleh NIST untuk mengembangkan persyaratan keamanan;
3. Meningkatkan spesifisitas dan penyelarasan persyaratan keamanan di SP 800-171 Rev. 3 dengan SP 800-53 Rev. 5, untuk membantu implementasi dan penilaian; Dan
4. Sumber daya tambahan untuk membantu pelaksana memahami dan menganalisis pembaruan yang diusulkan.

Selengkapnya: NIST

LockBit Membual: Kami akan Membocorkan Ribuan Blueprint SpaceX yang Dicuri dari Pemasok

by

Geng Ransomware Lockbit telah menyombongkannya masuk ke Industri Maksimum, yang membuat suku cadang untuk SpaceX, dan mencuri 3.000 skema berpemilik yang dikembangkan oleh pembuat roket Elon Musk.

Kru kejahatan siber yang produktif juga mengejek supremo SpaceX dan mengancam akan membocorkan atau menjual blueprint mulai 20 Maret jika tuntutan geng untuk membayar tidak dipenuhi. Ini mungkin tagihan yang tidak dapat dihindari Musk.

Klaim SpaceX mengikuti beberapa lainnya oleh penjahat yang berafiliasi dengan LockBit, yang tidak selalu merupakan kelompok paling jujur ​​tentang apa yang telah mereka curi.

Bulan lalu, kelompok penjahat yang sama mengklaim telah menyusup ke perusahaan teknologi keuangan ION dan mengancam akan menerbitkan data curian pada 4 Februari jika penyedia perangkat lunak tidak membayar.

LockBit mengkonfirmasi jika uang tebusan telah dibayarkan, namun mereka tidak memberikan bukti apa pun dan ION menolak berkomentar.

Royal Mail di Inggris, tersangka korban LockBit lainnya, melanjutkan pengiriman internasional pada bulan Februari setelah mengkonfirmasi “insiden siber” sebulan sebelumnya.

Pada akhirnya, pembuat malware tampak menyerah untuk mendapatkan uang tebusan yang mereka minta dari Royal Mail sebelum menerbitkan beberapa file yang mereka klaim berasal dari jarahan yang dicuri.

Selengkapnya: The Register