Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Patch Tuesday Microsoft Desember 2020 memperbaiki 58 kerentanan

by

Microsoft telah menerbitkan 58 perbaikan keamanan di lebih dari 10 produk dan layanan nya, sebagai bagian dari pembaruan keamanan bulanan perusahaan, yang dikenal sebagai Patch Tuesday.

Ada sejumlah kecil perbaikan pada bulan Desember ini dibandingkan dengan 100 lebih perbaikan reguler yang dikirimkan Microsoft setiap bulan, tetapi ini tidak berarti keparahan bugnya kurang dari yang lalu.

Lebih dari sepertiga patch bulan ini (22) diklasifikasikan sebagai kerentanan eksekusi kode jarak jauh (RCE). Ini adalah bug keamanan yang perlu segera diatasi karena lebih mudah dieksploitasi, tanpa interaksi pengguna, baik melalui internet atau dari seluruh jaringan lokal.

Bulan ini, RCE berada dalam produk Microsoft seperti Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio, dan Hyper-V.

Nilai tertinggi dari bug ini, dan yang paling mungkin dieksploitasi, adalah bug RCE yang memengaruhi Server Exchange (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132, dan CVE-2020-17142) dan SharePoint (CVE-2020-17118 dan CVE-2020-17121).

TI Admin dan pengguna Windows disarankan untuk menerapkan pembaruan sesegera mungkin.

Sumber: ZDNet

FireEye mengungkapkan adanya pelanggaran keamanan pada perusahannya

by

FireEye, salah satu perusahaan keamanan terbesar dunia, mengatakan telah diretas dan bahwa “aktor ancaman yang sangat canggih” mengakses jaringan internal dan mencuri alat peretasan yang digunakan FireEye untuk menguji jaringan pelanggannya.

Dalam siaran persnya hari ini, CEO FireEye Kevin Mandia mengatakan pelaku ancaman juga mencari informasi terkait beberapa pelanggan pemerintah perusahaan.

Mandia menggambarkan penyerang sebagai “aktor ancaman yang sangat canggih, yang disiplin, terlatih dalam keamanan operasional, dan tekniknya membuat kami percaya bahwa itu adalah serangan yang disponsori negara.”

“Serangan ini berbeda dari puluhan ribu insiden yang kami tanggapi selama bertahun-tahun,” tambahnya.

FireEye mengatakan penilaiannya telah dikonfirmasi oleh Microsoft, yang dibawa oleh perusahaan untuk membantu menyelidiki pelanggaran tersebut.

Biro Investigasi Federal juga diberi tahu dan saat ini membantu perusahaan FireEye.

Karena FireEye yakin para penyerang mendapatkan alat pengujian penetrasi khusus, perusahaan sekarang membagikan indikator kompromi (IOC) dan countermeasues di akun GitHub-nya. Data dari GitHub akan membantu perusahaan lain mendeteksi jika peretas menggunakan alat curian dari FireEye untuk membobol jaringan mereka.

Sumber: ZDNet

Kerentanan RCE Wormable Zero-Click di Microsoft Teams

by

Bug zero-click remote code execution (RCE) di aplikasi desktop Microsoft Teams dapat memungkinkan seseorang untuk mengeksekusi kode arbitrary hanya dengan mengirim pesan obrolan yang dibuat khusus dan membahayakan sistem target.

Masalah ini dilaporkan ke pembuat Windows oleh Oskars Vegeris, seorang security engineer dari Evolution Gaming, pada 31 Agustus 2020, sebelum ditangani pada akhir Oktober.

“Tidak ada interaksi pengguna yang diperlukan, exploit dijalankan setelah melihat pesan chat,” Vegeris menjelaskan dalam laporan nya.

Hasilnya adalah “hilangnya kerahasiaan dan integritas total bagi pengguna akhir – akses ke obrolan pribadi, file, jaringan internal, kunci pribadi, dan data pribadi di luar MS Teams,” tambah peneliti.

Kabar buruknya lagi, RCE bersifat lintas platform – memengaruhi Microsoft Teams untuk Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764), dan web (teams.microsoft.com) – dan dapat dibuat worm-able, yang berarti dapat disebarkan dengan secara otomatis mengirim ulang muatan berbahaya ke saluran lain.

Sumber: The Hacker News

Ini bukan pertama kalinya kekurangan RCE diamati di Teams dan aplikasi perpesanan yang berfokus pada perusahaan.

Yang paling utama di antaranya adalah kerentanan RCE terpisah di Microsoft Teams (CVE-2020-17091) yang ditambal oleh perusahaan sebagai bagian dari Patch November 2020 pada Selasa bulan lalu.

Sumber: The Hacker News

Grup Skimmer Kartu Pembayaran Menggunakan Raccoon Info-Stealer untuk Menyedot Data

by

Sebuah grup kejahatan siber yang dikenal karena menargetkan situs web e-commerce melepaskan “kampanye jahat multi-tahap” awal tahun ini yang dirancang dengan maksud untuk mendistribusikan info-stealer dan skimmer pembayaran berbasis JavaScript.

Dalam laporan baru yang diterbitkan, perusahaan keamanan siber yang berbasis di Singapura Group-IB mengaitkan operasi tersebut dengan grup yang sama yang telah dikaitkan dengan serangan lain yang ditujukan untuk pedagang online dan menggunakan malware pencuri kata sandi untuk menginfeksi situs web mereka dengan FakeSecurity JavaScript-sniffers (JS-sniffers).

Kampanye ini berkembang dalam empat gelombang, dimulai pada Februari dan berakhir pada September, dengan operator mengandalkan halaman phishing yang dibuat khusus dan dokumen iming-iming yang dilengkapi dengan makro berbahaya untuk mengunduh pencuri informasi Vidar dan Raccoon ke sistem korban.

Tujuan akhir dari serangan itu, catat para peneliti, adalah untuk mencuri pembayaran dan data pengguna melalui beberapa vektor serangan dan alat untuk mengirimkan malware.

Sumber: Group IB

Sementara gelombang pertama kampanye pada bulan Februari dan Maret mengirimkan pencuri kata sandi Vidar untuk mencegat kata sandi dari browser pengguna dan berbagai aplikasi, iterasi berikutnya dialihkan ke Raccoon stealer dan AveMaria RAT untuk memenuhi tujuannya.

Bersama dengan empat tahap yang dijelaskan di atas, Group-IB juga mengamati fase sementara antara Mei hingga September 2020, saat sebanyak 20 toko online terinfeksi dengan JS-sniffer yang dimodifikasi dari keluarga FakeSecurity.

Sumber: The Hacker News

Ransomware Menjadi Bisnis Serius dan Menguntungkan – Semua yang Perlu Kamu Ketahui

by

Apa itu Ransomware?

Penjahat siber menggunakan encrypted ransomware yang menjadi jenis paling umum karena sulit untuk memecahkan enkripsi dan menghapus malware.

Ransomware mengenkripsi file seolah-olah mereka secara aktif dienkripsi, tetapi sebenarnya, mereka disembunyikan dalam file terpisah, yang menunggu serangkaian kondisi yang ditentukan untuk dibuka sebelum mereka didekripsi.

Dalam kasus ransomware, virus dapat mengenkripsi file tanpa sepengetahuan atau persetujuan pengguna.

Kunci enkripsi dibuat secara offline dan disematkan di malware sebelum dikirim untuk menyerang Anda, atau tertanam di malware yang dikirim selama serangan.

Setelah file Anda dienkripsi, virus akan membuat tutorial tentang cara mendapatkan kunci dekripsi yang tersedia untuk Anda jika Anda membayar uang tebusan. Anda akan diperlihatkan tautan untuk mengunduh decoder yang diperlukan.

Jenis-jenis Ransomware

  • Encryption Ransomware
  • Screen-locking Ransomware
  • Master Boot Record (MBR) Ransomware
  • Web Servers Encrypting Ransomware
  • Mobile Ransomware

Timeline Ransomware

Vektor Serangan Ransomware

Ketika perusahaan yang telah diserang oleh ransomware selama bertahun-tahun diperiksa, serangan phishing email, remote desktop protocol (RDP), dan kerentanan keamanan adalah 3 alasan utama.

Aktor ancaman seperti REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP, dan Nefilim telah menggunakan sistem Citrix yang rentan terhadap CVE-2019–19781 sebagai titik masuk untuk serangan ransomware.

Vektor Serangan Lainnya;

  • Penggunaan perangkat media berbahaya
  • Situs web yang disusupi
  • Download file yang terinfeksi
  • Aplikasi seluler berbahaya
  • Aplikasi pesan berbahaya
  • Penggunaan kata sandi yang lemah
  • Kebijakan keamanan yang buruk

Bagaimana Melindungi Diri Anda?

  • Tentukan inventaris aset digital kamu.
  • Sesuaikan pengaturan anti-spam kamu dengan benar dan gunakan filter spam yang kuat.
  • Jangan membuka email yang mencurigakan dan lampirannya.
  • Hindari memberikan informasi pribadi.
  • Gunakan fitur Show File Extensions.
  • Tambal perangkat lunak kamu dan perbarui terus

Dan ingat, jangan pernah membayar tebusan yang diminta oleh pelaku. Perusahaan penegak hukum dan Keamanan TI telah bergabung untuk mengganggu bisnis penjahat siber dengan koneksi ransomware. Dengan tidak membayar tebusan, kamu telah membantu mereka untuk menghentikan adanya serangan ransomware lainnya. Karena sebagian besar pelaku termotivasi secara finansial untuk menyebarkan ransomware dan mendapatkan uang secara mudah dari sana.

Sumber: Medium The Startup

Pengecer nasional Kmart mengalami serangan ransomware

by

Diberitakan oleh BleepingComputer, department store AS Kmart telah mengalami serangan ransomware yang berdampak pada layanan back-end di perusahaan tersebut.

Kmart mengalami serangan siber oleh operasi ransomware Egregor minggu ini yang mengakibatkan perangkat dan server di jaringan mereka terinkripsi.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa domain Windows ‘KMART’ disusupi dalam serangan itu.

Sementara toko online terus beroperasi, ‘Situs Sumber Daya Manusia Transformco,’ 88sears.com, saat ini sedang offline. Karyawan mengatakan bahwa pemadaman ini disebabkan oleh serangan ransomware baru-baru ini.

Egregor dikenal karena mencuri file yang tidak dienkripsi sebelum menyebarkan ransomware mereka. Operasi ransomware kemudian mengancam untuk memposting data di situs kebocoran data ransomware jika uang tebusan tidak dibayarkan.

Tidak diketahui apakah penyerang mencuri data, berapa banyak perangkat yang dienkripsi, atau jumlah tebusan yang diminta oleh kelompok kejahatan siber Egregor.

Sumber: Bleeping Computer

Malware pencuri kartu kredit bersembunyi di ikon berbagi media sosial

by

Malware web skimming yang baru ditemukan mampu bersembunyi di depan mata untuk menyuntikkan skrip skimmer kartu pembayaran ke toko online yang disusupi.

Pembuat malware menggunakan muatan berbahaya yang disembunyikan sebagai tombol media sosial yang meniru platform profil tinggi seperti Facebook, Twitter, dan Instagram.

Skimmer kartu kredit adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber Magecart di halaman pembayaran situs e-commerce yang disusupi.

Setelah dimuat di toko yang ditargetkan, skrip secara otomatis memanen pembayaran dan informasi pribadi yang dikirimkan oleh pelanggan dan mengekstraknya ke server di bawah kendali aktor Magecart.

Malware baru ini ditemukan oleh para peneliti di perusahaan keamanan siber Belanda Sansec yang berfokus pada pertahanan situs web e-commerce dari serangan skimming digital (juga dikenal sebagai Magecart).

Syntax untuk menyembunyikan kode sumber skimmer sebagai tombol media sosial dengan sempurna meniru elemen ‘svg’ yang diberi nama menggunakan nama platform media sosial (misalnya, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full, dan google_full).

Meskipun ini bukan pertama kalinya pelaku ancaman menggunakan skimmer yang disembunyikan dalam gambar yang tampak dengan bantuan steganografi, malware ini adalah yang pertama yang menggunakan “gambar yang benar-benar valid”.

Sumber: Bleeping Computer

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

by

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Sumber: checkpoint

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet