Zero Day

Kerentanan Zero-day Pada Chrome Yang Baru Dalam Serangan Aktif – Perbarui Browser Anda Sekarang

October 22, 2020 by Winnie the Pooh

Jika Anda menggunakan browser Google Chrome di komputer Windows, Mac, atau Linux, Anda perlu segera memperbarui perangkat lunak browser Anda ke versi terbaru yang dirilis Google hari ini.

Google merilis Chrome versi 86.0.4240.111 hari ini untuk menambal beberapa masalah keamanan dengan tingkat keparahan tinggi, termasuk kerentanan zero-day yang telah dieksploitasi di alam liar oleh penyerang untuk membajak komputer yang ditargetkan.

Dilacak sebagai CVE-2020-15999, kerentanan yang dieksploitasi secara aktif adalah jenis cacat kerusakan memori yang disebut heap buffer overflow di Freetype, library pengembangan perangkat lunak sumber terbuka yang populer untuk merender font yang dikemas dengan Chrome.

Selain kerentanan zero-day FreeType, Google juga memperbaiki empat kelemahan lain dalam pembaruan Chrome terbaru, tiga di antaranya adalah kerentanan berisiko tinggi — bug implementasi yang tidak tepat di Blink, penggunaan setelah free bug di media Chrome, dan penggunaan setelah free bug dalam PDFium — dan satu penggunaan berisiko menengah setelah masalah free dalam fungsi pencetakan browser.

Untuk memperbarui Chrome Anda pada Windows dan Mac, Klik ⋮ pada bagian kanan atas di Chrome Anda > Help > About Chrome, lalu pembaruan akan otomatis berjalan jika sudah tersedia.

Untuk memperbarui Chrome pada mesin Linux, gunakan update manager di desktop Anda.

Berita selengkapnya:
Source: The Hacker News

Kelompok peretas ‘Bayaran’ merajalela di Timur Tengah, menurut penelitian keamanan siber

October 9, 2020 by Winnie the Pooh

Dijuluki Bahamut, kelompok peretasan bayaran telah melakukan operasi ekstensif terhadap target di seluruh dunia dalam serangan multi-cabang yang telah dirinci oleh peneliti keamanan siber di BlackBerry. Kampanye tersebut tampaknya telah beroperasi setidaknya sejak 2016.

Operasi spionase ini menggunakan teknik phishing, rekayasa sosial, aplikasi jahat, malware khusus, dan serangan zero-day yang secara diam-diam menargetkan pemerintah, industri swasta, dan individu selama bertahun-tahun.

“Kecanggihan dan cakupan aktivitas berbahaya yang dapat ditautkan oleh tim kami ke Bahamut sungguh mengejutkan,” kata Eric Milam, VP operasi penelitian di BlackBerry.

Kemampuan Bahamut untuk memanfaatkan eksploitasi zero-day menempatkannya dengan beberapa operasi peretasan paling kuat.

Namun, peneliti BlackBerry mencatat bahwa penggunaan malware seringkali hanya menjadi pilihan terakhir bagi Bahamut, karena malware dapat meninggalkan bukti serangan dan bahwa kelompok tersebut lebih suka menggunakan rekayasa sosial dan serangan phishing sebagai cara utama untuk secara diam-diam membobol jaringan organisasi target dengan bantuan kredensial yang dicuri.

Dalam satu kasus, Bahamut mengambil alih domain asli untuk apa yang dulunya merupakan situs web teknologi dan keamanan informasi dan menggunakannya untuk memposting artikel tentang geopolitik, penelitian, dan berita industri, lengkap dengan profil penulis. Sementara penulis menggunakan persona palsu, mereka menggunakan gambar jurnalis asli.

Selain malware dan rekayasa sosial, Bahamut juga menggunakan aplikasi seluler berbahaya untuk pengguna iPhone dan Android. Dengan menginstal salah satu aplikasi berbahaya, pengguna memasang backdoor ke perangkat mereka yang dapat digunakan penyerang untuk memantau semua aktivitas korban, seperti kemampuan untuk membaca pesan, mendengarkan panggilan, memantau lokasi dan aktivitas spionase lainnya.

Bahamut diyakini masih berusaha untuk melakukan kampanye aktif dan sifat kelompok tentara bayaran yang berarti bahwa setiap organisasi atau individu profil tinggi berpotensi menjadi target.

BlackBerry tidak menyebut salah satu target Bahamut secara langsung, tetapi para peneliti sebelumnya telah secara terbuka mengidentifikasi aktivis hak asasi manusia Timur Tengah, pejabat militer Pakistan, dan pengusaha Teluk Arab sebagai sasaran kelompok tersebut.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Reuters | ZDNet

Botnet IoT Ttint baru tertangkap basah mengeksploitasi dua zero-day di router Tenda

October 5, 2020 by Winnie the Pooh

Dinamakan Ttint, botnet ini pertama kali dirinci dalam sebuah laporan yang diterbitkan pada hari Jumat oleh Netlab, divisi keamanan jaringan dari raksasa teknologi China Qihoo 360.

Tidak hanya menginfeksi perangkat untuk melakukan serangan DDoS, tetapi juga menerapkan 12 metode akses jarak jauh yang berbeda ke router yang terinfeksi, menggunakan router sebagai proxy untuk menyampaikan lalu lintas, merusak firewall router dan pengaturan DNS, dan bahkan memberi penyerang kemampuan untuk menjalankan perintah jarak jauh pada perangkat yang terinfeksi.

Menurut laporan perusahaan, botnet tampaknya telah digunakan tahun lalu, pada November 2019, ketika Netlab mengatakan mendeteksi Ttint menyalahgunakan Tenda zero-day pertamanya untuk mengambil alih router yang rentan.

Botnet terus mengeksploitasi zero-day ini (dilacak sebagai CVE-2020-10987) hingga Juli 2020, ketika Sanjana Sarda, Analis Keamanan Junior di Penilai Keamanan Independen, menerbitkan laporan terperinci tentang kerentanan tersebut dan empat lainnya.

Tenda tidak merilis patch firmware untuk menangani temuan Sarda, tetapi operator Ttint tidak menunggu untuk mengetahui apakah vendor akan memperbaiki bugnya nanti.

Netlab mengatakan bahwa router Tenda yang menjalankan versi firmware antara AC9 hingga AC18 dianggap rentan.

Karena Ttint terlihat mengubah pengaturan DNS pada router yang terinfeksi, kemungkinan besar mengarahkan pengguna ke situs jahat, menggunakan salah satu dari router ini tidak disarankan.

Pemilik router Tenda yang ingin mengetahui apakah mereka menggunakan router yang rentan dapat menemukan informasi versi firmware di panel administrasi router.

Setelah dianalisis, Ttint dibangun di atas Mirai, keluarga malware IoT yang kodenya bocor secara online pada 2016. Sejak bocor secara online, ada banyak botnet yang merupakan cabang dari basis kode asli ini.

Setiap operator botnet mencoba berinovasi dan menambahkan sesuatu yang berbeda, tetapi Ttint tampaknya telah mengguanakan sesuatu dari masing-masing botnet untuk membangun versi Mirai yang lebih kompleks daripada sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Security Minggu ini: Active Directory telah berakhir, Authentikasi Dua Factor Tidak Sempurna, dan Politisi sebagai Peretas

September 20, 2020 by Winnie the Pooh

Berita paling besar minggu ini adalah kelemahan besar pada Active Directory Microsoft, CVE-2020-1472 (whitepaper). Netlogon adalah bagian dari skema domain Windows, dan digunakan untuk mengotentikasi pengguna tanpa benar-benar mengirim sandi melalui jaringan. Versi Windows modern menggunakan AES-CFB8 sebagai mesin kriptografi yang mendukung otentikasi Netlogon. Mode khusus AES ini mengambil vektor inisialisasi (IV) bersama dengan kunci dan teks biasa. Kelemahannya di sini adalah bahwa implementasi Microsoft menetapkan IV ke semua nol.

Proses enkripsi AES dasar memiliki dua input: teks biasa 128 bit (16 byte), dan kunci 128, 192, atau 256 bit. Plaintext dan key yang sama akan menghasilkan output ciphertext yang sama setiap saat. Mengenkripsi lebih dari 128 bit data dengan pendekatan naif ini akan segera mengungkap masalah – Sangat mungkin untuk menemukan pola dalam keluaran. Lebih buruk lagi, pemeriksaan pola yang cerdas dapat membangun buku decoding. Pola 16 byte yang paling sering muncul akan ditebak terlebih dahulu. Ini akan menjadi seperti teka-teki silang raksasa, mencoba mengisi kekosongan.

Netlogon, di sisi lain, menggunakan mode Cipher FeedBack (CFB8) dari AES. Mode ini membutuhkan 16 byte IV, dan menambahkan nilai itu ke data yang akan dienkripsi. Operasi AES dasar dilakukan pada 16 byte pertama dari pesan ini (hanya IV). Byte pertama dari output adalah XOR dengan byte ke-17 dari string gabungan, dan kemudian jendela 16 byte bergeser satu byte ke kanan. Ketika byte terakhir dari pesan teks biasa telah di-XOR, IV dijatuhkan dan proses selesai. Konstruksi khusus AES-CFB8 berarti IV acak jauh lebih penting untuk enkripsi yang kuat.

Ingat kelemahannya? Implementasi Microsoft menetapkan nilai IV itu sebagai nol semua. Kunci enkripsi dihasilkan dari kata sandi, tetapi teks biasa yang akan dienkripsi dapat ditentukan oleh penyerang. Cukup mudah untuk memanipulasi situasi sedemikian rupa sehingga seluruh string IV + Plaintext terdiri dari nol. Dalam keadaan ini, 1-dalam-256 kunci akan menghasilkan ciphertext nol. Dengan kata lain, keamanan 128-bit AES dikurangi menjadi 8-bit. Hanya dalam beberapa tebakan, penyerang dapat menggunakan Netlogon untuk mengotentikasi sebagai pengguna mana pun.

Microsoft telah memperbaiki masalah ini dalam pembaruan keamanan Agustus mereka. Meskipun benar bahwa mengeksploitasi masalah ini membutuhkan pijakan di jaringan, eksploitasinya sederhana dan bukti kode konsep sudah tersedia. Ini jelas merupakan masalah untuk segera dipatch.

Lihat Artikel lebih lanjut disini

Ketika 2FA Membuat Anda Kurang Aman

Beberapa tindakan keamanan bersifat universal seperti “Aktifkan autentikasi dua faktor”. Ada sedikit celah di sana. sebenarnya, 2FA menambahkan permukaan serangan ekstra. Palo Alto menemukan ini dengan cara yang sulit dengan sistem PAN-OS mereka. Dengan 2FA atau captive portal diaktifkan, dimungkinkan untuk mengeksploitasi buffer overflow dan mengeksekusi kode sebagai root. Karena antarmuka yang akan dieksploitasi sering diekspos ke publik, kerentanan ini mendapat skor kritis 9,8.

Skimmer Kartu Virtual CardBleed

Magento adalah platform e-niaga yang dimiliki oleh Adobe sejak 2018. Sederhananya, ini adalah sistem keranjang belanja untuk situs web. Dalam beberapa hari terakhir, tampaknya hampir 2.000 instans Magento v1 telah disusupi, dengan skimmer digital dipasang di situs tersebut. Eksploitasi yang cepat akan menunjukkan bahwa seseorang memiliki database situs bertenaga Magento, dan memperoleh eksploitasi zero-day yang dapat diotomatiskan.

Hacking Politicians for Fun and Profit

Trio peretas Belanda berhasil membobol akun twitter Donald Trump pada tahun 2016, tepat sebelum pemilihan. Bagaimana? Kisah yang sama yang kita semua kenal: penggunaan ulang kata sandi dan dump database LinkedIn. Fakta mengejutkan, kata sandi favorit Donald Trump adalah “yourefired” (“anda dipecat”).

Dalam cerita serupa, mantan perdana menteri Australia memposting gambar online yang berisi boarding pass-nya, dan seorang peneliti yang banyak akal berhasil menggunakan informasi itu untuk mendapatkan kembali paspor dan nomor teleponnya. Tahukah Anda bahwa boarding pass dianggap sebagai informasi sensitif? Untuk mengotentikasi dengan maskapai penerbangan, yang diperlukan hanyalah nama belakang dan nomor referensi pemesanan yang cocok. Ini memberi Anda akses ke laman yang sangat tidak menarik, tetapi ketika Anda memiliki akses ke 1337 alat peretas, langit adalah batasnya. Rupanya backend situs web Qantas mengirimkan semua yang ada di database tentang pelanggan tertentu, dan hanya sedikit dari informasi itu yang ditampilkan kepada pengguna. Jauh lebih banyak informasi yang menunggu untuk diendus.

Tor 0-Day?

[Dr. Neal Krawetz] menjalankan layanan tersembunyi TOR, dan mendapati dirinya menjadi korban serangan DDoS melalui jaringan TOR. Dia menelepon seorang teman yang melakukan keamanan jaringan secara profesional, dan meminta bantuan. Setelah membaca setengah dari alamat IP publik tempat tinggal server hosting, temannya memberi tahu alamat lainnya. Mari kita pikirkan proses itu. Layanan TOR tersembunyi sedang diserang, seseorang dengan akses ke Network Operations Center (NOC) yang cukup besar dapat mengetahui apa alamat IP Publik dari layanan itu. Ini adalah jeda mendasar dalam tujuan TOR.

Source : Hackday

Keamanan WordPress: Kerentanan Zero-day di plugin File Manager dieksploitasi secara aktif

September 4, 2020 by Winnie the Pooh

Pengguna File Manager, plugin WordPress yang populer, telah didesak untuk memperbarui ke versi terbaru di tengah eksploitasi aktif dari kerentanan zero-day yang kritis.

Kerentanan eksekusi kode jarak jauh (RCE), yang diberi skor CVSS 10, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi arbitrary code dan mengunggah file berbahaya di situs web yang rentan.

Kerentanan tersebut ditemukan oleh Ville Korhonen, pimpinan tim sistem di perusahaan hosting WordPress Finlandia, Seravo, yang mendokumentasikan penemuan tersebut dalam sebuah posting blog.

“Seorang penyerang berpotensi melakukan apa pun yang mereka mau – mencuri data pribadi, menghancurkan situs atau menggunakan situs web untuk melakukan serangan lebih lanjut ke situs lain atau infrastruktur,” kata Korhonen.

File Manager, yang membantu administrator WordPress mengatur file di situs mereka, memiliki lebih dari 700.000 penginstalan aktif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Daily Swig

Perkembangan Eksploitasi: 80% Eksploitasi Terbit Lebih Cepat daripada CVE

August 28, 2020 by Winnie the Pooh

Dengan jumlah kerentanan baru yang terus meningkat, manajemen kerentanan menjadi salah satu proses paling penting dalam memastikan operasi bisnis yang berkelanjutan.

Meskipun jelas bahwa penambalan yang tepat waktu itu penting, penting juga untuk mengetahui secara kuantitatif bagaimana penundaan dapat meningkatkan risiko.

Untuk memahami keadaan perkembangan pengungkapan kerentanan dan eksploitasi, peneliti Unit 42 menganalisis 45.450 eksploitasi yang tersedia untuk umum di Exploit Database.

Penelitian ini menghubungkan data exploit dengan kerentanan dan informasi patch untuk mempelajari perkembangan exploit dalam berbagai aspek.

Penelitian tersebut mengungkapkan bahwa:

Dari 45.450 eksploitasi publik di Database Eksploitasi, terdapat 11.079 (~ 26%) eksploitasi di Database Eksploitasi yang telah memetakan nomor CVE.
Di antara 11.079 eksploitasi itu:

14% adalah zero-day (dipublikasikan sebelum vendor merilis patch), 23% dipublikasikan dalam seminggu setelah rilis patch dan 50% dipublikasikan dalam waktu sebulan setelah rilis patch. Rata-rata, sebuah exploit diterbitkan 37 hari setelah tambalan dirilis. Tambal sesegera mungkin – risiko kerentanan yang dieksploitasi meningkat dengan cepat setelah vendor merilis tambalan.
80% dari eksploitasi publik dipublikasikan sebelum CVE dipublikasikan. Rata-rata, exploit diterbitkan 23 hari sebelum CVE dipublikasikan. Perangkat lunak dan perangkat keras mungkin juga memiliki kerentanan dengan eksploitasi publik yang tidak memiliki CVE. Periksa pembaruan keamanan dari vendor sesering mungkin dan terapkan pembaruan sesegera mungkin.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Unit 42 Paloalto

Eksploitasi Internet Explorer Dan Zero-day Windows Digunakan Dalam Operasi PowerFall

August 18, 2020 by Winnie the Pooh

Aktor ancaman tingkat lanjut mengeksploitasi salah satu dari dua kerentanan zero-day yang ditambal Microsoft pada hari Selasa dalam serangan yang ditargetkan awal tahun ini.

Aktor tersebut menggunakan dua kelemahan di Windows, keduanya tidak diketahui pada saat serangan, dalam upaya untuk mencapai eksekusi kode jarak jauh dan meningkatkan hak istimewa mereka pada mesin yang dikompromikan.

Upaya jahat itu terjadi pada bulan Mei dan menargetkan perusahaan Korea Selatan. Peneliti dari Kaspersky percaya bahwa ini mungkin operasi DarkHotel, grup peretas yang telah beroperasi selama lebih dari satu dekade.

Dijuluki “Operation PowerFall”, serangan tersebut mengandalkan kerentanan eksekusi kode jarak jauh (RCE) di Internet Explorer 11, sekarang dilacak sebagai CVE-2020-1380, dan celah keamanan di Windows GDI Print / Print Spooler API yang memungkinkan eskalasi hak istimewa, sekarang diidentifikasi sebagai CVE-2020-0986.

Boris Larin dari Kaspersky, yang menemukan dan melaporkan CVE-2020-1380 ke Microsoft pada 8 Juni, telah merilis kode proof-of-concept untuk memicu kerentanan bersamaan dengan penjelasan teknis untuk membantu memahaminya dengan lebih baik.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Microsoft Agustus 2020 Patch Tuesday Memperbaiki 120 Kerentanan Serta Dua Zero Day

August 13, 2020 by Winnie the Pooh

Bulan ini, Microsoft telah memperbaiki 120 kerentanan di 13 produk berbeda, dari Edge hingga Windows, dan dari SQL Server hingga .NET Framework.

Di antara 120 kerentanan yang diperbaiki, 17 bug telah menerima peringkat tingkat keparahan tertinggi “Kritis”. Dua zero-days, kerentanan yang telah dieksploitasi oleh peretas sebelum Microsoft dapat menyediakan tambalan hari ini, juga telah diperbaiki.

Zero day yang pertama adalah bug di sistem operasi Windows. Dilacak sebagai CVE-2020-1464, Microsoft mengatakan bahwa penyerang dapat mengeksploitasi bug ini dan membuat Windows salah memvalidasi signature file.

Microsoft mengatakan penyerang dapat menggunakan bug ini untuk “melewati fitur keamanan dan memuat file yang ditandatangani secara tidak benar.”

Sedangkan untuk zero-day kedua, yang satu ini dilacak sebagai CVE-2020-1380, dan berada di scripting engine yang dikirimkan bersama Internet Explorer. Microsoft mengatakan menerima laporan dari pembuat antivirus Kaspersky bahwa peretas telah menemukan bug eksekusi kode jarak jauh (RCE) di scripting engine IE dan telah menyalahgunakannya dalam serangan dunia nyata.

Di bawah ini adalah beberapa informasi berguna tentang Microsoft Patch Tuesday, juga pembaruan keamanan yang dirilis oleh perusahaan lain bulan ini, yang mungkin juga perlu ditangani oleh sysadmin, selain batch Microsoft.