Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft meluncurkan layanan keamanan baru yang ditujukan untuk melindungi kode di cloud

by

Microsoft mengumumkan Defender Cloud Security Posture Management dan Defender untuk DevOps, dua penawaran baru dalam layanan Defender for Cloud perusahaan (sebelumnya Azure Defender) yang ditujukan untuk mengelola pengembangan perangkat lunak dan keamanan runtime di lingkungan multicloud, multi-pipa.

Dalam percakapan dengan TechCrunch, CVP Microsoft untuk keamanan cloud Shawn Bice mengatakan bahwa Defender for DevOps dan Defender Cloud Security Posture Management (atau Defender CSPM, untuk merujuknya dengan akronim yang lebih kuat) muncul dari tantangan yang semakin dihadapi perusahaan saat mereka menggunakan layanan cloud-native untuk menyebarkan dan mengelola aplikasi.

Pelanggan ini sering kali memiliki visibilitas yang tidak lengkap dan kurangnya mitigasi yang diprioritaskan, katanya, membuat keamanan mereka reaktif dibandingkan proaktif.

Menurut laporan tahun 2020 dari Orca Security, 59% tim keamanan siber melaporkan menerima lebih dari 500 peringatan tentang keamanan cloud per hari sebagian besar adalah positif palsu.

Tool sprawl sering disebut-sebut sebagai tantangan dalam menjaga keamanan kode. Menanggapi survei GitLab dari Agustus, 41% tim DevOps mengatakan bahwa mereka menggunakan antara enam hingga 10 alat dalam rantai alat pengembangan mereka, yang menyebabkan mereka melewatkan masalah keamanan.

Untuk tujuan ini, Defender CSPM memanfaatkan algoritme AI untuk melakukan analisis risiko kontekstual dari lingkungan pengembangan perangkat lunak.

Rekomendasi dan wawasan yang dihasilkan disalurkan ke platform manajemen kode sumber seperti GitHub dan Azure DevOps untuk mendorong upaya perbaikan; sebagai alternatif, pengguna dapat membuat alur kerja yang terhubung ke rekomendasi keamanan untuk memicu perbaikan otomatis.

Defender CSPM juga menyediakan “kueri serangan” yang dapat digunakan tim keamanan untuk menjelajahi data risiko dan ancaman, serta dasbor yang menunjukkan semua aturan yang diterapkan di seluruh lingkungan pengembang dan alat yang memungkinkan admin keamanan untuk menentukan aturan baru.

Adapun Defender untuk DevOps, ini menunjukkan postur keamanan kode aplikasi pra-produksi dan konfigurasi sumber daya. Tim keamanan dapat menggunakan layanan untuk mengaktifkan template dan gambar kontainer yang dirancang untuk meminimalkan kemungkinan kesalahan konfigurasi cloud mencapai lingkungan produksi.

Dengan peluncuran Defender CSPM dan Defender for Cloud, jelas Microsoft mencari bagian yang lebih besar dari segmen DevSecOps yang besar dan berkembang. Grand View Research memperkirakan bahwa pasar untuk DevSecOps — yang mencakup alat yang mengotomatiskan praktik keamanan di setiap langkah pengembangan perangkat lunak — bernilai $2,79 miliar pada tahun 2020.

Startup termasuk Spectral, yang bertujuan untuk mendeteksi potensi masalah keamanan dalam basis kode dan log, dan Cycode, yang menawarkan alat untuk mengamankan saluran DevOps, mungkin dianggap sebagai pesaing.

Tetapi skala Microsoft dan fakta bahwa Defender CSPM dan Defender for Cloud gratis untuk pelanggan Defender for Cloud selama periode pratinjau memberikan keuntungan.

“Microsoft berkomitmen untuk memungkinkan keamanan untuk semua,” tambah Bice, “[dengan] tolok ukur keamanan cloud yang komprehensif di berbagai cloud.”

Sumber: TechCrunch

Server Microsoft Exchange diretas untuk menyebarkan ransomware LockBit

by

Microsoft sedang menyelidiki laporan bug zero-day baru yang disalahgunakan untuk meretas server Exchange yang kemudian digunakan untuk meluncurkan serangan ransomware Lockbit.

Setidaknya dalam satu insiden sejak Juli 2022, penyerang menggunakan web shell yang sebelumnya digunakan pada server Exchange yang disusupi untuk meningkatkan hak istimewa ke admin Active Directory, mencuri sekitar 1,3 TB data, dan mengenkripsi sistem jaringan.

Seperti yang dijelaskan oleh perusahaan keamanan siber Korea Selatan AhnLab, yang ahli analisis forensiknya dipekerjakan untuk membantu penyelidikan, pelaku ancaman hanya membutuhkan waktu seminggu untuk membajak akun admin AD sejak web shell diunggah.

AhnLab mengatakan server Exchange kemungkinan diretas menggunakan “kerentanan zero-day yang tidak diungkapkan,” mengingat korban menerima dukungan teknis dari Microsoft untuk menyebarkan patch keamanan triwulanan setelah kompromi sebelumnya dari Desember 2021.

Seperti yang dikatakan juru bicara Microsoft kepada BleepingComputer sebelumnya, perusahaan sedang “menyelidiki klaim dalam laporan ini dan akan mengambil tindakan apa pun yang diperlukan untuk membantu melindungi pelanggan.”

Selengkapnya: Bleeping Computer

Microsoft October 2022 Patch Tuesday memperbaiki zero-day yang digunakan dalam serangan serta 84 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Oktober 2022, dan dengan itu datang perbaikan untuk kerentanan Windows yang dieksploitasi secara aktif dan total 84 kelemahan.

Tiga belas dari 84 kerentanan yang diperbaiki dalam pembaruan kali ini diklasifikasikan sebagai ‘Kritis’ karena memungkinkan peningkatan hak istimewa, spoofing, atau eksekusi kode jarak jauh, salah satu jenis kerentanan yang paling parah.

Patch Tuesday bulan ini juga memperbaiki dua kerentanan zero-day, satu secara aktif dieksploitasi dalam serangan dan satu diungkapkan secara publik.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki kali ini dilacak sebagai ‘CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability’.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” bunyi nasihat Microsoft.

Kerentanan yang diungkapkan kepada publik dilacak sebagai ‘CVE-2022-41043 – Microsoft Office Information Disclosure Vulnerability’ dan ditemukan oleh Cody Thomas dari SpecterOps. Microsoft mengatakan penyerang dapat menggunakan kerentanan ini untuk mendapatkan akses ke token otentikasi pengguna.

Microsoft meminta pengguna untuk segera menerapkan pembaruan sesegera mungkin untuk melindungi sistem mereka.

Selengkapnya: Bleeping Computer

Apple merilis iOS 16.0.3

by

Apple terus memperbaiki beberapa bug awal yang memengaruhi iOS 16 serta iPhone 14 dan iPhone 14 Pro. Perusahaan tersebut sekarang meluncurkan iOS 16.0.3, yang mencakup perbaikan bug tambahan dan peningkatan kinerja untuk notifikasi, aplikasi Kamera, dan banyak lagi.

Nomor build untuk pembaruan terbaru adalah 20A392 dan tersedia untuk iPhone apa pun yang mampu menjalankan iOS 16, yang mencakup iPhone 8 dan yang lebih baru.

  • Panggilan masuk dan pemberitahuan aplikasi mungkin tertunda atau tidak terkirim di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Volume mikrofon rendah dapat terjadi selama panggilan telepon CarPlay pada model iPhone 14.
  • Kamera mungkin lambat diluncurkan atau beralih di antara mode di iPhone 14 Pro dan iPhone 14 Pro Max.
  • Email crash saat diluncurkan setelah menerima email yang salah format.

Salah satu hal terbesar yang kami perhatikan adalah apakah iOS 16.0.3 mengatasi keluhan masa pakai baterai yang saat ini membanjiri banyak pengguna iPhone atau tidak.

Selengkapnya: 9to5mac

Peretas Pertahanan Email Microsoft

by

Semakin banyak penyerang siber yang berfokus pada pembuatan serangan yang dikhususkan untuk melewati keamanan default Microsoft

“Banyak peretas menganggap email dan Microsoft 365 sebagai titik awal kompromi mereka, [sehingga mereka] akan menguji dan memverifikasi bahwa mereka dapat melewati keamanan default Microsoft,” menurut laporan baru dari Avanan yang menandai peningkatan dalam telemetri pelanggannya. email berbahaya yang mendarat di kotak email yang dilindungi Microsoft.

Beberapa angka yang menarik dalam laporan, diperoleh dari analisis 3 juta email perusahaan pada tahun lalu, termasuk:

Sekitar 19% email phishing yang diamati oleh Avanan melewati Microsoft Exchange Online Protection (EOP) dan Defender.
Sejak tahun 2020, tingkat phishing yang terlewatkan Defender di antara pelanggan Avanan telah meningkat sebesar 74%.
Rata-rata, Defender hanya mengirimkan 7% dari pesan phishing yang diterima oleh pelanggan Avanan ke folder Junk.
Kabar baiknya: Microsoft menandai dan memblokir 93% upaya kompromi email bisnis.

Microsoft menangkap 90% email yang dijebak dengan lampiran yang sarat malware.
Sekali lagi, angka tersebut menunjukkan evolusi phishing dan fakta bahwa penyerang semakin sering menggunakan taktik seperti memanfaatkan layanan yang sah untuk menghindari menyertakan tautan yang jelas-jelas berbahaya dalam email, menggunakan teknik penyamaran seperti URL cantik, dan menghindari lampiran sama sekali.

Untuk mempertahankan diri terhadap serangan yang dibuat khusus ini, organisasi dapat menggunakan pendekatan dasar pertahanan mendalam dengan empat cabang utama, menurut Roger Grimes, penginjil pertahanan berbasis data di KnowBe4.

Cabang-cabang tersebut meliputi: Fokus yang lebih baik untuk mencegah rekayasa sosial, menggunakan kombinasi kebijakan, pertahanan teknis, dan pendidikan terbaik; patch perangkat lunak dan firmware, terutama yang terdaftar di Katalog Kerentanan yang Diketahui CISA yang Dieksploitasi; menggunakan otentikasi multifaktor tahan phishing (MFA); dan menggunakan kata sandi yang berbeda dan aman untuk setiap situs dan layanan di mana MFA tidak dapat digunakan.

“Tidak ada pertahanan lain, selain empat ini, yang akan berdampak paling besar pada penurunan risiko keamanan siber,” kata Grimes. “Kurangnya fokus dunia pada empat pertahanan inilah yang telah membuat peretas dan malware begitu sukses begitu lama.”

Sumber: Dark Reading

Google menutup layanan Terjemahan di China

by

Google Alphabet pada hari Senin mengatakan telah menutup layanan Google Translate di Cina daratan, dengan alasan penggunaan yang rendah.

Langkah ini menandai akhir dari salah satu produk terakhirnya yang tersisa di ekonomi terbesar kedua di dunia.

Situs web China daratan khusus untuk Google Terjemahan sekarang mengalihkan pengguna ke layanan versi Hong Kong. Namun, ini tidak dapat diakses dari daratan Cina.

Google telah memiliki hubungan yang penuh dengan pasar Cina. Raksasa teknologi AS itu menarik mesin pencarinya dari China pada 2010 karena penyensoran online yang ketat dari pemerintah. Layanan lainnya seperti Google Maps dan Gmail juga diblokir secara efektif oleh pemerintah China.

Akibatnya, pesaing lokal seperti mesin pencari Baidu dan media sosial dan raksasa game Tencent telah mendominasi lanskap internet China di berbagai bidang mulai dari pencarian hingga terjemahan.

Google memiliki kehadiran yang sangat terbatas di China akhir-akhir ini. Beberapa perangkat kerasnya termasuk smartphone dibuat di Cina. Tetapi The New York Times melaporkan bulan lalu bahwa Google telah mengalihkan beberapa produksi smartphone Pixel-nya ke Vietnam.

Perusahaan juga berusaha untuk membuat pengembang Cina membuat aplikasi untuk sistem operasi Android-nya secara global yang kemudian akan tersedia melalui Google Play Store, meskipun itu diblokir di Cina.

Pada tahun 2018, Google sedang menjajaki masuk kembali ke China dengan mesin pencarinya, tetapi akhirnya membatalkan proyek itu setelah mendapat reaksi keras dari karyawan dan politisi.

Bisnis Amerika telah terperangkap di tengah ketegangan yang berkelanjutan di bidang teknologi antara AS dan China. Washington terus mengkhawatirkan akses potensial China ke teknologi sensitif di berbagai bidang seperti kecerdasan buatan dan semikonduktor.

Sumber: CNBC

Mitigasi server zero-day Microsoft Exchange dapat dilewati

by

Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

  • Buka Manajer IIS.
  • Pilih Situs Web Default.
  • Di** Feature View**, klik URL Rewrite.
  • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
  • Pilih** Permintaan Pemblokiran** dan klik OK.
  • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
  • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
  • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

.*autodiscover\.json.*Powershell.*

Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

Selengkapnya: Bleeping Computer

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer