Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Google menghapus dua pemblokir iklan Chrome yang tertangkap sedang mengumpulkan data pengguna

by

Google telah menghapus dua ekstensi pemblokir iklan dari Toko Web Chrome resmi selama akhir pekan setelah keduanya kedapatan mengumpulkan data pengguna minggu lalu.

Kedua ekstensi tersebut diberi nama Nano Adblocker dan Nano Defender, dan masing-masing memiliki lebih dari 50.000 dan 200.000 penginstalan, pada saat keduanya dihapus.

Keduanya telah ada selama lebih dari setahun, tetapi kode berbahaya itu tidak disertakan dengan versi aslinya.

Kode pengumpulan data ditambahkan pada awal bulan ini, pada Oktober 2020, setelah penulis asli menjual dua ekstensi tersebut ke “tim pengembang Turki”.

Setelah analisis lebih lanjut, kode berbahaya ini terungkap untuk mengumpulkan informasi tentang pengguna, seperti:

Alamat IP pengguna
Negara
Detail OS
URL situs web
Time Stamp untuk permintaan web
Metode HTTP (POST, GET, HEAD, dll.)
Ukuran respons HTTP
Kode status HTTP
Waktu yang dihabiskan di setiap halaman web
URL lain yang diklik di halaman web

Setelah dipanggil ke GitHub, kedua pengembang Turki itu membuat halaman kebijakan privasi di mana mereka mencoba untuk mengungkapkan perilaku pengumpulan data dalam upaya yang salah untuk melegitimasi kode berbahaya tersebut. Kedua ekstensi tersebut dihapus selama akhir pekan dan dinonaktifkan di Chrome pengguna browser.

Versi Firefox dari Nano Adblocker dan Nano Defender tidak pernah berisi kode berbahaya, karena mereka bukan bagian dari penjualan dan dikelola oleh pengembang yang berbeda.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Adobe Memperbaiki 16 Bug Eksekusi Kode Kritis di Seluruh Produknya

by

Adobe telah merilis 18 patch keamanan out-of-band dalam 10 paket perangkat lunak yang berbeda, termasuk perbaikan untuk kerentanan kritis yang tersebar di seluruh rangkaian produknya. Adobe Illustrator terpukul paling keras.

Ada 16 bug kritis, yang semuanya memungkinkan eksekusi kode arbitrer dalam konteks pengguna saat ini. Mereka mempengaruhi Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign dan Aplikasi Adobe Creative Cloud Desktop.

Banyak masalah menyangkut elemen jalur pencarian yang tidak terkontrol, tetapi ada juga masalah di luar batas, masalah kerusakan memori, dan bug cross-site scripting (XSS).

Untuk bug penulisan dan pembacaan di luar batas “terjadi karena Illustrator tidak memvalidasi data yang disediakan pengguna dengan benar, yang dapat mengakibatkan penulisan dan pembacaan melewati akhir struktur yang dialokasikan,” kata Dustin Childs, manajer komunikasi untuk Zero Day Initiative dari Trend Micro.

Tambalan out-of-band mengikuti pengungkapan satu kerentanan pada bulan Oktober sebagai bagian dari tambalan terjadwal rutin Adobe (kurang dari 18 kerentanan yang diatasi selama pembaruan reguler bulan September).

Itu adalah bug kritis dalam aplikasi Flash Player untuk pengguna di sistem operasi Windows, macOS, Linux, dan ChromeOS (CVE-2020-9746). Jika berhasil dieksploitasi, itu dapat menyebabkan crash yang dapat dieksploitasi, berpotensi mengakibatkan eksekusi kode arbitrer dalam konteks pengguna saat ini, menurut Adobe.

Pada bulan ini juga, Adobe mengumumkan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart. Mereka dapat mengizinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Bug Pada Browser Seluler Membuat Pengguna Safari dan Opera Dapat Terinfeksi Malware

by

Serangkaian kerentanan spoofing address-bar yang memengaruhi sejumlah browser seluler membuka pintu bagi pengiriman malware, phishing, dan kampanye disinformasi.

Bug tersebut, dilaporkan oleh Rapid7 dan peneliti independen Rafay Baloch, memengaruhi enam browser, mulai dari yang umum (Apple Safari, Opera Touch/Mini, dan Yandex), hingga yang kurang umum (Bolt Browser, RITS Browser, dan UC Browser). Mereka memungkinkan penyerang menampilkan alamat palsu untuk halaman web – yang merupakan masalah di dunia seluler, di mana URL sering kali menjadi satu-satunya verifikasi keabsahan yang dimiliki pengguna sebelum menavigasi ke situs web.

“Browser seluler adalah jenis perangkat lunak yang cukup khusus yang akhirnya bertindak sebagai jalur ganda pengguna untuk semua jenis aplikasi penting dalam kehidupan sehari-hari mereka,” jelas direktur riset Rapid7 Tod Beardsley, dalam sebuah blog pada hari Selasa. Pada dasarnya, jika browser Anda memberi tahu Anda bahwa pemberitahuan pop-up atau halaman ‘dari’ bank Anda, atau beberapa layanan penting lainnya yang Anda andalkan, Anda benar-benar harus memiliki beberapa mekanisme untuk memvalidasi sumber itu. Di browser seluler, sumber itu dimulai dan diakhiri dengan URL seperti yang ditunjukkan di address bar.”

Karena kurangnya real estat untuk indikator keamanan di layar seluler, browser biasanya memblokir pengembang untuk mengubah apa pun di address bar. Apa yang ditampilkan di layar harus sesuai dengan tempat halaman sebenarnya dihosting, sehingga hampir tidak mungkin untuk memalsukan lokasi teks atau gambar secara meyakinkan. Namun, kelompok bug ini memungkinkan penyerang untuk menghindari perlindungan semacam itu.

“Bug ini memungkinkan penyerang untuk mengganggu waktu antara pemuatan halaman dan ketika browser mendapat kesempatan untuk menyegarkan address bar,” kata Baloch, dalam makalah teknis yang juga diposting pada hari Selasa.

“Mereka dapat menyebabkan pop-up tampak berasal dari situs web arbitrer atau dapat membuat konten di jendela browser yang secara keliru tampak berasal dari situs web arbitrer.”

Baloch merilis eksploitasi bukti konsep (PoC) yang mendemonstrasikan kerentanan spoofing berbasis browser di Safari untuk iOS dan Mac (CVE-2020-9987).

Berikut adalah daftar browser yang terpengaruh dan CVE yang ditetapkan:

Sumber: Threat Post

Berita selengkapnya:
Source: The Threat Post

Ryuk Ransomware Menggunakan Bug Zerologon untuk Serangan Secepat Kilat

by

Pelaku ancaman Ryuk telah menyerang lagi, beralih dari mengirim email phishing ke menyelesaikan enkripsi di seluruh jaringan korban hanya dalam lima jam.

Kecepatan sangat tinggi itu sebagian merupakan hasil dari kelompok yang menggunakan bug eskalasi hak istimewa Zerologon (CVE-2020-1472), kurang dari dua jam setelah phish awal, kata para peneliti.

Kerentanan Zerologon memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan ke domain controller untuk sepenuhnya membahayakan semua layanan identitas Active Directory, menurut Microsoft. Itu telah diperbaiki pada bulan Agustus, tetapi banyak organisasi tetap rentan.

Dalam serangan khusus ini, setelah penyerang meningkatkan hak istimewanya menggunakan Zerologon, mereka menggunakan berbagai alat komoditas seperti Cobalt Strike, AdFind, WMI, dan PowerShell untuk mencapai tujuan mereka, menurut analisis dari para peneliti di Laporan DFIR.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cacat Keamanan di Aplikasi Desktop Discord Memungkinkan Peretas Mengambil Alih Sistem

by

Platform perpesanan instan dan VoIP populer, Discord, memiliki kerentanan di aplikasi desktopnya yang terbuka untuk serangan eksekusi kode jarak jauh (RCE). Pertama kali diungkapkan oleh pemburu bug bounty Masato Kinugawa, RCE dapat dieksploitasi untuk mengambil alih komputer korban.

Kinugawa pertama kali mendeteksi kerentanan beberapa bulan lalu dan melaporkannya melalui program bug bounty Discord. Dalam deskripsi detail di blognya, dia mengatakan kerentanan tersebut merupakan kombinasi dari beberapa bug – tidak ada contextIsolation, XSS di sematan iframe, dan bypass pembatasan navigasi.

Penyebab utama bug adalah Electron, kerangka kerja perangkat lunak sumber terbuka yang membantu dalam membuat aplikasi lintas platform menggunakan CSS, JavaScript, dan HTML. Aplikasi perpesanan desktop Discord bukan open source tetapi memiliki kode JavaScript yang digunakan Electron. Kode disimpan secara lokal.

Dia menambahkan bahwa ketika dia mencoba menemukan cara untuk mengeksekusi JavaScript di aplikasi Electron, dia menemukan cacat cross-site scripting (XSS) di iframe. Ini digunakan untuk menyematkan video yang dapat ditampilkan dalam obrolan atau halaman web.

Ketika peneliti memeriksa domain di iframe, dia menemukan Sketchfab yang memungkinkan tampilan konten 3D di halaman web. Meskipun Sketchfab dapat disematkan di iframe, ia menemukan kerentanan XSS berbasis DOM (Document Object Model) di halaman sematan yang dapat disalahgunakan.

Berikut adalah video dimana Masato Kinugawa, dengan menggabungkan tiga bug yang ia temukan, dapat mencapai RCE.

Serangan DDoS Berukuran Tiga Kali Lipat karena Permintaan Tebusan Muncul Kembali

by

Kuartal terakhir tahun 2020 telah terjadi gelombang serangan aplikasi web yang telah menggunakan surat tebusan untuk menargetkan bisnis di sejumlah industri.

Menurut penelitian dari Akamai, serangan terbesar ini mengirimkan lebih dari 200 Gbps traffic ke target mereka sebagai bagian dari kampanye berkelanjutan Bits Per Second (BPS) dan Packets Per Second (PPS) yang lebih tinggi daripada serangan serupa yang ditampilkan beberapa minggu sebelumnya.

“Sebelum Agustus, vektor sinyal telah digunakan terutama untuk menargetkan industri game,” klaim perusahaan. “Mulai bulan Agustus, serangan ini tiba-tiba beralih ke organisasi keuangan.”

Akamai menjelaskan bahwa tidak ada vektor baru yang terlibat dalam rangkaian serangan ini, karena sebagian besar lalu lintas dihasilkan oleh reflektor dan sistem yang digunakan untuk memperkuat lalu lintas.

Namun, beberapa organisasi mulai menerima email yang ditargetkan dengan ancaman serangan DDoS, yang akan diluncurkan kecuali sejumlah uang tebusan telah dibayarkan.

Sementara Akamai mengatakan banyak email pemerasan yang akhirnya tertangkap oleh filter spam, tidak semua target bersedia mengakui bahwa mereka telah menerima email dari para penyerang.

Kampanye ini memuncak pada bulan Agustus dan September, “dan mencapai puncaknya, mungkin saat penyerang yakin bahwa mereka telah dimitigasi dan mulai mengubah taktik mereka.” Ini termasuk langkah untuk menggunakan serangan lapisan tiga dan empat, yang biasanya ditargetkan pada pusat data, situs web, dan API.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Info Security

Ketika ‘pembusukan kode’ menjadi masalah hidup atau mati, terutama pada Internet of Things

by

Kurangnya perhatian yang diberikan pada perangkat lunak yang mengatur hal-hal IoT. Ini bisa menjadi tantangan yang menakutkan, karena, tidak seperti infrastruktur TI terpusat, ada, menurut satu perkiraan, setidaknya 30 miliar perangkat IoT sekarang di dunia, dan setiap detik, 127 perangkat IoT baru terhubung ke internet.

Banyak dari perangkat ini tidak bodoh. Namun yang ingin ditekankan disini adalah banyak perangkat lunak yang perlu untuk dirawat.

Untuk sensor di dalam lemari es atau mesin cuci, ketika ada masalah perangkat lunak berarti ketidaknyamanan. Di dalam mobil atau kendaraan, itu berarti masalah. Untuk perangkat lunak yang menjalankan perangkat medis, ini bisa berarti hidup atau mati.

“Code rot” adalah salah satu sumber masalah potensial untuk perangkat ini. Itu terjadi ketika lingkungan di sekitar perangkat lunak berubah, ketika perangkat lunak menurun, atau karena hutang teknis terakumulasi saat perangkat lunak dimuat dengan peningkatan atau pembaruan.

Itu dapat menghambat bahkan sistem perusahaan yang dirancang dengan sangat baik.

Pembusukan kode bukan satu-satunya masalah yang tersembunyi di perangkat lunak perangkat medis. Sebuah studi baru-baru ini dari Universitas Stanford menemukan data pelatihan yang digunakan untuk algoritme AI di perangkat medis hanya berdasarkan sampel kecil pasien. Sebagian besar algoritme, 71 persen, dilatih pada kumpulan data dari pasien hanya di tiga wilayah geografis – California, Massachusetts, dan New York-” dan bahwa sebagian besar negara bagian sama sekali tidak mewakili pasien.”

Semakin banyak komputasi dan pengembangan perangkat lunak bergerak ke edge. Tantangannya adalah menerapkan prinsip pengembangan cerdas, manajemen siklus hidup perangkat lunak, dan kontrol kualitas yang dipelajari selama bertahun-tahun di pusat data hingga ke edge, dan menerapkan otomatisasi dalam skala yang lebih luas untuk menjaga miliaran perangkat tetap terkini.

Berita selengkapnya dapat di baca pada tautan di bawah ini:
Source: ZDNet

FIN11: Grup peretasan dipromosikan menjadi elit kejahatan siber keuangan

by

Peneliti keamanan telah mengidentifikasi grup kejahatan siber keuangan baru yang sangat aktif.

Cakupan FIN11 sangat luas: targetnya mencakup universitas, lembaga pemerintah, dan organisasi di sektor utilitas, farmasi, serta pengiriman dan logistik, menurut laporan yang diterbitkan oleh perusahaan keamanan siber AS Mandiant.

Sebelumnya, pada 2017 dan 2018, grup fokus pada sektor keuangan, ritel, dan restoran.

Aktivitas yang terkait dengan FIN11 pertama kali terungkap pada tahun 2016, tetapi Mandiant sekarang telah ‘meluluskan’ aktor ancaman ke status ‘FIN’, grup ancaman keuangan pertama yang mendapatkan penunjukan dalam tiga tahun.

Salah satu alasan promosi grup tersebut adalah beralihnya ke pemerasan hibrida, “menggabungkan ransomware dengan pencurian data untuk menekan korbannya agar menyetujui tuntutan pemerasan”, dengan tuntutan tebusan mencapai hingga US $10 juta.

Grup tersebut menggunakan file Microsoft Office yang berbahaya untuk memberikan iming-iming keuangan konvensional termasuk ‘pesanan penjualan’, ‘laporan bank’, dan ‘faktur’, tetapi baru-baru ini mereka menargetkan perusahaan farmasi dengan iming-iming termasuk ‘laporan penelitian’ dan bahkan ‘kecelakaan laboratorium’. Dokumen tersebut mengirimkan pengunduh FRIENDSPEAK, yang pada gilirannya menyebarkan backdoor MIXLABEL.

Elliot Rose, kepala cybersecurity di PA Consulting, mengatakan penunjukan grup FIN baru melanjutkan tren yang sedang berkembang.

Kelompok ancaman FIN berbeda dari kelompok APT sejauh mereka biasanya lebih canggih dan menuntut tanggapan yang berbeda dari tim keamanan.

“Mereka cenderung menargetkan korban mereka melalui analisis media sosial dan spear phishing terkait, yang telah menyebabkan pelanggaran informasi yang serius, dan mereka mendaftar, melalui perusahaan palsu, yang tidak bersalah dalam bentuk pentester dan pengembang, untuk membantu mereka dalam aktivitas kriminal mereka.” jelas Rose.

Ini berarti bahwa “pendidikan karyawan memainkan peran kunci, di samping teknologi, dalam memerangi ancaman. Itu berarti memberi tahu mereka untuk sangat berhati-hati dengan apa yang mereka posting di media sosial atau untuk menghindari mengklik tautan di email atau mengungkapkan informasi kepada siapa pun bahwa mereka tidak sepenuhnya yakin siapa yang mereka katakan. Berpikir sebelum Anda mengeklik adalah pertahanan utama!”

Laporan tersebut dapat diakses melalui layanan intelijen ancaman Mandiant.

Berita selengkapnya:
Source: The Daily Swig