Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

PowerToy Windows ‘LockSmith’ Membantu Anda Membuka File Yang Terkunci

by


Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga.

Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga, juga editor file host Windows dan daftar panjang perbaikan bug dan perubahan yang menambah stabilitas dan meningkatkan alat bawaan lainnya.

program pihak ketiga yang dirancang untuk menghilangkan status “terkunci”, sekarang Anda dapat memeriksa file mana yang digunakan oleh proses mana dengan mengklik kanan file tersebut di File Explorer dan mengklik “Apa yang menggunakan file ini?” dalam menu konteks.

Anda kemudian dapat menghentikan proses apa pun yang ditemukan oleh File Locksmith atau memindai lagi menggunakan hak administrator untuk mencari proses yang diluncurkan oleh semua pengguna.



Menu konteks File Tukang Kunci

Alat ini akan membantu Anda menambahkan entri baru ke file Host dan memperbarui yang sudah tersedia. Ini juga memiliki fitur filter untuk menyaring file besar dengan cepat dan mempersempit daftar hasil.

Untuk menginstal versi Microsoft PowerToys terbaru, Anda harus mengunduh dan meluncurkan the PowerToys 0.64 installer dari halaman GitHub proyek.

WhatsApp akan sangat, sangat, meminta Anda untuk mengaktifkan 2FA

by

Popularitas layanan yang dimiliki Meta menjadikannya target utama bagi peretas dan penipu yang selalu mencari cara untuk mendapatkan akses tidak sah ke akun Anda.

Untuk keamanan tambahan, WhatsApp menyediakan otentikasi dua faktor sehingga Anda dapat lebih mengamankan akun Anda menggunakan PIN. Tetapi tidak semua orang menggunakan atau mengetahui tentang otentikasi dua faktor, dan layanan pesan ingin mengubahnya.

WhatsApp menambahkan verifikasi dua langkah ke platformnya pada tahun 2016, sehingga fitur tersebut telah tersedia selama hampir enam tahun. Hanya saja perusahaan belum terlalu memaksakan opsi tersebut kepada penggunanya.

Jika Anda menggunakan WhatsApp setiap hari, sama sekali tidak ada alasan bagi Anda untuk tidak mengaktifkan tindakan keamanan ini. Faktanya, ada banyak alasan mengapa Anda harus menggunakan 2FA di semua layanan.

Ini adalah fitur keamanan penting yang dapat melindungi akun Anda agar tidak jatuh ke tangan yang salah. Dengan verifikasi dua langkah, Anda harus memasukkan PIN selain kode SMS yang dikirim ke nomor Anda saat memindahkan akun WhatsApp Anda dari satu ponsel ke ponsel lainnya.

Pada bulan Agustus tahun ini, WhatsApp juga terlihat sedang mengerjakan persetujuan masuk perangkat. Fitur keamanan ini tampaknya akan menampilkan prompt login pada perangkat Anda saat ini ketika Anda mencoba untuk memindahkan akun WhatsApp Anda ke perangkat lain.

Sampai WhatsApp meluncurkan fitur ini, verifikasi dua faktor adalah satu-satunya lapisan keamanan tambahan yang dapat Anda tambahkan ke akun Anda untuk mencegah scammers mendapatkan akses ke sana dengan mudah.

Selengkapnya: Android Police

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Apple mengatakan hanya OS terbaru yang akan sepenuhnya ditambal

by

Apple merilis dokumen yang mengklarifikasi tentang kebijakan pembaruannya yang menyatakan bahwa hanya perangkat yang menjalankan versi sistem operasi terbaru yang akan dilindungi sepenuhnya.

Apple menggunakan “upgrade” untuk merujuk ke rilis OS utama yang dapat menambahkan fitur baru yang besar dan perubahan antarmuka pengguna dan “update” untuk merujuk ke patch yang lebih kecil tetapi lebih sering dirilis yang sebagian besar memperbaiki bug dan mengatasi masalah keamanan (meskipun ini dapat sesekali aktifkan juga penambahan atau peningkatan fitur kecil). Jadi memperbarui dari iOS 15 ke iOS 16 atau macOS 12 ke macOS 13 adalah peningkatan. Memperbarui dari iOS 16.0 ke 16.1 atau macOS 12.5 ke 12.6 atau 12.6.1 adalah pembaruan.

Dengan kata lain, sementara Apple akan memberikan pembaruan terkait keamanan untuk versi sistem operasinya yang lebih lama, hanya pembaruan terbaru yang akan menerima pembaruan untuk setiap masalah keamanan yang diketahui Apple. Apple saat ini menyediakan pembaruan keamanan untuk macOS 11 Big Sur dan macOS 12 Monterey bersama dengan macOS Ventura yang baru dirilis, dan di masa lalu, Apple telah merilis pembaruan keamanan untuk versi iOS lama untuk perangkat yang tidak dapat menginstal pemutakhiran terbaru.

Kepala Analis Keamanan Intego Joshua Long telah melacak CVE yang ditambal oleh pembaruan macOS dan iOS yang berbeda selama bertahun-tahun dan umumnya menemukan bahwa bug yang ditambal di versi OS terbaru dapat memakan waktu berbulan-bulan sebelum ditambal di versi yang lebih lama (tetapi masih “didukung”), ketika mereka sedang ditambal sama sekali.

Ini relevan untuk pengguna Mac karena Apple menjatuhkan dukungan untuk model Mac dan iDevice yang lebih lama di sebagian besar peningkatan, sesuatu yang agak dipercepat untuk Intel Mac lama dalam beberapa tahun terakhir (kebanyakan Mac masih menerima enam atau tujuh tahun peningkatan, ditambah dua tahun pembaruan ).

Ini berarti bahwa setiap tahun, ada kumpulan perangkat baru yang masih mendapatkan beberapa pembaruan keamanan tetapi tidak semuanya. Perangkat lunak seperti OpenCore Legacy Patcher dapat digunakan untuk menjalankan versi OS terbaru pada perangkat keras yang lebih lama, tetapi ini tidak selalu merupakan proses yang sederhana, dan ia memiliki batasan dan peringatannya sendiri.

Kebanyakan orang yang menjalankan instalasi Big Sur atau Monterey terbaru dengan browser Safari terbaru seharusnya aman dari sebagian besar ancaman berprioritas tinggi, terutama jika Anda juga terus memperbarui aplikasi lain di Mac Anda. Dan dokumentasi Apple tidak mengubah apa pun tentang cara memperbarui perangkat lunak lama.

Sumber: Arstechnica

Apple memperbaiki zero-day baru yang digunakan dalam serangan terhadap iPhone, iPad

by

Apple telah mengatasi kerentanan zero-day kesembilan yang dieksploitasi dalam serangan di alam liar sejak awal tahun.

Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan “mungkin telah dieksploitasi secara aktif.”

Bug (CVE-2022-42827) adalah masalah out-of-bounds write yang dilaporkan ke Apple oleh peneliti anonim dan disebabkan oleh perangkat lunak yang menulis data di luar batas buffer memori saat ini.

Hal ini dapat mengakibatkan kerusakan data, aplikasi mogok, atau eksekusi kode karena hasil yang tidak ditentukan atau tidak diharapkan (juga dikenal sebagai kerusakan memori) yang dihasilkan dari data berikutnya yang ditulis ke buffer.

Seperti yang dijelaskan Apple, jika berhasil dieksploitasi dalam serangan, zero-day ini dapat digunakan oleh penyerang potensial untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Daftar lengkap perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru.

Apple mengatasi kerentanan zero-day di iOS 16.1 dan iPadOS 16 dengan pemeriksaan batas yang ditingkatkan.

Sementara Apple telah mengungkapkan bahwa mereka mengetahui laporan eksploitasi aktif dari kerentanan ini di alam liar, itu belum merilis informasi apa pun mengenai serangan ini.

Ini kemungkinan akan memungkinkan pelanggan Apple untuk menambal perangkat mereka sebelum lebih banyak penyerang mengembangkan eksploitasi tambahan dan mulai menggunakannya dalam serangan yang menargetkan iPhone dan iPad yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan hari ini sangat disarankan untuk memblokir upaya serangan apa pun.

Sumber : Bleeping Computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

by

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Pelanggaran data Microsoft mengekspos data pelanggan

by

Microsoft telah mengatakan bahwa beberapa informasi sensitif pelanggannya diekspos oleh server Microsoft yang salah konfigurasi yang dapat diakses melalui Internet.

Perusahaan mengamankan server setelah diberitahu tentang kebocoran pada 24 September 2022 oleh peneliti keamanan di perusahaan intelijen ancaman SOCRadar.

“Konfigurasi yang salah ini mengakibatkan potensi akses yang tidak diautentikasi ke beberapa data transaksi bisnis yang terkait dengan interaksi antara Microsoft dan calon pelanggan, seperti perencanaan atau implementasi potensial dan penyediaan layanan Microsoft,” ungkap perusahaan tersebut.

Menurut Microsoft, informasi yang terbuka mencakup nama, alamat email, konten email, nama perusahaan, dan nomor telepon, serta file yang ditautkan ke bisnis antara pelanggan yang terpengaruh dan Microsoft atau mitra resmi Microsoft.

Redmond menambahkan bahwa kebocoran itu disebabkan oleh “kesalahan konfigurasi yang tidak disengaja pada titik akhir yang tidak digunakan di seluruh ekosistem Microsoft” dan bukan karena kerentanan keamanan.

SOCRadar mengungkapkan bahwa data disimpan di Azure Blob Storage yang salah konfigurasi. Secara total, SOCRadar mengklaim dapat menautkan informasi sensitif ini ke lebih dari 65.000 entitas dari 111 negara yang disimpan dalam file tertanggal 2017 hingga Agustus 2022.

Perusahaan intel ancaman menambahkan bahwa, dari analisisnya, data yang bocor “termasuk dokumen Proof-of-Execution (PoE) dan Pernyataan Kerja (SoW), informasi pengguna, pesanan/penawaran produk, detail proyek, PII (Informasi Identifikasi Pribadi)) data, dan dokumen yang dapat mengungkapkan kekayaan intelektual.”

Microsoft menambahkan hari ini bahwa mereka percaya SOCRadar “sangat melebih-lebihkan ruang lingkup masalah ini” dan “angkanya.”

Lebih lanjut, Redmond mengatakan bahwa keputusan SOCRadar untuk mengumpulkan data dan membuatnya dapat dicari menggunakan portal pencarian khusus “bukan demi memastikan privasi atau keamanan pelanggan dan berpotensi mengekspos mereka pada risiko yang tidak perlu.”

Portal pencarian kebocoran data SOCRadar bernama BlueBleed yang memungkinkan perusahaan untuk menemukan apakah info sensitif mereka juga terpapar dengan data yang bocor.

Selain apa yang ditemukan di dalam server Microsoft yang salah konfigurasi, BlueBleed juga memungkinkan pencarian data yang dikumpulkan dari lima ember penyimpanan publik lainnya.

Di server Microsoft saja, SOCRadar mengklaim telah menemukan 2,4 TB data yang berisi informasi sensitif, dengan lebih dari 335.000 email, 133.000 proyek, dan 548.000 pengguna yang terpapar ditemukan saat menganalisis file yang bocor hingga sekarang.

Berdasarkan analisis SOCRadar, file-file ini berisi email pelanggan, dokumen SOW, penawaran produk, karya POC (Proof of Concept), detail ekosistem mitra, faktur, detail proyek, daftar harga produk pelanggan, dokumen POE, pesanan produk, dokumen pelanggan yang ditandatangani, komentar internal untuk pelanggan, strategi penjualan, dan dokumen aset pelanggan.

Sumber: Bleeping Computer

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

by

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

  • Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer