Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Vulnerability

Vulnerability

Pengguna Windows Perlu Segera Memperbarui Outlook

by

Menurut Microsoft, peretas secara aktif mengeksploitasi kerentanan kritis eskalasi hak istimewa (EoP) di Outlook. Pengguna Outlook di Windows perlu memperbarui klien email hari ini untuk menambal kerentanan kritis. Organisasi besar harus berkonsultasi dengan instruksi Microsoft untuk mengurangi ancaman ini dengan cepat.

Kerentanan zero-day CVE-2023-23397 ini diberi peringkat 9,8 dari 10 pada skala CVSS, menandakan bahwa berbahaya dan mudah dieksploitasi. Menurut Microsoft, email yang dibuat khusus secara otomatis memicu eksploit saat diterima oleh Outlook, tanpa interaksi apa pun dari korban.

Peretas dapat memperoleh akses ke jaringan korban untuk serangan atau observasi lebih lanjut melalui hash Net-NTLMv2 korban. Aktor ancaman berbasis di Rusia telah memanfaatkan eksploitasi ini untuk menargetkan organisasi di sektor pemerintahan, transportasi, energi, dan militer di Eropa.

Cara memperbarui Outlook yaitu tekan tab “File”, pilih “Microsoft Account” dari menu pop-out, klik “Update Options”, dan pilih “Update Now”.

Microsoft mencantumkan beberapa metode mitigasi pada daftar CVE-nya untuk mengantisipasi sebagian besar organisasi yang mengalami kesulitan memperbarui semua contoh Outlook. Ditawarkan juga skrip PowerShell yang memungkinkan organisasi melihat apakah mereka telah menjadi sasaran kerentanan ini.

Selengkapnya: reviewgeek

Badan federal diretas oleh 2 grup berkat cacat yang tidak ditambal selama 4 tahun

by

Berbagai aktor ancaman—salah satunya bekerja atas nama negara-bangsa—mendapatkan akses ke jaringan agen federal AS dengan mengeksploitasi kerentanan berusia empat tahun yang masih belum ditambal, pemerintah AS memperingatkan.

Aktivitas eksploitasi oleh satu kelompok kemungkinan besar dimulai pada Agustus 2021 dan Agustus lalu oleh kelompok lain, menurut sebuah penasehat yang diterbitkan bersama oleh Cybersecurity and Infrastructure Security Agency, FBI, dan Pusat Analisis dan Berbagi Informasi Multi-State. Dari November lalu hingga awal Januari, server menunjukkan tanda-tanda kompromi.

Kedua grup mengeksploitasi kerentanan eksekusi kode yang dilacak sebagai CVE-2019-18935 di alat pengembang yang dikenal sebagai antarmuka pengguna Telerik (UI) untuk ASP.NET AJAX, yang terletak di server web Microsoft Internet Information Services (IIS) agensi. Penasihat itu tidak mengidentifikasi badan tersebut selain mengatakan bahwa itu adalah Badan Cabang Eksekutif Sipil Federal di bawah otoritas CISA.

UI Telerik untuk ASP.NET AJAX dijual oleh perusahaan bernama Progress, yang berkantor pusat di Burlington, Massachusetts, dan Rotterdam di Belanda. Alat ini menggabungkan lebih dari 100 komponen UI yang dapat digunakan pengembang untuk mengurangi waktu yang diperlukan untuk membuat aplikasi Web kustom. Pada akhir 2019, Progress merilis versi 2020.1.114, yang menambal CVE-2019-18935, kerentanan deserialisasi tidak aman yang memungkinkan eksekusi kode dari jarak jauh pada server yang rentan. Kerentanan membawa peringkat keparahan 9,8 dari kemungkinan 10. Pada tahun 2020, NSA memperingatkan bahwa kerentanan sedang dieksploitasi oleh aktor yang disponsori negara China.

“Eksploitasi ini, yang menghasilkan akses interaktif dengan server web, memungkinkan pelaku ancaman berhasil mengeksekusi kode jarak jauh di server web yang rentan,” jelas penasehat hari Kamis. “Meskipun pemindai kerentanan agensi memiliki plugin yang sesuai untuk CVE-2019-18935, ia gagal mendeteksi kerentanan karena perangkat lunak Telerik UI dipasang di jalur file yang biasanya tidak dipindai. Ini mungkin terjadi pada banyak penginstalan perangkat lunak, karena jalur file sangat bervariasi tergantung pada organisasi dan metode penginstalan.”

Selengkapnya: ars TECHNICA

Vulnerability dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya dalam implementasi SHA-3, Shake, EDDSA, dan algoritma yang disetujui NIST lainnya

by

Makalah ini menggambarkan vulnerability dalam beberapa implementasi algoritma hash aman 3 (SHA-3) yang telah dirilis oleh desainernya. vulnerability telah hadir sejak pembaruan putaran akhir Keccak diserahkan ke Kompetisi Fungsi Hash Institute of Standards and Technology (NIST) SHA-3 pada Januari 2011, dan hadir dalam Paket Kode Keccak (XKCP) yang diperluas dari Tim Keccak. Ini mempengaruhi semua proyek perangkat lunak yang telah mengintegrasikan kode ini, seperti bahasa skrip Python dan php hypertext preprocessor (PHP).

vulnerability adalah overflow buffer yang memungkinkan nilai yang dikendalikan penyerang menjadi eksklusif (XORED) ke dalam memori (tanpa batasan nilai yang harus disedot dan bahkan jauh di luar lokasi buffer asli), dengan demikian membuat banyak langkah perlindungan standar terhadap Buffer overflows (mis., Nilai kenari) sama sekali tidak efektif.

Pertama, kami menyediakan skrip Python dan PHP yang menyebabkan kesalahan segmentasi ketika versi rentan penafsir digunakan. Kemudian, kami menunjukkan bagaimana vulnerability ini dapat digunakan untuk membangun preimage dan preimage kedua untuk implementasi, dan kami menyediakan file yang dibangun secara khusus yang, ketika hash, memungkinkan penyerang untuk menjalankan kode sewenang -wenang pada perangkat korban. vulnerability berlaku untuk semua ukuran nilai hash, dan semua sistem operasi Windows, Linux, dan MacOS 64-bit, dan juga dapat memengaruhi algoritma kriptografi yang memerlukan SHA-3 atau variannya, seperti algoritma tanda tangan digital Edwards-Curve (EDDSA) Edward Ketika kurva Edwards448 digunakan. Kami memperkenalkan uji init-update-final (IUFT) untuk mendeteksi vulnerability ini dalam implementasi.

@misc{cryptoeprint:2023/331,
author = {Nicky Mouha and Christopher Celi},
title = {A Vulnerability in Implementations of SHA-3, SHAKE, EdDSA, and Other NIST-Approved Algorithm},
howpublished = {Cryptology ePrint Archive, Paper 2023/331},
year = {2023},
note = {\url{https://eprint.iacr.org/2023/331}},
url = {https://eprint.iacr.org/2023/331}
}

sumber : eprint.iacr.org

Eksploitasi Kerentanan Kritis pada Produk VMware Akhir Masa Pakai Sedang Berlangsung

by

Perusahaan pendeteksi kerentanan aplikasi, Wallarm Detect, memperingatkan tentang eksploitasi berkelanjutan atas kelemahan kritis di VMware Cloud Foundation dan NSX Data Center for vSphere (NSX-V).

Diungkapkan pada Oktober 2022 dan dilacak sebagai CVE-2021-39144 (skor CVSS 9,8), saat VMware mengumumkan tambalan untuknya, meskipun produk yang terpengaruh telah mencapai status akhir masa pakai (EOL) pada Januari 2022.

Cacat keamanan diidentifikasi di library open-source XStream yang mendukung serialisasi objek ke XML dan sebaliknya, berdampak pada XStream versi 1.4.17 dan yang lebih lama.

VMware mengumumkan tambalan untuk kerentanan ini pada 25 Oktober. Dua hari kemudian, perusahaan memperbarui penasehatnya untuk memperingatkan bahwa kode proof-of-concept (PoC) yang menargetkan kerentanan telah dirilis.

Masalah ini telah diatasi bersama dengan CVE-2022-31678, cacat Entitas Eksternal XML (XXE) tingkat keparahan sedang yang dapat memungkinkan penyerang yang tidak diautentikasi menyebabkan kondisi denial-of-service (DoS).

Selengkapnya: Security Week

Pengalihan Roulette: Ribuan Situs Web yang dibajak di Asia Timur Mengalihkan Pengunjung ke Situs Lain

by

Beberapa bulan terakhir ini, peneliti telah menyelidiki operasi siber berskala besar yang memanfaatkan kredensial FTP sah yang diperoleh melalui vektor ancaman yang tidak diketahui. Kredensial FTP yang dibuat secara otomatis dan sangat aman yang entah bagaimana dapat diperoleh dan dimanfaatkan oleh penyerang untuk pembajakan situs web. Hingga saat ini kegiatan masih tetap berlangsung.

Ringkasan Eksekutif
Aktor ancaman tak dikenal berhasil menyusupi puluhan ribu situs web yang terutama ditujukan untuk pemirsa Asia Timur, mengalihkan ratusan ribu penggunanya ke konten bertema dewasa.

Pelaku ancaman selalu menyuntikkan kode berbahaya ke halaman web yang berhadapan dengan pelanggan yang dirancang untuk mengumpulkan informasi tentang lingkungan pengunjung dan terkadang mengarahkan mereka ke situs lain ini, bergantung pada peluang acak dan negara tempat pengguna berada.

Situs web yang disusupi adalah dimiliki oleh perusahaan kecil dan beberapa dioperasikan oleh perusahaan multinasional. Dalam beberapa kasus, termasuk honeypot yang disiapkan oleh peneliti untuk menyelidiki aktivitas ini, pelaku ancaman terhubung ke server web target menggunakan kredensial FTP sah yang mereka peroleh sebelumnya.

Ringkasan temuan investigasi
Ringkasan temuan investigasi

Ringkasan
Peneliti belum yakin bagaimana pelaku ancaman mendapatkan akses awal ke begitu banyak situs web, dan belum mengidentifikasi kesamaan yang signifikan antara server yang terpengaruh selain penggunaan FTP mereka.

Peneliti yakin bahwa motivasi pelaku ancaman kemungkinan besar bersifat finansial, dan mungkin mereka hanya bermaksud untuk meningkatkan lalu lintas ke situs web ini dari negara tertentu.

Hal ini tentunya berdampak terhadap situs web yang disusupi dan pengalaman penggunanya setara dengan perusakan. Kelemahan apapun yang dieksploitasi oleh pelaku ini untuk mendapatkan akses awal ke situs web ini dapat dimanfaatkan oleh pelaku lain untuk menimbulkan kerugian yang lebih besar.

Selengkapnya: Wiz Blog

IBM Mengkontribusikan Alat Keamanan Rantai Pasokan ke OWASP

by

Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.

SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.

Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.

Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.

Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.

Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.

SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.

Selengkapnya: DARK Reading

Karyawan LastPass Bisa Mencegah Peretasan Dengan Pembaruan Perangkat Lunak

by

Peretas mengeksploitasi kerentanan dalam perangkat lunak Plex Media Server yang ditambal pada Mei 2020. ‘Versi yang mengatasi eksploit ini kira-kira 75 versi yang lalu,’ kata Plex.

Ternyata pelanggaran besar-besaran di LastPass dapat dihentikan, atau setidaknya ditunda, jika seorang karyawan perusahaan memperbarui perangkat lunak di komputer rumah mereka.

Minggu ini, LastPass mengungkapkan peretas melakukan pelanggaran dengan memasang malware di komputer rumah karyawan, memungkinkan mereka menangkap penekanan tombol di mesin. Tapi satu pertanyaan yang tersisa adalah bagaimana malware itu dikirimkan.

Pada saat itu, LastPass hanya mengatakan(Opens in a new window) bahwa peretas mengeksploitasi “paket perangkat lunak media pihak ketiga yang rentan”, tanpa menyebutkan vendor atau kelemahan yang sebenarnya. Hal itu membuat banyak orang bertanya-tanya apakah peretas telah menyalahgunakan kerentanan yang saat ini tidak diketahui, yang dapat membahayakan banyak pengguna lain.

PCMag sejak itu mengetahui bahwa peretas menargetkan perangkat lunak Plex Media Server untuk memuat malware di komputer rumah karyawan LastPass. Namun yang menarik, kelemahan yang dieksploitasi bukanlah hal baru. Menurut Plex, kerentanan tersebut berusia hampir tiga tahun dan telah ditambal sejak lama.

Plex memberi tahu PCMag bahwa kerentanannya adalah CVE-2020-5741(Buka di jendela baru), yang diungkapkan perusahaan secara publik kepada pengguna pada Mei 2020. “Penyerang yang sudah memiliki akses admin ke Plex Media Server dapat menyalahgunakan fitur Unggah Kamera untuk buat server mengeksekusi kode berbahaya, ”kata perusahaan itu saat itu.

“Pada saat itu, seperti disebutkan dalam posting itu, versi terbaru dari Plex Media Server tersedia untuk semua (7-MAY-2020),” kata juru bicara Plex. “Sayangnya, karyawan LastPass tidak pernah memutakhirkan perangkat lunak mereka untuk mengaktifkan tambalan. Sebagai referensi, versi yang mengatasi eksploit ini kira-kira 75 versi yang lalu.”

Selengkapnya: PC Mag

Resmi: Malware BlackLotus dapat mem-bypass Secure Boot pada Windows

by

BlackLotus, bootkit UEFI yang dijual di forum peretasan seharga sekitar $5.000, sekarang dapat mem-bypass Secure Boot, menjadikannya malware pertama yang diketahui berjalan di sistem Windows bahkan dengan fitur keamanan firmware diaktifkan.
Secure Boot seharusnya mencegah perangkat menjalankan perangkat lunak yang tidak sah pada mesin Microsoft. Tetapi dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Peneliti keamanan utama Kaspersky, pertama kali melihat BlackLotus dijual di pasar kejahatan siber pada Oktober 2022 dan spesialis keamanan telah membongkar bagian demi bagian sejak saat itu.

Malware terbaru mampu berjalan bahkan pada sistem Windows 11 yang sepenuhnya up-to-date dengan UEFI Secure Boot diaktifkan.

Eksploitasi proof-of-concept untuk kerentanan ini telah tersedia untuk umum sejak Agustus 2022, diperkirakan akan segera melihat lebih banyak penjahat dunia maya menggunakan masalah ini untuk tujuan terlarang.

BlackLotus dapat menonaktifkan beberapa alat keamanan OS termasuk BitLocker, Integritas Kode yang dilindungi Hypervisor (HVCI) dan Windows Defender, dan melewati Kontrol Akun Pengguna (UAC), menurut toko keamanan.

Secure Boot dengan menargetkan UEFI, malware BlackLotus dimuat sebelum hal lain dalam proses booting, termasuk sistem operasi dan alat keamanan apa pun yang dapat menghentikannya.

Setelah mengeksploitasi CVE-2022-21894 dan mematikan alat keamanan sistem, BlackLotus menyebarkan driver kernel dan pengunduh HTTP. Driver kernel melindungi file bootkit dari penghapusan, sedangkan pengunduh HTTP berkomunikasi dengan server perintah-dan-kontrol dan mengeksekusi muatan.

Selengkapnya: The Register