Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

by

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Regulator Singapura Menghukum Pelanggaran Data Terbesar yang Pernah Ada: Hampir 5,9 Juta Info Pelanggan Hotel Terekspos

by

RedDoorz.com malu setelah meninggalkan kunci akses AWS di APK

Komisi Perlindungan Data Pribadi Singapura (PDPC) telah mengeluarkan denda sebesar SG $ 74.000 ($ 54.456) pada perusahaan travel Commeasure, yang mengoperasikan situs web pemesanan travel bernama RedDoorz yang mengekspos 5,9 juta data pelanggan — pelanggaran data terbesar yang ditangani oleh Komisi sejak awal.

PDPC mengumumkan hukuman karena “gagal menerapkan pengaturan keamanan yang wajar untuk mencegah akses tidak sah dan eksfiltrasi data pribadi pelanggan yang dihosting dalam database cloud”.

RedDoorz mulai hidup di Indonesia sebelum pindah operasi ke Singapura, dari sana ia mengumpulkan pemesanan hotel murah di kota-kota tertentu di Asia Tenggara. Pengguna memilih hotel murah dari RedDoorz berdasarkan foto, area dan harga. Ketika wisatawan tiba, pengalaman kamar hotel diganti namanya menjadi RedDoorz dan dilengkapi dengan layanan tertentu – seperti WiFi, TV, dan air minum.

Commeasure mengetahui ada pelanggaran data pelanggan RedDoorz pada September 2020, ketika sebuah perusahaan cybersecurity yang berbasis di Atlanta memberi tahu perusahaan induk tentang peretasan dan menawarkan layanan perbaikan. Dalam seminggu, perusahaan teknologi perjalanan memberi tahu PDPC.

Data yang dicuri termasuk nama, nomor kontak, alamat email, ulang tahun, kata sandi akun RedDoorz terenkripsi dan informasi pemesanan. Menurut putusan PDPC, database tidak termasuk nomor kartu kredit. Jarahan itu disiapkan untuk dijual di forum hacker.

Kesalahan langkah yang membuat data dicuri kembali ke hari-hari startup perusahaan, ketika kunci akses AWS disematkan ke dalam paket aplikasi Android (APK) yang tersedia untuk diunduh dari Google Play Store. APK, yang dibuat pada tahun 2015 dan terakhir diperbarui pada Januari 2018, secara keliru ditandai sebagai kunci “uji” oleh pengembang pada saat itu. Itu tetap terlihat meskipun dianggap “mati” sampai perusahaan diberitahu tentang pelanggaran pada tahun 2020.

Dengan kunci akses AWS di tangan, crims dapat memperoleh akses dan exfiltrate catatan pelanggan yang dihosting di database cloud Amazon RDS. RedDoorz memang melakukan upaya untuk melindungi data – misalnya dengan menyewa perusahaan cybersecurity dan menggunakan alat obfuscation Java Proguard untuk mencegah rekayasa balik APK – tetapi itu semua sia-sia karena file yang relevan tidak pernah dievaluasi.

Pendiri dan CEO RedDoorz, Amit Samberwal, mengatakan kepada The Register:

Kami segera melakukan tinjauan internal dan kemudian melibatkan perusahaan cybersecurity eksternal untuk meningkatkan langkah-langkah keamanan. Pada saat itu, kami juga telah memberi tahu semua pengguna, media publik, dan otoritas masing-masing tentang pelanggaran tersebut. PDPC di Singapura baru-baru ini menyelesaikan penyelidikan setelah lebih dari satu setengah tahun, dan menganggap kasus ini ditutup dengan denda $ 74K yang dikenakan.

Commeasure mengatakan kepada PDPC bahwa kegagalan untuk menerapkan proses yang cukup kuat untuk mengelola inventaris kunci akses infrastrukturnya adalah karena pergantian karyawan yang tinggi. Itu tidak berjalan dengan baik dengan Komisi. Namun, otoritas pengatur mengatakan mempertimbangkan perilaku kooperatif perusahaan, tindakan perbaikan, tinjauan keamanan yang tidak efektif namun teratur, dan keadaan yang tidak menguntungkan menjadi bisnis perhotelan di tengah pandemi, karena memutuskan hukuman keuangan.

Komisi memberi Commeasure 30 hari untuk membayar sebelum bunga masuk.

Sumber: The Register

Meningkatnya Serangan Iran ke Sektor TI

by Leave a Comment

Aktor ancaman Iran meningkatkan serangan terhadap perusahaan layanan TI sebagai cara untuk mengakses jaringan pelanggan mereka. Kegiatan ini penting karena menargetkan pihak ketiga memiliki potensi untuk mengeksploitasi organisasi yang lebih sensitif dengan memanfaatkan kepercayaan dan akses dalam rantai pasokan. Microsoft telah mengamati beberapa aktor ancaman Iran yang menargetkan sektor layanan TI yang bertujuan untuk mencuri kredensial sign-in ke jaringan pelanggan yang memungkinkan serangan lebih lanjut. Microsoft Threat Intelligence Center (MSTIC) dan Digital Security Unit (DSU) menilai ini adalah bagian dari tujuan spionase yang lebih luas untuk mengkompromikan organisasi yang berkepentingan dengan rezim Iran.

Hingga Juli 2021, Microsoft telah mengamati sejarah yang relatif sedikit tentang aktor Iran yang menyerang target India. Ketika India dan negara-negara lain meningkat sebagai pusat layanan TI utama, lebih banyak aktor negara mengikuti rantai pasokan untuk menargetkan pelanggan sektor publik dan swasta di seluruh dunia yang sesuai dengan kepentingan negara.

Hingga tahun ini, Microsoft telah mengeluarkan lebih dari 1.600 pemberitahuan kepada lebih dari 40 perusahaan TI sebagai tanggapan atas penargetan Iran, dibandingkan dengan 48 pemberitahuan pada tahun 2020, menjadikan ini peningkatan yang signifikan dari tahun-tahun sebelumnya (Gambar 1). Fokus beberapa kelompok ancaman Iran di sektor TI terutama melonjak dalam enam bulan terakhir – sekitar 10-13% dari pemberitahuan kami terkait dengan aktivitas ancaman Iran dalam enam bulan terakhir, dibandingkan dengan dua setengah persen dalam enam bulan sebelumnya (Gambar 2).

Gambar 1: Jumlah pemberitahuan yang dikirim ke Layanan TI terkait penargetan aktor yang berbasis di Iran
Gambar 2: Jumlah pemberitahuan yang dikirim ke Layanan TI terkait penargetan aktor yang berbasis di Iran

Sebagian besar penargetan difokuskan pada perusahaan layanan TI yang berbasis di India, serta beberapa perusahaan yang berbasis di Israel dan Uni Emirat Arab. Meskipun beda teknik dari serangan rantai pasokan baru-baru ini, serangan ini merupakan contoh lain tentang bagaimana aktor negara semakin menargetkan rantai pasokan sebagai vektor tidak langsung untuk mencapai tujuan mereka.

Seengkapnya: Microsoft

Server Microsoft Exchange diretas dalam serangan rantai balasan internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email rantai balasan internal yang dicuri.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Aktor tersebut mengelabui target perusahaan agar membuka lampiran berbahaya, mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

Salah satu email Squirrelwaffle ke target
Sumber: TrendMicro

Karena email ini berasal dari jaringan internal yang sama dan tampaknya merupakan kelanjutan dari diskusi sebelumnya antara dua karyawan, ini mengarah pada tingkat kepercayaan yang lebih besar bahwa email tersebut sah dan aman.

Dokumen Microsoft Excel berbahaya yang digunakan oleh SquirrelWaffle

Menurut laporan Trend Micro, para peneliti mengatakan bahwa mereka telah melihat serangan ini mendistribusikan pemuat SquirrelWaffle, yang kemudian menginstal Qbot.

Namun, peneliti Cryptolaemus ‘TheAnalyst’ mengatakan bahwa dokumen berbahaya yang digunakan oleh aktor ancaman ini menjatuhkan kedua malware sebagai muatan terpisah, bukan SquirrelWaffle yang mendistribusikan Qbot.

Microsoft telah memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan April dan Mei, menanganinya sebagai zero-day pada saat itu.

Pelaku ancaman telah menyalahgunakan kedua kerentanan untuk menyebarkan ransomware atau menginstal webshell untuk akses pintu belakang nanti. Serangan ProxyLogon menjadi sangat buruk sehingga FBI menghapus web shell dari server Microsoft Exchange yang berbasis di AS tanpa terlebih dahulu memberi tahu pemilik server.

Setelah sekian lama dan media luas kerentanan ini telah diterima, tidak menambal Exchange Server hanyalah undangan terbuka untuk peretas.

Sumber : Bleeping Computer

SynapseML sumber terbuka Microsoft untuk mengembangkan saluran AI

by

Microsoft pada hari Rabu kemarin mengumumkan rilis SynapseML (sebelumnya MMLSpark), sebuah library open source yang dirancang untuk menyederhanakan pembuatan pipeline machine learning.

Dengan SynapseML, pengembang dapat membangun sistem “skala dan cerdas” untuk memecahkan tantangan di seluruh domain, termasuk analitik teks, terjemahan, dan pemrosesan ucapan, kata Microsoft.

“Selama lima tahun terakhir, kami telah bekerja untuk meningkatkan dan menstabilkan perpustakaan SynapseML untuk beban kerja produksi. Pengembang yang menggunakan Azure Synapse Analytics akan senang mengetahui bahwa SynapseML sekarang tersedia secara umum di layanan ini dengan dukungan perusahaan [di Azure Synapse Analytics],” Engineer perangkat lunak Microsoft Mark Hamilton menulis dalam sebuah posting blog.

Seperti yang dijelaskan Microsoft di situs web proyek, SynapseML memperluas Apache Spark, mesin sumber terbuka untuk pemrosesan data skala besar, dalam beberapa arah baru: “[Alat di SynapseML] memungkinkan pengguna untuk membuat model yang kuat dan sangat skalabel yang mencakup beberapa [ pembelajaran mesin] ekosistem.

SynapseML juga menghadirkan kemampuan jaringan baru ke ekosistem Spark. Dengan proyek HTTP on Spark, pengguna dapat menyematkan layanan web apa pun ke dalam model SparkML mereka dan menggunakan kluster Spark mereka untuk alur kerja jaringan yang masif.”

SynapseML juga memungkinkan pengembang untuk menggunakan model dari ekosistem pembelajaran mesin yang berbeda melalui Open Neural Network Exchange (ONNX), kerangka kerja dan runtime yang dikembangkan bersama oleh Microsoft dan Facebook. Dengan integrasi, pengembang dapat mengeksekusi berbagai model pembelajaran klasik dan mesin hanya dengan beberapa baris kode.

Selengkapya: Venturebeat

Windows 10 adalah bencana keamanan yang menunggu untuk terjadi. Bagaimana Microsoft akan membersihkan kekacauannya?

by

Dalam waktu kurang dari empat tahun, Microsoft akan menarik tirai terakhir pada Windows 10 setelah 10 tahun berjalan.

Berita itu seharusnya tidak mengejutkan siapa pun. Tanggal akhir ditetapkan sebagai bagian dari Kebijakan Siklus Hidup Modern Microsoft, dan didokumentasikan di halaman Microsoft Lifecycle: “Microsoft akan terus mendukung setidaknya satu Saluran Semi-Tahunan Windows 10 hingga 14 Oktober 2025.”

Ketika versi Windows mencapai tanggal akhir dukungan, perangkat lunak tetap bekerja, tetapi saluran pembaruan berhenti:

[Tidak] akan ada pembaruan keamanan baru, pembaruan non-keamanan, atau dukungan bantuan. Pelanggan dianjurkan untuk bermigrasi ke versi produk atau layanan terbaru. Program berbayar mungkin tersedia untuk produk yang berlaku.

Itu bukan pilihan bagi pelanggan yang menjalankan Windows 10 pada perangkat keras yang tidak memenuhi persyaratan kompatibilitas perangkat keras Windows 11.

Saat Oktober 2025 tiba, perangkat tersebut tidak akan memiliki jalur migrasi yang didukung Microsoft ke versi yang lebih baru. Pemilik PC, yang beberapa berusia kurang dari lima tahun, akan memiliki opsi berikut:

  1. Lanjut menjalankan sistem operasi yang tidak didukung dan berharap yang terbaik
  2. Pensiun atau buang perangkat keras yang tidak didukung
  3. Instal sistem operasi non-Microsoft, seperti Linux
  4. Abaikan peringatan Microsoft dan upgrade ke Windows 11

Opsi 1 tidak bijaksana. Opsi 2 tidak masuk akal. Opsi 3 tidak mungkin.

Dan hanya menyisakan opsi keempat, yang datang dengan porsi Ketakutan, Ketidakpastian, dan Keraguan (FUD) Microsoft sendiri dalam bentuk buletin dukungan berjudul “Menginstal Windows 11 pada perangkat yang tidak memenuhi persyaratan sistem minimum.”

Pelanggan bisnis mungkin dapat membayar pembaruan keamanan yang diperpanjang untuk Windows 10, meskipun itu akan menjadi pil pahit (dan mahal) untuk ditelan. Tapi pengusaha kecil dan konsumen tidak akan memiliki pilihan itu.

Namun, ada alternatif: Microsoft dapat memperpanjang batas waktu dukungan untuk Windows 10 pada perangkat keras yang tidak kompatibel dengan Windows 11.

Perusahaan melakukan hal yang sama, dalam situasi yang sama, di era Windows XP, dan ini adalah solusi yang sangat tepat di sini.

Selengkapnya: ZDNet

Ini Alasan Mengapa Anda Harus Menghapus Google Chrome di Ponsel Android Anda

by

Peringatan baru untuk pengguna Google Chrome, karena browser tersebut ditemukan memanen data ponsel sensitif tanpa disadari pengguna.

Bulan lalu, aplikasi Facebook terungkap melacak pergerakan pengguna iPhone, mengakses akselerometer perangkat setiap saat.

Facebook adalah pemanen data paling rakus di dunia, dan informasi sensitif ini dapat digunakan untuk memantau perilaku, menghubungkan nya dengan jumlah data yang luar biasa besar yang dikumpulkannya.

Tetapi Facebook bukanlah pemanen data paling sukses di dunia—hadiah itu diberikan kepada Google. Tidak seperti Facebook, yang telah terpukul keras oleh langkah-langkah privasi terbaru Apple, pendapatan iklan digital Google terus melonjak.

Sementara Facebook mengumpulkan informasi ini untuk dirinya sendiri, Chrome dengan senang hati mengumpulkannya untuk orang lain—pada dasarnya memungkinkan informasi yang sangat sensitif tentang setiap aktivitas Anda, setiap perilaku Anda.

Peneliti Tommy Mysk memperingatkan bahwa “sensor gerak dapat diakses oleh semua situs web di Android/Chrome secara default, [sedangkan] Safari/iOS melindungi akses dengan izin.” Namun, yang jauh lebih buruk adalah Chrome melakukan ini bahkan saat disetel ke mode penjelajahan pribadi atau “penyamaran/incognito”.

Anda dapat menonaktifkan akses ke sensor gerak ponsel Anda di Chrome pada Android di Pengaturan Situs—tetapi Anda akan melihat bahwa Google merekomendasikan untuk membiarkannya menyala.

Cara Disable Motion Access

Selengkapnya: Forbes

Raksasa Cyber McAfee Dijual ke Grup Investor Dalam Kesepakatan $ 14 Miliar

by

McAfee (NASDAQ: MCFE), raksasa keamanan siber yang diperdagangkan secara publik, sekali lagi menjadi private. McAfee telah dijual ke kelompok investor yang akan melepasnya dari pasar publik dalam kesepakatan senilai lebih dari $ 14 miliar.

Kelompok investor termasuk dana ekuitas swasta Advent International, Permira, Crosspoint Capital Partners dan firma investasi Canada Pension Plan Investment Board, GIC Private Limited, dan Abu Dhabi Investment Authority.

Sangat mudah untuk melihat mengapa McAfee menjadi target akuisisi yang baik untuk grup investor; puluhan juta konsumen menggunakan perangkat lunak keamanan siber McAfee secara global dan membayar biaya bulanan atau tahunan berulang untuk mempertahankan penggunaannya. Sumber pendapatan yang stabil dan teratur ini adalah jenis hal yang disukai oleh para penggerak uang.

McAfee didirikan lebih dari tiga dekade lalu oleh mendiang pengusaha John McAfee, yang menjual lebih awal dari perusahaan dan mempertaruhkan kekayaannya menjadi serangkaian hal liar dan kontroversial. Dia meninggal tahun lalu dalam kasus bunuh diri di tahanan Spanyol sambil menunggu ekstradisi ke AS untuk menghadapi tuduhan penipuan pajak.

Ini adalah kedua kalinya McAfee dipindahkan dari pasar publik ke tangan swasta. Yang pertama adalah pada tahun 2011 ketika raksasa teknologi Intel membayar hampir $8 miliar bagi perusahaan untuk meningkatkan bisnis keamanannya. Intel kemudian menjual saham mayoritas di McAfee ke perusahaan PE TPG Capital pada 2017, yang membawa bisnis tersebut ke publik tahun lalu. Sekarang sudah dijual lagi.

Selengkapnya: The Techee