Vulnerability

Microsoft menemukan kerentanan macOS baru “Shrootless” yang dapat melewati System Integrity Protection

October 30, 2021 by Søren

Microsoft telah menemukan kerentanan yang memungkinkan penyerang melewati System Integrity Protection (SIP) di macOS dan melakukan operasi sewenang-wenang pada perangkat.

Peneliti juga menemukan teknik serupa yang memungkinkan penyerang meningkatkan hak istimewa mereka untuk melakukan root pada perangkat yang terpengaruh. Peneliti membagikan temuan ini kepada Apple melalui Coordinated Vulnerability Disclosure (CVD) melalui Microsoft Security Vulnerability Research (MSVR).

Perbaikan untuk kerentanan ini, yang sekarang diidentifikasi sebagai CVE-2021-30892, disertakan dalam pembaruan keamanan yang dirilis oleh Apple pada 26 Oktober 2021.

SIP adalah teknologi keamanan di macOS yang membatasi pengguna root untuk melakukan operasi yang dapat membahayakan integritas sistem.

Peneliti menemukan kerentanan saat menilai proses yang berhak melewati perlindungan SIP. Peneliti menemukan bahwa kerentanannya terletak pada bagaimana paket yang ditandatangani Apple dengan skrip pasca-instal diinstal.

Aktor jahat dapat membuat file yang dibuat khusus yang akan membajak proses instalasi. Setelah melewati batasan SIP, penyerang kemudian dapat menginstal driver kernel berbahaya (rootkit), menimpa file sistem, atau menginstal malware yang persisten dan tidak terdeteksi, dan lain sebagainya.

Selengkapnya: Microsoft

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

October 22, 2021 by Winnie the Pooh

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Microsoft meminta admin untuk menambal PowerShell untuk memperbaiki bypass WDAC

October 20, 2021 by Winnie the Pooh Leave a Comment

Microsoft telah meminta administrator sistem untuk menambal PowerShell 7 terhadap dua kerentanan yang memungkinkan penyerang untuk melewati penegakan Windows Defender Application Control (WDAC) dan mendapatkan akses ke kredensial plain text.

PowerShell adalah solusi lintas platform yang menyediakan shell baris perintah, kerangka kerja, dan bahasa skrip yang berfokus pada otomatisasi untuk memproses cmdlet PowerShell.

Microsoft merilis PowerShell 7.0.8 dan PowerShell 7.1.5 untuk mengatasi kerentanan keamanan ini di cabang PowerShell 7 dan PowerShell 7.1 pada bulan September dan Oktober.

WDAC dirancang untuk melindungi perangkat Windows dari perangkat lunak yang berpotensi berbahaya dengan memastikan bahwa hanya aplikasi dan driver tepercaya yang dapat berjalan, sehingga memblokir peluncuran malware dan perangkat lunak yang tidak diinginkan.

Saat lapisan keamanan WDAC berbasis perangkat lunak diaktifkan di Windows, PowerShell secara otomatis masuk ke mode bahasa terbatas, membatasi akses hanya ke serangkaian API Windows yang terbatas.

Dengan memanfaatkan fitur keamanan Windows Defender Application Control melewati kerentanan yang dilacak sebagai CVE-2020-0951, pelaku ancaman dapat menghindari daftar yang diizinkan WDAC, yang memungkinkan mereka menjalankan perintah PowerShell yang seharusnya diblokir saat WDAC diaktifkan.

Cacat kedua, dilacak sebagai CVE-2021-41355, adalah kerentanan pengungkapan informasi di .NET Core di mana kredensial dapat bocor dalam clear teks pada perangkat yang menjalankan platform non-Windows.

Microsoft mengatakan tidak ada langkah-langkah mitigasi saat ini tersedia untuk memblokir eksploitasi kelemahan keamanan ini.

Admin disarankan untuk menginstal versi PowerShell 7.0.8 dan 7.1.5 yang diperbarui sesegera mungkin untuk melindungi sistem dari potensi serangan.

Selengkapnya: Bleeping Computer

Cacat Kritis di OpenSea Bisa Membiarkan Peretas Mencuri Cryptocurrency

October 15, 2021 by Winnie the Pooh

Kerentanan kritis yang sekarang ditambal di OpenSea, pasar non-fungible token (NFT) terbesar di dunia, dapat disalahgunakan oleh aktor jahat untuk menguras dana cryptocurrency dari korban dengan mengirimkan token yang dibuat khusus, membuka vektor serangan baru untuk eksploitasi.

Temuan ini berasal dari perusahaan keamanan siber Check Point Research, yang memulai penyelidikan ke dalam platform menyusul laporan publik tentang dompet cryptocurrency curian yang dipicu oleh NFT yang dijatuhkan secara gratis. Masalah tersebut diperbaiki dalam waktu kurang dari satu jam setelah pengungkapan yang bertanggung jawab pada 26 September 2021.

“Dibiarkan tidak ditambal, kerentanan dapat memungkinkan peretas untuk membajak akun pengguna dan mencuri seluruh dompet cryptocurrency dengan membuat NFT berbahaya,” kata peneliti Check Point.

Seperti namanya, NFT adalah aset digital unik seperti foto, video, audio, dan barang-barang lainnya yang dapat dijual dan diperdagangkan di blockchain, menggunakan teknologi sebagai sertifikat keaslian untuk menetapkan bukti kepemilikan yang terverifikasi dan publik.

Modus operandi serangan bergantung pada pengiriman korban NFT berbahaya yang, ketika diklik, menghasilkan skenario di mana transaksi jahat dapat difasilitasi melalui penyedia dompet pihak ketiga hanya dengan memberikan tanda tangan dompet untuk menghubungkan dompet mereka dan melakukan tindakan pada dompet atas nama target.

OpenSea mengatakan belum mengidentifikasi contoh di mana kerentanan ini dieksploitasi di alam liar tetapi menambahkan bahwa mereka bekerja dengan layanan dompet pihak ketiga untuk “membantu pengguna mengidentifikasi permintaan tanda tangan berbahaya dengan lebih baik, serta inisiatif lain untuk membantu pengguna menggagalkan penipuan dan serangan phishing dengan lebih efektif.”

Selengkapnya: The Hacker News

Malware Cryptomining Terbaru Menargetkan Huawei Cloud

October 15, 2021 by Eevee Leave a Comment

Versi baru malware penambangan kripto Linux yang sebelumnya digunakan untuk menargetkan wadah Docker pada tahun 2020 sekarang berfokus pada penyedia layanan cloud baru seperti Huawei Cloud.

Analisis kampanye baru berasal dari para peneliti di TrendMicro, yang menjelaskan bagaimana malware telah berevolusi dengan fitur-fitur baru sambil mempertahankan fungsi sebelumnya.

Lebih khusus, sampel yang lebih baru telah mengomentari fungsi pembuatan aturan firewall (tetapi masih ada) dan terus menjatuhkan pemindai jaringan untuk memetakan host lain dengan port yang relevan dengan API.

Namun, versi malware baru hanya menargetkan lingkungan cloud dan sekarang mencari dan menghapus skrip cryptojacking lain yang mungkin telah menginfeksi sistem sebelumnya.

Saat menginfeksi sistem Linux, coinminer jahat akan melakukan langkah-langkah berikut, yang mencakup penghapusan pengguna yang dibuat oleh distributor malware penambangan kripto yang bersaing.
Setelah menghapus pengguna yang dibuat oleh pelaku ancaman lain, pelaku menambahkan pengguna mereka sendiri, langkah umum bagi banyak cryptojackers penargetan cloud. Namun, tidak seperti banyak cryptominer lainnya, malware menambahkan akun pengguna mereka ke daftar sudoers, memberi mereka akses root ke perangkat.

Untuk memastikan bahwa persistensi dipertahankan pada perangkat, penyerang menggunakan kunci ssh-RSA mereka sendiri untuk melakukan modifikasi sistem dan mengubah izin file ke status terkunci.

Ini berarti bahwa bahkan jika aktor lain memperoleh akses ke perangkat di masa mendatang, mereka tidak akan dapat mengambil kendali penuh atas mesin yang rentan.

Para aktor menginstal layanan proxy Tor untuk melindungi komunikasi dari deteksi dan pengawasan pemindaian jaringan, melewati semua koneksi melaluinya untuk anonimisasi.

Binari yang dijatuhkan (“linux64_shell”, ”ff.sh”, “fczyo”, “xlinux”) menampilkan beberapa tingkat kebingungan, dan TrendMicro telah melihat tanda-tanda pengepakan UPX telah digunakan untuk pembungkusan.

Para aktor telah melalui gangguan lebih lanjut untuk menyetel binari untuk siluman terhadap analisis otomatis dan perangkat deteksi.

Setelah mendapatkan pijakan di perangkat, skrip peretas akan mengeksploitasi sistem jarak jauh dan menginfeksinya dengan skrip berbahaya dan cryptominer.

Kerentanan yang diketahui yang dipindai selama serangan ini meliputi:

Kata sandi lemah SSH
Kerentanan dalam produk Oracle WebLogic Server dari Oracle Fusion Middleware (CVE-2020-14882)
Redis akses tidak sah atau kata sandi yang lemah
Akses tidak sah PostgreSQL atau kata sandi yang lemah
Kata sandi lemah SQLServer
Akses tidak sah MongoDB atau kata sandi yang lemah
Protokol transfer file (FTP) kata sandi lemah
CSP dibombardir
Huawei Cloud adalah layanan yang relatif baru, tetapi raksasa teknologi China itu mengklaim telah melayani lebih dari tiga juta pelanggan. TrendMicro telah memberi tahu Huawei tentang kampanye tersebut, tetapi mereka belum menerima pengakuan.

Baik Anda menerapkan instans, perlu diingat bahwa menjalankan penilaian kerentanan dan pemindaian malware mungkin tidak cukup untuk bertahan dari serangan ini. Anda perlu mengevaluasi model keamanan CSP Anda dan menyesuaikan pendekatan Anda untuk melengkapinya dengan perlindungan lebih lanjut.

Penambang kripto penargetan cloud ini telah meningkat sejak awal tahun, dan selama nilai kripto melonjak, para aktor akan memiliki insentif untuk membuatnya lebih kuat dan lebih sulit dideteksi.

sumber: bleepingcomputer

Setelah Dipecat Pegawai TI Balas Dendam Menghapus Seluruh Data dan Mengubah Pasword

October 15, 2021 by Eevee Leave a Comment

Seorang pria 29 tahun menghapus data pada sistem sekolah menengah di Inggris dan mengubah kata sandi di sebuah perusahaan IT, dalam serangan cyber pembalasan karena dipecat.

Akibat tindakannya itu, sistem sekolah tidak bisa lagi diakses dan pembelajaran jarak jauh terdampak saat siswa berada di rumah akibat pandemi Covid-19.

Pelanggar berulang
Pada awal tahun pada 16 Januari, Adam Georgeson mengunduh dan menghapus data dari komputer milik Welland Park Academy di Market Harborough, Leicestershire, dan mengubah kata sandi anggota staf.

Georgeson telah bekerja sebagai teknisi IT di sekolah tersebut tetapi telah dipecat pada saat serangan itu terjadi.

Pada 21 Januari, saat bekerja di sebuah perusahaan IT di Rutland, Georgeson ditangkap karena tindakannya di jaringan sekolah.

Namun, pekerjaan barunya tidak berlangsung lama karena dia dipecat pada bulan Februari dan dia sekali lagi melanggar norma digital dari mantan atasannya.

Pada 9 Maret, perusahaan melaporkan aktivitas tidak sah di jaringannya. Selain mengubah kata sandi yang mengunci pengguna, Georgeson juga memodifikasi sistem telepon yang digunakan untuk menghubungi pelanggan.

Georgeson menyerahkan diri di Leicester Crown Court pada hari Senin dan mengaku bersalah atas dua pelanggaran peretasan dunia maya, yang membawa hukuman hingga 10 tahun penjara.

Menurut petugas investigasi Detektif Constable Anthony Jones, Georgeson mengatakan bahwa dia mengakses sistem sekolah karena dia bosan dan kemudian mulai menghapus data.

Ketika dia menyadari bahwa tindakannya dapat dilacak dan berisiko tertangkap, Georgeson beralih ke tindakan yang lebih jahat.

“Ada banyak kebencian terhadap kedua mantan atasannya- tetapi itu bukan alasan untuk tindakannya yang menyebabkan masalah signifikan bagi keduanya dan bisa memiliki konsekuensi yang lebih parah” – Detektif Polisi Anthony Jones

Georgeson dijadwalkan menerima hukumannya tahun depan, pada 27 Januari.

sumber: bleepingcomputer

TSA Rilis Peraturan Keamanan Siber Baru untuk Kereta dan Pesawat

October 15, 2021 by Eevee Leave a Comment

Menteri Keamanan Dalam Negeri Alejandro Mayorkas mengumumkan peraturan keamanan siber baru untuk operator kereta api dan bandara AS pada hari Rabu.

Pertama kali dilaporkan oleh Reuters, aturan tersebut mengamanatkan bahwa operator wajib mengungkapkan peretasan apa pun, pembuatan program pemulihan serangan siber, dan menunjuk kepala pejabat siber.

Aturan tersebut akan mulai berlaku akhir tahun ini.

“Baik melalui udara, darat, atau laut, sistem transportasi kami sangat strategis dan penting bagi keamanan nasional dan ekonomi kami,” kata Mayorkas, menurut Reuters.

Pada bulan April, Otoritas Transportasi Metropolitan Kota New York — salah satu sistem transportasi terbesar di dunia — diretas oleh sebuah kelompok yang berbasis di China. Meskipun serangan itu tidak menyebabkan kerusakan apa pun dan tidak ada pengendara yang terdampak, pejabat kota memperingatkan dalam sebuah laporan karena penyerang dapat mencapai sistem kritis dan mungkin meninggalkan backdoor pada sistem.

Pada tahun 2020, Otoritas Transportasi Pennsylvania Tenggara terkena ransomware, dan awal tahun ini, layanan feri ke Cape Cod juga terganggu oleh serangan ransomware.

Aturan baru berlaku untuk operator kereta api, perusahaan transit kereta api, operator bandara AS, operator pesawat penumpang dan operator pesawat kargo. Beberapa organisasi transportasi tingkat bawah juga dianjurkan untuk mengikuti aturan.

Aturan tersebut mendapat tanggapan beragam dari para ahli yang mempertanyakan apakah ada organisasi yang dapat memenuhi peraturan baru yang ketat.

“Persyaratan keamanan yang ditetapkan dalam Arahan Keamanan TSA publik yang baru jelas ambisius. Sebagian besar organisasi yang bekerja sama dengan kami saat ini tidak dapat memenuhi persyaratan ini, begitu pula sebagian besar lembaga pemerintah federal,” kata Jake Williams, CTO dari BreachQuest.

“Persyaratan pemantauan DNS saja jauh melampaui kemampuan kebanyakan organisasi saat ini. Meskipun efektif dalam mendeteksi intrusi, upaya yang diterapkan untuk menerapkan persyaratan semacam ini hampir pasti akan mengalihkan perhatian dari tujuan yang lebih penting dan dapat dicapai seperti segmentasi dan pemantauan jaringan TI/OT dasar. .”

Chris Grove, Product Evangelist di Nozomi Networks dan pakar keamanan dunia maya industri, mengatakan direktorat tersebut mengikuti banyak upaya lain untuk mengamankan teknologi operasional dengan “menyediakan perpaduan pencegahan, deteksi, dan ketahanan.”

Namun dia mencatat bahwa ketika rekomendasi tumpang tindih dengan teknologi operasional, mereka tidak benar-benar berlaku.

O’Reilly mencatat bahwa kemungkinan akan ada lebih banyak perselisihan industri mengenai persyaratan tertentu tetapi diasah pada bagian berjudul, “Security Directive (SD) Pipeline-2021-02” — yang berfokus pada elemen kunci pengerasan pipa OT dan TI terhadap banyak eksploitasi saat ini. Bagian ini juga secara efektif mengumumkan berakhirnya beberapa pedoman sukarela untuk industri.

“Kemungkinan akan ada penolakan industri karena periode komentarnya singkat, dan ada beberapa pertimbangan unik sehubungan dengan patching dan praktik lain yang terkait dengan Teknologi Operasional. Tetapi bahkan di sana, TSA telah berhati-hati untuk memungkinkan pendekatan berbasis risiko untuk menambal OT, yang cukup masuk akal,” tambah O’Reilly.

“Aspek terpenting dari arahan tersebut adalah bahwa ketahanan siber tidak lagi bersifat sukarela. Bisa dibilang membiarkan standar pipeline menjadi sukarela adalah suatu kesalahan. Tidak dapat disangkal bahwa sektor infrastruktur kritis (seperti keuangan dan listrik) yang diatur umumnya memiliki banyak praktik keamanan yang lebih baik di tempat. Jika menyangkut kepentingan publik, ada kebutuhan yang jelas untuk pengawasan, dan hanya Pemerintah Federal yang dapat melakukan ini secara efektif. Kita tidak dapat menanggung serangan lain seperti yang menimpa Kolonial.”

sumber: ZDNET

Apple diam-diam memperbaiki iOS zero-day, meminta reporter bug untuk tetap diam

October 14, 2021 by Winnie the Pooh

Apple telah diam-diam memperbaiki kerentanan zero-day dengan merilis iOS 15.0.2, pada hari Senin, sebuah kelemahan keamanan yang dapat membuat penyerang mendapatkan akses ke informasi pengguna yang sensitif.

Perusahaan mengatasi bug tersebut tanpa mengakui atau memberi kredit kepada pengembang perangkat lunak Denis Tokarev atas penemuan tersebut meskipun ia melaporkan kekurangan tersebut tujuh bulan sebelum iOS 15.0.2 dirilis.

Pada bulan Juli, Apple juga diam-diam menambal cacat zero-day ‘analyticsd’ dengan rilis 14,7 tanpa mengkredit Tokarev di penasihat keamanan, alih-alih berjanji untuk mengakui laporannya di penasihat keamanan untuk pembaruan yang akan datang.

Sejak saat itu, Apple menerbitkan beberapa nasihat keamanan (iOS 14.7.1, iOS 14.8, iOS 15.0, dan iOS 15.0.1) yang menangani kerentanan iOS tetapi, setiap kali, mereka gagal memberi kredit pada laporan bug analyticsd-nya.

Dua hari yang lalu, setelah iOS 15.0.2 dirilis, Tokarev mengirim email lagi tentang kurangnya kredit untuk kekurangan gamed dan analyticsd dalam penasihat keamanan. Apple menjawab, memintanya untuk merahasiakan isi pertukaran email nya dengan Apple.

Pemburu bug bounty dan peneliti keamanan lainnya juga melaporkan memiliki pengalaman serupa saat melaporkan kerentanan kepada tim keamanan produk Apple melalui Program Bounty Keamanan Apple.

Beberapa mengatakan bug yang dilaporkan ke Apple diperbaiki secara diam-diam, dengan perusahaan gagal memberi mereka kredit, seperti yang terjadi dalam kasus ini.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings