Vulnerability

Mantan peretas NSA mengungkapkan zero day baru pada Aplikasi Zoom

April 2, 2020 by Mally

Tahun bermasalah Zoom semakin memburuk.

Baru-baru ini dua peneliti keamanan menemukan bug Zoom yang dapat disalahgunakan untuk mencuri kata sandi Windows, peneliti keamanan lain menemukan dua bug baru yang dapat digunakan untuk mengambil alih Mac pengguna Zoom, termasuk mengetuk webcam dan mikrofon.

Patrick Wardle, mantan peretas NSA dan sekarang peneliti keamanan utama di Jamf, mengungkapan dua kelemahan yang sebelumnya tidak dipublikasi di blog-nya hari Rabu, yang ia bagikan dengan TechCrunch.

Kedua bug tersebut, kata Wardle, dapat diluncurkan oleh penyerang lokal – dimana seseorang memiliki kontrol atas komputer yang rentan secara fisik. Setelah dieksploitasi, penyerang dapat memperoleh dan mempertahankan akses terus-menerus sampai ke bagian-bagian yang ada di dalam komputer korban, memungkinkan mereka untuk menginstal malware atau spyware.

Karena Wardle mengungkapkan detail kerentanan di blognya, Zoom belum memberikan perbaikan. Zoom juga tidak menanggapi permintaan TechCrunch untuk memberikan komentar.

Sementara itu, Wardle berkata, “jika Anda peduli dengan keamanan dan privasi Anda, mungkin Anda harus berhenti menggunakan Zoom.”

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Tech Crunch

Grup hacker misterius sedang menguping lalu lintas email dan FTP perusahaan

March 30, 2020 by Mally

Sejak awal Desember 2019, kelompok peretas misterius telah mengambil alih router perusahaan DrayTek untuk menguping FTP dan lalu lintas email di dalam jaringan perusahaan, perusahaan keamanan Cina Qihoo 360 mengatakan pada Sabtu kemarin.

Dalam sebuah laporan yang diterbitkan di blog divisi keamanan jaringan Netlab, Qihoo mengatakan para peneliti mendeteksi dua aktor ancaman yang berbeda, masing-masing mengeksploitasi kerentanan zero day yang berbeda di DrayTek Vigor – router load balancing dan gateway VPN yang biasanya digunakan pada jaringan di perusahaan.

Kelompok pertama, menurut Qihoo, muncul di radar mereka pada 4 Desember tahun lalu, ketika mereka mendeteksi serangan yang cukup kompleks pada perangkat DrayTek. Para peneliti mengatakan para peretas menyebarkan skrip yang dapat mencatat lalu lintas yang datang melalui port 21 (transfer file FTP), port 25 (SMTP – email), port 110 (POP3 – email), dan port 143 (IMAP – email). Kemudian, pada setiap hari Senin, Rabu, dan Jumat pukul 00:00, skrip akan mengunggah semua lalu lintas yang direkam ke server jarak jauh mereka.

Kelompok kedua menggunakan zero-day yang berbeda, tetapi para peretas tidak menemukannya sendiri. Zero-day yang mereka gunakan pertama kali dijelaskan dalam sebuah postingan pada tanggal 26 Januari di blog Skull Army, dan para peretas mulai mengeksploitasinya dua hari kemudian.

Vendor akhirnya mengetahui kedua zero day tersebut setelah serangan Grup B pada Januari lalu dan merilis patch firmware pada 10 Februari 2020. DrayTek bahkan berusaha mengeluarkan tambalan firmware untuk model router yang sekarang tidak diproduksi lagi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: ZDNet

Adobe Merilis Patch Keamanan Darurat Untuk Memperbaiki Bug Ini..

March 27, 2020 by Mally

Adobe telah merilis patch keamanan lain di luar jadwal yang biasanya di bulan ini untuk menangani bug yang memungkinkan penyerang menghapus file korban.

Bug penghapusan file, CVE-2020-3808, bermula dari kerentanan kondisi time-of-check to time-of-use (TOCTOU) yang tidak berurutan, yang terjadi ketika dua sistem operasi mencoba mengakses data bersamaan pada saat yang sama. Itu memungkinkan penyerang untuk memanipulasi file pada sistem korban.

Perusahaan memperingatkan: “Eksploitasi yang berhasil dapat menyebabkan penghapusan file secara sepihak.”

Bug ini memengaruhi Creative Cloud versi 5.0 dan yang lebih lama pada platform Windows sesuai dengan advisory perusahaan, dan memiliki tingkat keparahan kritis. Adobe telah mengeluarkan perbaikan dan memberinya peringkat prioritas dua. Dengan kata lain, ini bukan tambalan yang paling mendesak dalam sejarah, tetapi Anda harus tetap memanfaatkannya. Fakta bahwa perusahaan mengeluarkan patch out-of-band untuk memperbaiki kerentanan menunjukkan betapa seriusnya mengambil ini.

Perbaikannya melibatkan pemasangan versi 5.1 dari perangkat lunak tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;

Source: Naked Security

6 cara Cybercriminal mengeksploitasi krisis COVID-19

March 23, 2020 by Mally

Penjahat dunia maya mengambil keuntungan dari krisis coronavirus untuk menyebarkan malware, mengganggu operasi, menabur keraguan dan menghasilkan uang dengan cepat.

Tidak melewatkan satupun kesempatan, penyerang meningkatkan operasi untuk menyebarkan malware melalui email bertema Covid19, aplikasi, situs web dan media sosial. Berikut adalah rincian vektor ancaman potensial dan teknik yang digunakan aktor untuk menyerang organisasi.

1. Email Phishing

Digital Shadows melaporkan bahwa pasar dark web mengiklankan kit phishing COVID19 menggunakan lampiran email berbahaya yang disamarkan sebagai peta distribusi penyebaran virus untuk harga mulai dari $ 200 hingga $ 700. Payload yang termasuk di dalam email ini meliputi ransomware dan keyloggers hingga remote access trojan dan pencuri informasi.

2. Aplikasi Berbahaya

DomainTools menemukan situs yang mendesak pengguna untuk mengunduh aplikasi Android yang menyediakan pelacakan dan informasi statistik tentang COVID-19, termasuk visual heatmap. Namun, aplikasi ini sebenarnya dimuat dengan ransomware yang menargetkan sistem operasi Android yang sekarang dikenal sebagai COVIDLock. Mereka menuntut tebusan sebesar $ 100 dalam bitcoin dalam 48 jam dan mengancam untuk menghapus kontak, gambar, dan video Anda, serta memori ponsel Anda.

3. Domain Berbahaya

Record Future melaporkan bahwa ratusan domain yang terkait dengan COVID-19 telah didaftarkan setiap hari selama beberapa minggu terakhir. Checkpoint mengatakan bahwa domain yang berhubungan dengan COVID-19, 50% lebih cenderung berbahaya daripada domain lain yang terdaftar pada periode yang sama.

NCSC telah melaporkan situs palsu yang meniru Pusat Kontrol Penyakit AS (CDC) dan membuat nama domain yang mirip dengan alamat web CDC untuk meminta “sumbangan kata sandi dan bitcoin untuk mendanai vaksin palsu.”

4. Endpoint dan End User yang tidak aman

Dengan sejumlah besar karyawan atau bahkan seluruh bisnis yang bekerja jarak jauh untuk waktu yang lama, risiko di sekitar endpoint dan orang-orang yang menggunakannya meningkat. Perangkat yang digunakan staf di rumah bisa menjadi lebih rentan jika karyawan gagal memperbarui sistem mereka secara teratur.

5. Kerentanan pada vendor dan pihak ketiga

Setiap mitra, pelanggan, dan penyedia layanan di ekosistem Anda kemungkinan akan mengalami semua masalah yang sama seperti organisasi Anda. Berhubungan dengan bagian-bagian penting dari ekosistem pihak ketiga Anda untuk memastikan mereka mengambil langkah-langkah untuk mengamankan tenaga kerja jarak jauh mereka.

6. Menargetkan organisasi kesehatan

Organisasi layanan kesehatan dengan berbagai bentuk dan ukuran cenderung lebih tertekan daripada biasanya karena krisis ini, yang dapat membuat staf lalai mengenai apa yang mereka klik. CISO di dalam atau yang memasok sektor kesehatan harus mengingatkan staf untuk waspada terhadap tautan dan dokumen yang mencurigakan, dan memastikan operasi mereka kuat terhadap serangan DDoS.

Baca artikel selengkapnya pada tautan di bawah ini;

Source: CSO Online

Kerentanan Wormable yang mempengaruhi Microsoft SMBv3 CVE-2020-0796

March 18, 2020 by Mally

Pada Maret 2020 Microsoft merilis laporan keamanan, ADV200005 | Panduan Microsoft untuk Menonaktifkan Kompresi SMBv3, untuk kerentanan eksekusi kode jarak jauh (RCE) yang baru. Tak lama setelah laporannya dirilis, Microsoft mengeluarkan patch out-of-band untuk melindungi pengguna yang terkena dampak dari CVE-2020-0796. Patch out-of-band biasanya dirilis di luar periode pembaruan yang diharapkan untuk vendor. Dalam kasus khusus ini, Microsoft selalu merilis pembaruan di Patch Tuesday (setiap hari selasa setiap bulannya), yang jatuh pada dua hari sebelum pembaruan out-of-band ini.

Kerentanan ini ada dalam Microsoft Server Message Block 3.0 (SMBv3), khususnya mengenai header kompresi yang jelek. Header kompresi adalah fitur yang ditambahkan ke paket permintaan konteks negosiasi SMBv3 pada Mei 2019. Untuk eksploitasi yang tidak terautentikasi, penyerang perlu membuat paket SMBv3 yang berisi header kompresi yang jelek ke Server SMBv3 yang rentan. Untuk klien SMBv3 dibutuhkan untuk memikat pengguna agar terhubung ke server SMBv3 yang dikompromikan yang mereka kontrol. Pada saat rilis, Microsoft menegaskan bahwa mereka belum melihat kerentanan dieksploitasi di dunia nyata (ITW).

Kerentanan ini hanya memengaruhi SMBv3 dan versi berikut dari sistem operasi Microsoft Windows:

Windows 10 build 1903 and 1909 – 32-bit, x64 and ARM64 systems

Windows Server build 1903 and 1909 – 32-bit, x64 and ARM64 systems

Laporan lebih lanjut mengenai kerentanan ini dapat dibaca pada tautan di bawah ini;

Source: Palo Alto Networks | Sophos

CPU Intel rentan terhadap serangan ‘Snoop’ yang baru

March 18, 2020 by Mally

Prosesor Intel rentan terhadap serangan baru yang dapat membocorkan data dari memori internal CPU – yang juga dikenal sebagai cache.

Serangan itu, digambarkan sebagai “Snoop-assist L1 Data Sampling,” atau hanya Snoop (CVE-2020-0550), telah ditemukan oleh Pawel Wieczorkiewicz, seorang software engineer di Amazon Web Services (AWS).

Wieczorkiewicz melaporkan masalah ini ke Intel, dan setelah penyelidikan lebih lanjut, pembuat CPU menyimpulkan bahwa patch yang dirilis pada Agustus 2018 untuk kerentanan Foreshadow (L1TF) juga berlaku untuk serangan baru ini.

Daftar prosesor Intel yang rentan terhadap serangan Snoop tersedia di sini. Daftar ini mencakup seri Intel seperti prosesor Core dan Xeon.

Untuk pengguna yang menjalankan sistem berisiko tinggi, pembuat chip merekomendasikan penerapan patch Foreshadow (L1TF), yang dirilis pada Agustus 2018. Selain itu, menonaktifkan fitur Intel TSX (Transactional Synchronization Extensions) juga sangat mengurangi serangan terjadi dan membuat serangan Snoop lebih sulit.

Berita selengkapnya dapat dibaca pada tautan berikut;

Source: ZDNet

Avast menonaktifkan mesin JavaScript di antivirusnya setelah terdapat bug di dalam nya

March 16, 2020 by Mally

Avast telah mengambil langkah ekstrim untuk menonaktifkan komponen utama produk antivirusnya setelah seorang peneliti keamanan menemukan kerentanan berbahaya yang menempatkan semua penggunanya dalam risiko.

Kelemahan keamanan ditemukan di mesin JavaScript Avast, komponen internal antivirus Avast yang menganalisis kode JavaScript untuk malware sebelum mengizinkannya dieksekusi di browser atau klien email.

Tavis Ormandy, seorang peneliti keamanan di Google mengatakan, “Meskipun sangat istimewa dan didesain untuk memproses input yang tidak terpercaya, itu tidak dijalankan di dalam sandbox dan memiliki cakupan mitigasi yang buruk.”

“Setiap kerentanan dalam proses ini sangat penting, dan mudah diakses oleh penyerang jarak jauh,” kata Ormandy menambahkan.

Ormandy berpendapat bahwa begitu antivirus Avast mengunduh dan menjalankan kode JavaScript berbahaya di dalam mesin kustomnya sendiri, operasi berbahaya dapat dijalankan di komputer pengguna, dengan akses tingkat SISTEM.

Misalnya, dengan menggunakan bug ini, penyerang akan memiliki kemampuan untuk menginstal malware pada perangkat pengguna Avast.

Baca berita selanjutnya pada tautan di bawah ini;

Source: ZDNet

Pembaruan Keamanan Darurat Windows 10: Microsoft Mendesak Pengguna Untuk ‘Mengambil Tindakan’

March 14, 2020 by Mally

Microsoft telah mendesak pengguna Windows 10 untuk memasang pembaruan keamanan out of band untuk memperbaiki kerentanan kritis yang diberi nama SMBGhost atau EternalDarkness oleh kebanyakan vendor keamanan. Kerentanan ini mempengaruhi protokol komunikasi jaringan Server Message Block (SMB) dan bersifat wormable atau dapat menyebar ke satu perangkat ke perangkat lainnya.

Out of band adalah istilah yang dipakai ketika pembaruan dirilis di luar jadwal yang telah ditentukan, jadwal pembaruan Microsoft biasanya dirilis pada hari Selasa pada minggu ke-2 setiap bulannya.

Kieran Roberts, kepala penetration testing di Bulletproof, pada saat kebocoran mengatakan bahwa “SMB adalah protokol yang digunakan untuk berbagi file, ini adalah protokol yang sama yang rentan terhadap EternalBlue (CVE-2017-0144), Eksploit yang dikembangkan oleh NSA dan digunakan untuk serangan ransomware WannaCry. Tampaknya kerentanan baru ini memiliki beberapa kesamaan dengan EternalBlue. Ini berarti bahwa kerentanan baru ini dapat mengakibatkan kebangkitan serangan ransomware seperti WannaCry dan NotPetya, yang keduanya menggunakan eksploitasi EternalBlue yang sangat mirip.”

Microsoft mengatakan bahwa penting untuk dicatat bahwa pembaruan KB4551762 perlu diterapkan bahkan jika Anda menginstal pembaruan Patch Tuesday. Perbarui keamanan pada Windows 10 Anda sesegera mungkin.

Berita selengkapnya dapat dibaca pada tautan berikut;

Source: Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Vulnerability

Cookies Settings