Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Zero day kritis yang menargetkan peneliti keamanan mendapat tambalan dari Microsoft

by

Microsoft telah menambal kerentanan zero-day kritis yang digunakan peretas Korea Utara untuk menargetkan peneliti keamanan dengan malware.

Serangan di alam liar terungkap pada bulan Januari di postingan dari Google dan Microsoft. Peretas yang didukung oleh pemerintah Korea Utara, kata kedua unggahan tersebut, menghabiskan berminggu-minggu mengembangkan hubungan kerja dengan peneliti keamanan. Untuk memenangkan kepercayaan para peneliti, para peretas membuat blog penelitian dan persona Twitter yang menghubungi peneliti untuk menanyakan apakah mereka ingin berkolaborasi dalam suatu proyek.

Akhirnya, profil Twitter palsu meminta para peneliti untuk menggunakan Internet Explorer untuk membuka halaman web. Mereka yang mengambil umpan akan menemukan bahwa mesin Windows 10 mereka yang sepenuhnya ditambal memasang layanan jahat dan in-memory backdoor yang menghubungi server yang dikendalikan peretas.

Microsoft pada hari Selasa memperbaiki kerentanan tersebut. CVE-2021-26411, dinilai kritis dan hanya membutuhkan kode serangan dengan kompleksitas rendah untuk dieksploitasi.

Google hanya mengatakan bahwa orang-orang yang menghubungi para peneliti bekerja untuk pemerintah Korea Utara. Microsoft mengatakan mereka adalah bagian dari Zinc, nama Microsoft untuk grup ancaman yang lebih dikenal sebagai Lazarus.

Meskipun Microsoft mendeskripsikan CVE-2021-26411 sebagai “Kerentanan Korupsi Memori Internet Explorer,” advisory hari Senin mengatakan kerentanan juga memengaruhi browser Edge nya.

Selengkapnya: Ars Technica

Bug iPhone Call Recorder memiliki akses ke percakapan orang lain

by

Aplikasi perekaman panggilan iOS menambal kerentanan keamanan yang memberi siapa pun akses ke percakapan ribuan pengguna hanya dengan memberikan nomor telepon yang benar.

Nama aplikasinya adalah “Automatic call recorder” atau “Acr call recorder” dan memiliki ribuan ulasan pengguna di App Store dengan peringkat di atas 4 bintang; itu juga telah terdaftar di antara aplikasi perekaman panggilan teratas untuk iPhone.

Menggunakan kecerdasan sumber terbuka, peneliti keamanan Anand Prakash, pendiri PingSafe AI, menemukan penyimpanan cloud aplikasi di Amazon bersama dengan nama host dan beberapa data sensitif yang digunakannya.

Dengan meneruskan lalu lintas jaringan aplikasi melalui alat web proxy seperti Burp atau Zap, penyerang dapat memasukkan nomor telepon pengguna aplikasi mana pun dalam permintaan rekaman.

Karena API yang merespons tidak menjalankan otentikasi apa pun, itu mengembalikan rekaman yang terkait dengan nomor telepon yang diteruskan dalam permintaan. Terlebih lagi, aplikasi itu juga membocorkan seluruh riwayat panggilan pengguna tersebut, kata Prakash.

Zack Whittaker dari outlet media menghubungi pengembang aplikasi, yang merilis versi baru dengan perbaikan tersebut.

Menurut Whittaker, penyimpanan aplikasi di Amazon berisi lebih dari 130.000 rekaman dengan berat sekitar 300 gigabyte.

Sumber: Bleeping Computer

Engineer Google mendesak pengembang web untuk meningkatkan dan mengamankan kode mereka

by

Setelah pengungkapan keluarga kerentanan Spectre 2018 dalam chip mikroprosesor modern, vendor perangkat keras dan pembuat sistem operasi bergegas untuk mengurangi dampak serangan data-leaking side-channel yang dirancang untuk mengeksploitasi cara chip mencoba memprediksi instruksi di masa depan.

Sekarang para profesional keamanan web meminta pengembang untuk melakukan bagian mereka dengan mengenali bahwa Spectre melanggar model ancaman lama dan dengan menulis kode yang mencerminkan yang baru.

Bulan lalu, Mike West, seorang engineer keamanan Google, membuat draf catatan berjudul, “Pengembangan Web Pasca-Spectre,” dan Daniel Veditz dari Kelompok Kerja Keamanan Aplikasi Web W3C dari Mozilla meminta kelompok tersebut untuk mencapai konsensus untuk mendukung rekomendasi tersebut.

Meskipun kelompok tersebut belum secara resmi menerima proposal tersebut, tanggapan di milis kelompok menunjukkan bahwa saran tersebut akan diadopsi sebagai seperangkat praktik terbaik.

West berpendapat bahwa Spectre mendemonstrasikan asumsi model keamanan web yang perlu dipikirkan ulang, baik untuk vendor browser maupun pengembang web.

Untuk browser, ini berarti proyek seperti Site Isolation dan Project Fission, yang menempatkan situs web dan kode terkait ke dalam proses terpisah sehingga situs web tidak dapat ikut campur satu sama lain. Dan sekarang pengembang memiliki beberapa pekerjaan yang harus dilakukan.

Selengkapnya: The Register

Periksa apakah Anda rentan terhadap zero-day Microsoft Exchange Server menggunakan alat ini

by

Tim Microsoft Exchange Server telah merilis skrip untuk admin IT untuk memeriksa apakah sistem mereka rentan terhadap bug zero-day yang baru-baru ini diungkapkan.

Sebagaimana dicatat dalam peringatan yang diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA) AS pada hari Sabtu, tim Microsoft telah menerbitkan skrip di GitHub yang dapat memeriksa status keamanan server Exchange.

Skrip telah diperbarui untuk menyertakan indikator kompromi (IOC) yang terkait dengan empat kerentanan zero-day yang ditemukan di Microsoft Exchange Server.

Pada 2 Maret, raksasa teknologi itu memperingatkan tentang eksploitasi aktif zero-day oleh kelompok ancaman Cina yang disponsori negara bernama Hafnium. Tim Pertahanan Terkelola Mandiant FireEye juga telah melacak serangan yang sedang berlangsung terhadap organisasi AS yang memanfaatkan bug tersebut. Sejauh ini, korban termasuk entitas pemerintah daerah, universitas, dan pengecer.

Sumber: ZDNet

Google menambal kerentanan zero-day Chrome yang dieksploitasi secara aktif

by

Google telah memperingatkan tentang laporan bahwa kerentanan zero-day di browser Chrome sedang dieksploitasi secara aktif di alam liar.

Kerentanan, dilacak sebagai CVE-2021-21166, dilaporkan oleh Alison Huffman dari tim Riset Kerentanan Browser Microsoft pada 11 Februari dan dijelaskan sebagai “masalah siklus hidup objek dalam audio”.

Google telah memberi label kerentanan tersebut sebagai kelemahan keamanan dengan tingkat keparahan “tinggi” dan telah memperbaiki masalah tersebut dalam rilis Chrome terbaru.

Bersamaan dengan CVE-2021-21166, Huffman juga baru-baru ini melaporkan bug tingkat tinggi lainnya, CVE-2021-21165, masalah gaya hidup objek lain dalam masalah audio, dan CVE-2021-21163, masalah validasi data yang tidak mencukupi dalam Mode Pembaca.

Raksasa teknologi itu belum mengungkapkan rincian lebih lanjut tentang bagaimana CVE-2021-21166 dieksploitasi, atau oleh siapa.

Pengumuman Google, yang diterbitkan pada hari Selasa, juga menandai rilis Chrome 89 ke saluran desktop stabil untuk mesin Windows, Mac, dan Linux, yang saat ini sedang diluncurkan. Pengguna harus meningkatkan ke Chrome 89.0.4389.72 sesegera mungkin.

Sumber: ZDNet

Kerentanan hard-coded key di Logix PLC memiliki skor keparahan 10 dari 10

by

Perangkat keras yang banyak digunakan untuk mengontrol peralatan di pabrik dan pengaturan industri lainnya dapat dikendalikan dari jarak jauh dengan mengeksploitasi kerentanan yang baru diungkapkan yang memiliki skor tingkat keparahan 10 dari 10.

Kerentanan ditemukan pada pengontrol logika yang dapat diprogram dari Rockwell Automation yang dipasarkan dengan merek Logix.

Pada hari Kamis, Administrasi Keamanan Siber & Infrastruktur AS memperingatkan tentang kerentanan kritis yang dapat memungkinkan peretas untuk terhubung dari jarak jauh ke pengontrol Logix dan dari sana mengubah konfigurasi atau kode aplikasi mereka. Kerentanan tersebut membutuhkan tingkat keterampilan yang rendah untuk dieksploitasi, kata CISA.

Kerentanan, yang dilacak sebagai CVE-2021-22681, adalah hasil dari perangkat lunak Studio 5000 Logix Designer yang memungkinkan peretas untuk mengekstrak kunci enkripsi rahasia. Seorang peretas yang memperoleh kunci tersebut kemudian dapat meniru stasiun kerja teknik dan memanipulasi kode atau konfigurasi PLC yang secara langsung memengaruhi proses manufaktur.

Rockwell tidak mengeluarkan tambalan yang secara langsung mengatasi masalah yang berasal dari kunci yang di-hardcode. Sebaliknya, perusahaan merekomendasikan agar pengguna PLC mengikuti langkah-langkah mitigasi risiko tertentu. Langkah-langkahnya melibatkan menjalankan sakelar mode pengontrol, dan jika itu tidak memungkinkan, mengikuti rekomendasi lain yang khusus untuk setiap model PLC.

Selengkapnya: Ars Technica

Peretas merilis alat jailbreak baru untuk hampir setiap iPhone

by

Tim peretasan iPhone telah merilis alat jailbreak baru untuk hampir setiap iPhone, termasuk model terbaru, dengan menggunakan kerentanan yang sama yang bulan lalu dikatakan Apple sedang diserang oleh peretas.

Tim Unc0ver merilis jailbreak terbaru akhir pekan ini, dan mengatakan itu berfungsi di iOS 11 (iPhone 5s dan yang lebih baru) hingga iOS 14.3, yang dirilis Apple pada bulan Desember.

Dalam sebuah tweet, grup jailbreak mengatakan mereka menggunakan “exploitnya sendiri” untuk CVE-2021-1782, kerentanan kernel yang menurut Apple adalah salah satu dari tiga kelemahan yang “mungkin telah secara aktif dieksploitasi” oleh peretas. Dengan menargetkan kernel, para peretas dapat masuk ke sistem operasi yang mendasarinya.

Apple memperbaiki kerentanan di iOS 14.4, yang dirilis bulan lalu, yang juga mencegah jailbreak bekerja pada versi yang lebih baru.

Pakar keamanan umumnya menyarankan pengguna iPhone agar tidak melakukan jailbreak karena itu membuat perangkat lebih rentan terhadap serangan. Dan ketika memperbarui ponsel Anda dapat memperkenalkan perbaikan keamanan yang menghapus jailbreak, itu adalah salah satu cara terbaik untuk menjaga keamanan perangkat Anda.

Selengkapnya: Tech Crunch

Eksploitasi Windows dan Linux Spectre yang berfungsi ditemukan di VirusTotal

by

Eksploitasi yang menargetkan sistem Linux dan Windows yang tidak ditambal terhadap kerentanan berusia tiga tahun yang dijuluki Spectre ditemukan oleh peneliti keamanan Julien Voisin di VirusTotal.

Kerentanan tersebut diungkapkan sebagai bug perangkat keras pada Januari 2018 oleh peneliti Google Project Zero.

Jika berhasil dieksploitasi pada sistem yang rentan, ini dapat digunakan oleh penyerang untuk mencuri data sensitif, termasuk kata sandi, dokumen, dan data lain yang tersedia di privileged memori.

Voisin menemukan dua eksploitasi Linux dan Windows yang berfungsi pada platform analisis malware VirusTotal online.

Pengguna yang tidak memiliki hak istimewa dapat menggunakan eksploitasi untuk mengambil hash LM/NT pada sistem Windows dan file Linux/etc/shadow dari memori kernel perangkat yang ditargetkan.

Eksploitasi juga memungkinkan pengambilan tiket Kerberos yang dapat digunakan dengan PsExec untuk eskalasi hak istimewa lokal dan gerakan lateral pada sistem Windows.

Eksploitasi terkait diunggah di VirusTotal bulan lalu sebagai bagian dari paket yang lebih besar, penginstal Immunity Canvas 7.26 untuk Windows dan Linux.

Alat pengujian penetrasi CANVAS menggabungkan “ratusan eksploitasi, sistem eksploitasi otomatis”, dan juga dilengkapi dengan kerangka kerja pengembangan eksploitasi untuk membuat eksploitasi khusus.

Seperti yang dikatakan Voisin, eksploitasi akan rusak jika mesin yang dijalankan menjalankan versi Linux atau Windows yang ditambal.

Mereka yang menjalankan versi OS yang lebih lama pada silikon yang lebih lama (PC era 2015 dengan Haswell atau prosesor Intel yang lebih lama) mungkin yang paling rentan terkena serangan Spectre.

Selengkapnya: Bleeping Computer