Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Microsoft memperingatkan tentang serangan ransomware yang tidak biasa

by

Microsoft telah menandai bagian baru dari ransomware yang menyerang organisasi transportasi dan logistik di Ukraina dan Polandia.

Microsoft belum melihat penyerang menggunakan eksploitasi perangkat lunak tertentu tetapi semua serangan menggunakan kredensial akun admin Active Directory yang dicuri.

Catatan tebusan mengidentifikasi dirinya sebagai “ranusomeware Prestise”, menurut Microsoft Threat Intelligence Center (MSTIC).

Ransomware diluncurkan pada 11 Oktober dan menonjol bagi para peneliti karena itu adalah contoh langka di Ukraina dari penyebaran ransomware di seluruh perusahaan dan berbeda dari 94 geng ransomware lain yang dilacak Microsoft.

Selain itu, profil korban selaras dengan aktivitas negara Rusia baru-baru ini dan tumpang tindih dengan korban malware perusak HermeticWiper yang disebarkan pada awal invasi Rusia ke Ukraina. Pemerintah AS pada bulan Februari khawatir malware yang sama dapat digunakan terhadap organisasi AS.

MSTIC mengatakan kampanye Prestige terpisah dari HermeticWiper dan malware destruktif lainnya yang telah disebarkan di beberapa operator infrastruktur penting Ukraina dalam dua minggu terakhir. Microsoft telah melacak malware destruktif yang dikerahkan terhadap organisasi Ukraina sejak Januari.

MSTIC melacak aktivitas ini sebagai DEV-0960. DEV adalah istilah untuk aktor ancaman yang sebelumnya tidak dikenal. Ini akan menggabungkan aktivitas grup dengan aktor ancaman yang dikenal, seperti Nobelium, yang merupakan grup di balik serangan rantai pasokan SolarWinds, jika membuat koneksi ke grup tertentu.

Grup ini menggunakan beberapa alat yang tersedia untuk umum untuk eksekusi kode jarak jauh dan meraih kredensial administrator dengan hak istimewa tinggi. Tapi MSTIC tidak tahu bagaimana penyerang mendapatkan akses awal ke jaringan. Diduga penyerang sudah memiliki kredensial istimewa dari kompromi sebelumnya. Dalam semua kasus, bagaimanapun aktor memperoleh akses, mereka sudah memiliki hak tingkat admin domain sebelum menyebarkan ransomware.

Microsoft menguraikan tiga metode utama yang digunakan kelompok tersebut dalam satu jam setiap serangan. Fakta bahwa mereka menggunakan beberapa metode, bukan satu, tidak biasa.

Mengingat kurangnya kerentanan perangkat lunak yang diketahui para penyerang digunakan, Microsoft telah menyediakan beberapa tindakan yang dapat digunakan organisasi untuk melindungi diri mereka sendiri, termasuk dengan mengaktifkan perlindungan tamper untuk menghentikan perubahan pada antivirus dan untuk mengaktifkan otentikasi multi-faktor. Mitigasi tersebut antara lain:

  • Blokir kreasi proses yang berasal dari perintah PSExec dan WMI untuk menghentikan gerakan lateral menggunakan komponen WMIexec dari Impacket
  • Aktifkan perlindungan Tamper untuk mencegah serangan berhenti atau mengganggu Microsoft Defender
  • Aktifkan perlindungan yang diberikan cloud di Microsoft Defender Antivirus atau yang setara
  • Aktifkan MFA dan pastikan MFA diterapkan untuk semua konektivitas jarak jauh – termasuk VPN

Sumber: ZD Net

Bagaimana kesalahan Microsoft membuka jutaan PC untuk serangan malware yang kuat

by

Selama hampir dua tahun, Microsoft merusak pertahanan utama Windows yang membuat pelanggan terbuka terhadap teknik infeksi malware yang sangat efektif dalam beberapa bulan terakhir.

Microsoft dengan tegas menegaskan bahwa Pembaruan Windows akan secara otomatis menambahkan driver perangkat lunak baru ke daftar blokir yang dirancang untuk menggagalkan trik terkenal di buku pedoman infeksi malware.

Teknik malware dikenal sebagai BYOVD, kependekan dari “bawa driver Anda sendiri yang rentan” memudahkan penyerang dengan kontrol administratif untuk melewati perlindungan kernel Windows. Penyerang hanya menginstal salah satu dari lusinan driver pihak ketiga dengan kerentanan yang diketahui. Kemudian penyerang mengeksploitasi kerentanan tersebut untuk mendapatkan akses instan ke beberapa wilayah Windows yang paling dibentengi.

Namun, ternyata Windows tidak mengunduh dan menerapkan pembaruan dengan benar ke daftar blokir driver, yang membuat pengguna rentan terhadap serangan BYOVD baru.

Driver biasanya memungkinkan komputer untuk bekerja dengan printer, kamera, atau perangkat periferal lainnya—atau untuk melakukan hal lain seperti menyediakan analisis tentang fungsi perangkat keras komputer. Agar banyak driver dapat bekerja, mereka memerlukan saluran langsung ke kernel, inti dari sistem operasi tempat kode paling sensitif berada. Untuk alasan ini, Microsoft sangat membentengi kernel dan mengharuskan semua driver ditandatangani secara digital dengan sertifikat yang memverifikasi bahwa mereka telah diperiksa dan berasal dari sumber tepercaya.

Meski begitu, bagaimanapun, driver yang sah terkadang mengandung kerentanan kerusakan memori atau kelemahan serius lainnya yang, ketika dieksploitasi, memungkinkan peretas untuk menyalurkan kode berbahaya mereka langsung ke kernel. Bahkan setelah pengembang menambal kerentanan, driver lama dan buggy tetap menjadi kandidat yang sangat baik untuk serangan BYOVD karena sudah ditandatangani. Dengan menambahkan driver semacam ini ke alur eksekusi serangan malware, peretas dapat menghemat waktu pengembangan dan pengujian selama bermingguminggu.

YOVD telah menjadi fakta kehidupan setidaknya selama satu dekade. Malware yang dijuluki “Slingshot” menggunakan BYOVD setidaknya sejak 2012, dan pendatang awal lainnya ke adegan BYOVD termasuk LoJax, InvisiMole, dan RobbinHood.

Salah satu serangan semacam itu akhir tahun lalu dilakukan oleh kelompok Lazarus yang didukung pemerintah Korea Utara. Itu menggunakan driver Dell yang dinonaktifkan dengan kerentanan tingkat tinggi untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda dan jurnalis politik di Belgia.

Dalam serangan BYOVD terpisah beberapa bulan lalu, penjahat dunia maya memasang ransomware BlackByte dengan menginstal dan kemudian mengeksploitasi driver buggy untuk MSI AfterBurner 4.6.2.15658 MicroStar, sebuah utilitas overclocking kartu grafis yang banyak digunakan.

Microsoft sangat menyadari ancaman BYOVD dan telah bekerja pada pertahanan untuk menghentikan serangan ini, terutama dengan membuat mekanisme untuk menghentikan Windows memuat driver yang ditandatangani tetapi rentan.

Mekanisme paling umum untuk pemblokiran driver menggunakan kombinasi dari apa yang disebut integritas memori dan HVCI, kependekan dari HypervisorProtected Code Integrity. Mekanisme terpisah untuk mencegah driver buruk ditulis ke disk dikenal sebagai ASR, atau Attack Surface Reduction.

Sumber: Arstechnica

Enkripsi email Microsoft Office 365 dapat mengekspos konten pesan

by

Peneliti keamanan di WithSecure, sebelumnya F-Secure Business, menemukan bahwa sebagian atau seluruh isi pesan terenkripsi yang dikirim melalui Microsoft Office 365 dimungkinkan untuk disadap karena penggunaan mode operasi sandi blok yang lemah.

Organisasi menggunakan Enkripsi Pesan Office 365 untuk mengirim atau menerima email, baik eksternal maupun internal, untuk memastikan kerahasiaan konten dari tujuan ke sumber.

Namun, fitur tersebut mengenkripsi data menggunakan mode Buku Kode Elektronik (ECB), yang memungkinkan menyimpulkan pesan teks biasa dalam kondisi tertentu.

Masalah utama dengan ECB adalah bahwa area berulang dalam data plaintext memiliki hasil terenkripsi yang sama ketika kunci yang sama digunakan, sehingga menciptakan sebuah pola.

Masalah ini disorot setelah pelanggaran data besar-besaran Adobe pada tahun 2013 ketika puluhan juta kata sandi bocor dan para peneliti menemukan bahwa perusahaan menggunakan mode ECB untuk mengenkripsi data, sehingga memungkinkan untuk mendapatkan kata sandi teks biasa.

Kelemahan ini kembali disorot pada tahun 2020 ketika ditemukan bahwa aplikasi telekonferensi Zoom yang banyak digunakan menggunakan kunci 128-bit yang sama untuk mengenkripsi semua audio dan video menggunakan algoritma AES dengan mode ECB.

Harry Sintonen dari WithSecure menggarisbawahi bahwa dengan Enkripsi Pesan Office 365, konten pesan terenkripsi tidak dapat diuraikan secara langsung, tetapi informasi struktural tentang pesan tersebut dapat ditangkap.

Penyerang yang dapat mengumpulkan beberapa pesan terenkripsi dapat mencari pola yang dapat menyebabkan bagian-bagian pesan menjadi dapat dibaca secara bertahap tanpa memerlukan kunci enkripsi.

Selengkapnya: Bleeping Computer

Spyware ‘Zero-Click’ Muncul sebagai Ancaman Seluler yang Mengancam

by

Pada Juli 2020, iPhone seorang jurnalis Azerbaijan diam-diam menerima perintah untuk membuka aplikasi Apple Music. Tanpa sepengetahuan atau interaksi jurnalis, aplikasi tersebut terhubung ke server jahat dan mengunduh spyware ke ponsel yang tetap berada di sana selama 17 bulan, menguping panggilan telepon dan pesan teks.

Peretasan itu adalah contoh serangan “zero-click” metode menempatkan spyware di ponsel tanpa menipu pengguna untuk melakukan apa pun, seperti mengklik tautan jahat yang dikirim dalam email atau pesan teks. Teknik tersebut digunakan pemerintah untuk menargetkan lawan mereka dalam skala yang lebih besar dan untuk durasi yang lebih lama daripada yang diketahui sebelumnya, menurut penelitian terbaru dari Amnesty International dan Citizen Lab.

Beberapa pemerintah telah menyalahgunakan spyware NSO dikenal sebagai Pegasus untuk menargetkan kritik di lebih dari selusin negara, kata kelompok hak asasi.

NSO telah membantu pemerintah meretas ponsel dengan malware zero-click setidaknya sejak Juli 2017 dan telah menggunakan setidaknya enam eksploitasi zero-click berbeda yang digunakan untuk meretas Apple iOS versi 10 hingga 14 secara diam-diam, menurut penelitian Amnesty dan Citizen Lab, yang dipresentasikan pada konferensi Virus Bulletin di Praha pada 28 September.

Serangan zero-click bekerja dengan memanfaatkan kerentanan keamanan di perangkat Apple, dalam beberapa kasus mengirimkan iMessage yang akan memaksa ponsel untuk terhubung ke situs web berbahaya tanpa keterlibatan pengguna, menurut penelitian. Cacat dieksploitasi di iMessage, podcast Apple dan aplikasi musik, foto Apple dan fitur panggilan Wi-Fi, para peneliti menemukan.

NSO Group juga merancang serangan tanpa klik yang dapat membahayakan ponsel Android dengan mengeksploitasi kelemahan di WhatsApp yang digunakan untuk mengirimkan kode berbahaya ke perangkat. Pada April 2019, WhatsApp memperbaiki kerentanan dengan mengatakan telah digunakan untuk menargetkan lebih dari 1.400 orang selama periode dua bulan dan mengajukan gugatan terhadap NSO Group.

Amnesty dan Citizen Lab mengatakan mereka menemukan bukti yang menunjukkan bahwa NSO telah menggunakan eksploitasi zero-click WhatsApp pada awal Juli 2018, hampir sembilan bulan sebelum diperbaiki, menunjukkan bahwa itu digunakan untuk menargetkan lebih banyak orang daripada 1.400 orang.

Ada indikasi bahwa peneliti keamanan dapat mengganggu operasi NSO Group dan segelintir perusahaan lain yang menjual alat peretasan tanpa klik kepada pemerintah. Pada Juli 2019, sebuah tim di Project Zero Google menemukan kerentanan di iMessage yang dapat digunakan untuk peretasan tanpa klik, yang kemudian diperbaiki oleh Apple.

Penemuan itu tampaknya berdampak pada NSO Group, untuk sementara mengganggu kemampuan pelanggannya untuk menyusup ke beberapa ponsel.

Sumber: Bloomberg

Microsoft menambahkan umpan RSS baru untuk pemberitahuan pembaruan keamanan

by

Microsoft kini telah menambahkan pembaruan yang memungkinkan untuk menerima pemberitahuan tentang pembaruan keamanan baru melalui umpan RSS baru untuk Panduan Pembaruan Keamanan.

Saat Microsoft memperbaiki kerentanan keamanan di salah satu produknya, mereka mengungkapkan detailnya di Panduan Pembaruan Keamanan (SUG).

Biasanya, Microsoft mengungkapkan kerentanan baru dua kali sebulan, sebagian besar adalah Patch Selasa bulanan dan ketika Microsoft memperbaiki kerentanan di Microsoft Edge.

Namun, jika kerentanan baru diungkapkan kepada publik sebelum Microsoft dapat memperbaikinya dan Microsoft percaya bahwa penting bagi pelanggan untuk menyadarinya, mereka akan menambahkan entri baru ke SUG saat merilis saran out-of-band.

Misalnya, bulan lalu, Microsoft menambahkan dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082 ke SUG.

Meskipun bug ini belum menerima pembaruan keamanan apa pun, Microsoft merilis mitigasi yang dapat membantu melindungi server yang terpapar Internet, yang menggambarkan perlunya tetap waspada terhadap masalah keamanan baru.

Sementara pemberitahuan email untuk penambahan Panduan Pembaruan Keamanan, mereka mengharuskan pengguna untuk membuat akun Microsoft untuk menerimanya dan tidak segera dikirim.

Karena itu, banyak pelanggan telah meminta Microsoft untuk menambahkan umpan RSS ke Panduan Pembaruan Keamanan sehingga mereka bisa mendapatkan pemberitahuan segera ketika CVE baru ditambahkan.

URL untuk umpan RSS baru sekarang aktif di https://api.msrc.microsoft.com/update-guide/rss dan juga dibagikan di SUG menggunakan ikon RSS, seperti yang ditunjukkan di bawah ini.

Ikon RSS baru di Panduan Pembaruan Keamanan

Untuk menggunakan fitur RSS feed baru, Anda perlu menginstal pembaca RSS Feed, baik aplikasi desktop, aplikasi seluler, atau ekstensi browser.

Setelah Anda berlangganan umpan, Anda akan secara otomatis menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Setelah Anda berlangganan feed, Anda akan mulai menerima pemberitahuan saat Microsoft menambahkan CVE baru ke Panduan Pembaruan Keamanan, membantu Anda tetap waspada terhadap risiko keamanan terbaru.

Sumber: Bleeping Computer

Microsoft meluncurkan layanan keamanan baru yang ditujukan untuk melindungi kode di cloud

by

Microsoft mengumumkan Defender Cloud Security Posture Management dan Defender untuk DevOps, dua penawaran baru dalam layanan Defender for Cloud perusahaan (sebelumnya Azure Defender) yang ditujukan untuk mengelola pengembangan perangkat lunak dan keamanan runtime di lingkungan multicloud, multi-pipa.

Dalam percakapan dengan TechCrunch, CVP Microsoft untuk keamanan cloud Shawn Bice mengatakan bahwa Defender for DevOps dan Defender Cloud Security Posture Management (atau Defender CSPM, untuk merujuknya dengan akronim yang lebih kuat) muncul dari tantangan yang semakin dihadapi perusahaan saat mereka menggunakan layanan cloud-native untuk menyebarkan dan mengelola aplikasi.

Pelanggan ini sering kali memiliki visibilitas yang tidak lengkap dan kurangnya mitigasi yang diprioritaskan, katanya, membuat keamanan mereka reaktif dibandingkan proaktif.

Menurut laporan tahun 2020 dari Orca Security, 59% tim keamanan siber melaporkan menerima lebih dari 500 peringatan tentang keamanan cloud per hari sebagian besar adalah positif palsu.

Tool sprawl sering disebut-sebut sebagai tantangan dalam menjaga keamanan kode. Menanggapi survei GitLab dari Agustus, 41% tim DevOps mengatakan bahwa mereka menggunakan antara enam hingga 10 alat dalam rantai alat pengembangan mereka, yang menyebabkan mereka melewatkan masalah keamanan.

Untuk tujuan ini, Defender CSPM memanfaatkan algoritme AI untuk melakukan analisis risiko kontekstual dari lingkungan pengembangan perangkat lunak.

Rekomendasi dan wawasan yang dihasilkan disalurkan ke platform manajemen kode sumber seperti GitHub dan Azure DevOps untuk mendorong upaya perbaikan; sebagai alternatif, pengguna dapat membuat alur kerja yang terhubung ke rekomendasi keamanan untuk memicu perbaikan otomatis.

Defender CSPM juga menyediakan “kueri serangan” yang dapat digunakan tim keamanan untuk menjelajahi data risiko dan ancaman, serta dasbor yang menunjukkan semua aturan yang diterapkan di seluruh lingkungan pengembang dan alat yang memungkinkan admin keamanan untuk menentukan aturan baru.

Adapun Defender untuk DevOps, ini menunjukkan postur keamanan kode aplikasi pra-produksi dan konfigurasi sumber daya. Tim keamanan dapat menggunakan layanan untuk mengaktifkan template dan gambar kontainer yang dirancang untuk meminimalkan kemungkinan kesalahan konfigurasi cloud mencapai lingkungan produksi.

Dengan peluncuran Defender CSPM dan Defender for Cloud, jelas Microsoft mencari bagian yang lebih besar dari segmen DevSecOps yang besar dan berkembang. Grand View Research memperkirakan bahwa pasar untuk DevSecOps — yang mencakup alat yang mengotomatiskan praktik keamanan di setiap langkah pengembangan perangkat lunak — bernilai $2,79 miliar pada tahun 2020.

Startup termasuk Spectral, yang bertujuan untuk mendeteksi potensi masalah keamanan dalam basis kode dan log, dan Cycode, yang menawarkan alat untuk mengamankan saluran DevOps, mungkin dianggap sebagai pesaing.

Tetapi skala Microsoft dan fakta bahwa Defender CSPM dan Defender for Cloud gratis untuk pelanggan Defender for Cloud selama periode pratinjau memberikan keuntungan.

“Microsoft berkomitmen untuk memungkinkan keamanan untuk semua,” tambah Bice, “[dengan] tolok ukur keamanan cloud yang komprehensif di berbagai cloud.”

Sumber: TechCrunch

Server Microsoft Exchange diretas untuk menyebarkan ransomware LockBit

by

Microsoft sedang menyelidiki laporan bug zero-day baru yang disalahgunakan untuk meretas server Exchange yang kemudian digunakan untuk meluncurkan serangan ransomware Lockbit.

Setidaknya dalam satu insiden sejak Juli 2022, penyerang menggunakan web shell yang sebelumnya digunakan pada server Exchange yang disusupi untuk meningkatkan hak istimewa ke admin Active Directory, mencuri sekitar 1,3 TB data, dan mengenkripsi sistem jaringan.

Seperti yang dijelaskan oleh perusahaan keamanan siber Korea Selatan AhnLab, yang ahli analisis forensiknya dipekerjakan untuk membantu penyelidikan, pelaku ancaman hanya membutuhkan waktu seminggu untuk membajak akun admin AD sejak web shell diunggah.

AhnLab mengatakan server Exchange kemungkinan diretas menggunakan “kerentanan zero-day yang tidak diungkapkan,” mengingat korban menerima dukungan teknis dari Microsoft untuk menyebarkan patch keamanan triwulanan setelah kompromi sebelumnya dari Desember 2021.

Seperti yang dikatakan juru bicara Microsoft kepada BleepingComputer sebelumnya, perusahaan sedang “menyelidiki klaim dalam laporan ini dan akan mengambil tindakan apa pun yang diperlukan untuk membantu melindungi pelanggan.”

Selengkapnya: Bleeping Computer

Microsoft October 2022 Patch Tuesday memperbaiki zero-day yang digunakan dalam serangan serta 84 kelemahan

by

Microsoft telah merilis Patch Tuesday bulan Oktober 2022, dan dengan itu datang perbaikan untuk kerentanan Windows yang dieksploitasi secara aktif dan total 84 kelemahan.

Tiga belas dari 84 kerentanan yang diperbaiki dalam pembaruan kali ini diklasifikasikan sebagai ‘Kritis’ karena memungkinkan peningkatan hak istimewa, spoofing, atau eksekusi kode jarak jauh, salah satu jenis kerentanan yang paling parah.

Patch Tuesday bulan ini juga memperbaiki dua kerentanan zero-day, satu secara aktif dieksploitasi dalam serangan dan satu diungkapkan secara publik.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki kali ini dilacak sebagai ‘CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability’.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat memperoleh hak istimewa SISTEM,” bunyi nasihat Microsoft.

Kerentanan yang diungkapkan kepada publik dilacak sebagai ‘CVE-2022-41043 – Microsoft Office Information Disclosure Vulnerability’ dan ditemukan oleh Cody Thomas dari SpecterOps. Microsoft mengatakan penyerang dapat menggunakan kerentanan ini untuk mendapatkan akses ke token otentikasi pengguna.

Microsoft meminta pengguna untuk segera menerapkan pembaruan sesegera mungkin untuk melindungi sistem mereka.

Selengkapnya: Bleeping Computer