Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Peretas Pertahanan Email Microsoft

by

Semakin banyak penyerang siber yang berfokus pada pembuatan serangan yang dikhususkan untuk melewati keamanan default Microsoft

“Banyak peretas menganggap email dan Microsoft 365 sebagai titik awal kompromi mereka, [sehingga mereka] akan menguji dan memverifikasi bahwa mereka dapat melewati keamanan default Microsoft,” menurut laporan baru dari Avanan yang menandai peningkatan dalam telemetri pelanggannya. email berbahaya yang mendarat di kotak email yang dilindungi Microsoft.

Beberapa angka yang menarik dalam laporan, diperoleh dari analisis 3 juta email perusahaan pada tahun lalu, termasuk:

Sekitar 19% email phishing yang diamati oleh Avanan melewati Microsoft Exchange Online Protection (EOP) dan Defender.
Sejak tahun 2020, tingkat phishing yang terlewatkan Defender di antara pelanggan Avanan telah meningkat sebesar 74%.
Rata-rata, Defender hanya mengirimkan 7% dari pesan phishing yang diterima oleh pelanggan Avanan ke folder Junk.
Kabar baiknya: Microsoft menandai dan memblokir 93% upaya kompromi email bisnis.

Microsoft menangkap 90% email yang dijebak dengan lampiran yang sarat malware.
Sekali lagi, angka tersebut menunjukkan evolusi phishing dan fakta bahwa penyerang semakin sering menggunakan taktik seperti memanfaatkan layanan yang sah untuk menghindari menyertakan tautan yang jelas-jelas berbahaya dalam email, menggunakan teknik penyamaran seperti URL cantik, dan menghindari lampiran sama sekali.

Untuk mempertahankan diri terhadap serangan yang dibuat khusus ini, organisasi dapat menggunakan pendekatan dasar pertahanan mendalam dengan empat cabang utama, menurut Roger Grimes, penginjil pertahanan berbasis data di KnowBe4.

Cabang-cabang tersebut meliputi: Fokus yang lebih baik untuk mencegah rekayasa sosial, menggunakan kombinasi kebijakan, pertahanan teknis, dan pendidikan terbaik; patch perangkat lunak dan firmware, terutama yang terdaftar di Katalog Kerentanan yang Diketahui CISA yang Dieksploitasi; menggunakan otentikasi multifaktor tahan phishing (MFA); dan menggunakan kata sandi yang berbeda dan aman untuk setiap situs dan layanan di mana MFA tidak dapat digunakan.

“Tidak ada pertahanan lain, selain empat ini, yang akan berdampak paling besar pada penurunan risiko keamanan siber,” kata Grimes. “Kurangnya fokus dunia pada empat pertahanan inilah yang telah membuat peretas dan malware begitu sukses begitu lama.”

Sumber: Dark Reading

Afiliasi ransomware Netwalker dijatuhi hukuman 20 tahun penjara

by

Mantan afiliasi Netwalker ransomware Sebastien Vachon-Desjardins telah dijatuhi hukuman 20 tahun penjara dan dituntut untuk kehilangan $ 21,5 juta untuk serangannya terhadap perusahaan Tampa dan entitas lainnya.

Vachon-Desjardins, seorang pria Kanada 34 yang diekstradisi dari Quebec dijatuhi hukuman di pengadilan Florida setelah mengaku bersalah atas ‘Konspirasi untuk melakukan Penipuan Komputer’, ‘Konspirasi untuk Melakukan Penipuan Kawat’, ‘Kerusakan yang Disengaja pada Komputer yang Dilindungi,’ dan ‘Mentransmisikan Permintaan Terkait dengan Merusak Komputer yang Dilindungi.’

Selain hukuman tersebut, Vachon-Desjardins juga diharuskan menjalani tiga tahun pembebasan yang diawasi setelah dia keluar dari penjara. Selama jangka waktu ini, Vachon-Desjardins tidak akan diizinkan untuk memiliki pekerjaan di bidang teknologi informasi atau menggunakan komputer yang dapat terhubung ke Internet, termasuk smartphone, perangkat game, atau perangkat elektronik lainnya.

Hakim memerintahkan penyitaan terhadap terdakwa sebesar $ 21,5 juta, di mana 27,65 Bitcoin, yang sudah dipegang oleh penegak hukum, akan dikreditkan ke jumlah tersebut.

Pada 27 Januari 2021, ketika DOJ AS mendakwa Desjardins, operasi penegakan hukum internasional menyita situs web Netwalker, termasuk situs pembayaran Tor dan kebocoran data mereka.

Netwalker adalah operasi Ransomware-as-a-Service (RaaS) yang diluncurkan pada 2019, merekrut afiliasi untuk menyebarkan ransomware dengan imbalan 60-75% bagian dari semua pembayaran tebusan.

Vachon-Desjardins beroperasi sebagai afiliasi untuk operasi ransomware, di mana diyakini dia melakukan serangan terhadap perusahaan di seluruh dunia, termasuk perusahaan AS dan setidaknya 17 entitas Kanada.

Selama serangan ini, operasi ransomware akan mencuri data dari sistem perusahaan dan pada akhirnya mengenkripsi perangkat. Untuk memulihkan file dan mencegah rilis data, pelaku ancaman memeras para korban untuk membayar permintaan tebusan mulai dari ratusan ribu hingga jutaan dolar.

Mantan situs kebocoran data ransomware Netwalker
Sumber: BleepingComputer

Vachon-Desjardins sebelumnya ditangkap di Gatineau, Quebec, pada 27 Januari 2021, ketika penegak hukum menyita 719 Bitcoin dan $790.000 dalam mata uang Kanada saat menggeledah rumahnya. Dia kemudian dijatuhi hukuman 6 tahun delapan bulan penjara setelah mengaku bersalah di depan hakim Ontario. Vachon-Desjardins diekstradisi ke Amerika Serikat pada Maret 2022.

Peretas berbahasa Rusia membuat situs web pemerintah negara bagian AS offline

by

Peretas berbahasa Rusia pada hari Rabu mengklaim bertanggung jawab untuk membobol situs web pemerintah negara bagian di Colorado, Kentucky dan Mississippi, di antara negara-negara lain.

Situs web Dewan Pemilihan Kentucky, yang memposting informasi tentang cara mendaftar untuk memilih, juga offline sementara pada hari Rabu. Situs web dewan pemilihan juga dikelola oleh pemerintah Kentucky, meskipun para peretas tidak secara khusus mencantumkan dewan tersebut sebagai target.

Situs web di Colorado, Kentucky, dan Mississippi tersedia secara sporadis pada Rabu pagi dan sore karena para administrator tampaknya mencoba menghadirkannya secara online.

Kelompok peretasan China yang menargetkan agensi dan perusahaan AS telah meningkatkan aktivitasnya, analisis menemukan
Ini adalah contoh jenis gangguan atau gangguan digital yang sedang dipersiapkan oleh pejabat AS dan pejabat pemilu menjelang pemilihan paruh waktu November.

Situs web seperti Kentucky Board of Elections tidak secara langsung terlibat dalam pemberian atau penghitungan suara, tetapi mereka dapat memberikan informasi yang berguna bagi pemilih.

Kelompok peretas yang mengklaim bertanggung jawab atas penghentian situs web hari Rabu dikenal sebagai Killnet dan meningkatkan aktivitas mereka setelah invasi Rusia ke Ukraina pada Februari untuk menargetkan organisasi di negara-negara NATO. Mereka adalah kelompok lepas dari apa yang disebut “peretas” peretas bermotivasi politik yang mendukung Kremlin tetapi hubungannya dengan pemerintah itu tidak diketahui.

Kelompok itu juga mengaku bertanggung jawab karena secara singkat membobol situs web Kongres AS pada Juli, dan atas serangan siber terhadap organisasi di Lithuania setelah negara Baltik itu memblokir pengiriman beberapa barang ke daerah kantong Rusia Kaliningrad pada Juni.

Beberapa negara bagian telah mengkonfirmasi masalah koneksi intermiten ke situs web mereka menyusul dugaan serangan siber, menurut pemberitahuan dari EI-ISAC, yang bekerja sama dengan pemerintah federal untuk keamanan pemilu.

Pada Rabu sore, situs web Mississippi dan Kentucky, termasuk Dewan Pemilihan Kentucky, kembali online. Situs web negara bagian Colorado masih kesulitan memuat.

Kantor Teknologi Informasi Gubernur Colorado mengatakan portal web negara bagian itu offline “karena serangan siber yang diklaim oleh tersangka aktor asing anonim.”

Pejabat di FBI dan CISA mengulangi minggu ini bahwa setiap upaya peretas untuk melanggar infrastruktur pemilihan “tidak mungkin mengakibatkan gangguan skala besar atau mencegah pemungutan suara.”

Para pemilih di Quincy, Massachusetts, memberikan suara utama mereka di Fore River Clubhouse pada Selasa, 6 September.

Kelompok peretas mendaftarkan situs web negara bagian AS yang digunakan pemerintah negara bagian untuk mempromosikan pariwisata dan menawarkan layanan penduduk – sebagai salah satu daftar target mereka untuk serangan siber pada aplikasi media sosial Telegram di bawah gambar yang bertuliskan “F – NATO.” Mereka biasanya melakukan peretasan kasar yang membuat situs web offline sementara tetapi tidak merusak infrastruktur lebih lanjut.

Killnet berkembang pesat karena perhatian dan keberanian publik, dan pakar keamanan siber harus menyeimbangkan antara memperhatikan kejenakaan online Killnet dan tidak menghipnotis ancaman tingkat rendah.

Sumber: CNN

Impacket and Exfiltration Tool Used to Steal Sensitive Information from Defense Industrial Base Organization

by

The U.S. Government released an alert about state-backed hackers using a custom CovalentStealer malware and the Impacket framework to steal sensitive data from a U.S. organization in the Defense Industrial Base (DIB) sector.

The compromise lasted for about ten months and it is likely that multiple advanced persistent threat (APT) groups likely compromised the organization, some of them gaining initial access through the victim’s Microsoft Exchange Server in January last year.

Entities in the Defense Industrial Base Sector provide products and services that enable support and deployment of military operations.

They are engaged in the research, development, design, production, delivery, and maintenance of military weapons systems, including all necessary components and parts.

A joint report from the Cybersecurity and Infrastructure Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) provides technical details collected during incident response activity that lasted between November 2021 and January 2022.

The hackers combined custom malware called CovalentStealer, the open-source Impacket collection of Python classes, the HyperBro remote access trojan (RAT), and well over a dozen ChinaChopper webshell samples.

They also exploited the ProxyLogon collection of four vulnerabilities for Exchange Server around the time Microsoft released an emergency security update to fix them.

At the time, Microsoft had detected the ProxyLogon exploit chain when the vulnerabilities were zero days (unknown to the vendor), in attacks attributed to a Chinese state-sponsored hacking group they call Hafnium.

  • CVE-2021-26855 is a server-side request forgery (SSRF) vulnerability in Exchange that allows sending arbitrary HTTP requests and authenticating as the Exchange server
  • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. Hafnium used it to run code as SYSTEM on the Exchange server
  • CVE-2021-26858 is a post-authentication arbitrary file write vulnerability in Exchange. It could be exploited after compromising a legitimate admin’s credentials.
  • CVE-2021-27065 is a post-authentication arbitrary file write vulnerability in Exchange

While the initial access vector is unknown, the current advisory notes that the hackers gained access to the organization’s Exchange Server in mid-January 2021.

Within four hours, the threat actor started mailbox searches and used a compromised administrator account belonging to a former employee to access the Exchange Web Services (EWS) API, which is used for sending and receiving web service messages from client applications.

Less than a month later, in early February 2021, the attackers accessed the network again using the same admin credentials through a virtual private network (VPN) connection.

After four days, the hackers engaged in reconnaissance activity using command shell. They learned about the victim’s environment and manually archived (WinRAR) sensitive data, e.g. contract-related information stored on shared drives, preparing it for exfiltration.

At the beginning of March, the hackers exploited the ProxyLogon vulnerabilities to install no less than 17 China Chopper webshells on the Exchange Server.

China Chopper carries powerful capabilities in a very small package (just 4 kilobytes). It was initially used by Chinese threat actors but it became so popular that other groups adopted it.

Activity to establish persistence on the network and to move laterally started in April 2021 and was possible Impacket, which allows working with network protocols.

CISA says that the attacker used Impacket with the compromised credentials to obtain a service account with higher privileges, which enabled remote access from multiple external IP addresses to the organization’s Exchange server through Outlook Web Access (OWA).

Accessing the remote Exchange Server was done through services from two VPN and virtual private server providers, M247 and SurfShark, a common tactic to hide the interaction with the victim network.

Burrowed deeply in the victim network, the hackers relied on the custom-built CovalentStealer to upload additional sensitive files to a Microsoft OneDrive location between late July and mid-October 2022.

In a separate report, CISA provides technical analysis for CovalentStealer noting that the malware relies on code from two publicly available utilities, ClientUploader and the PowerShell script Export-MFT, to upload compressed files and to extract the Master File Table (MFT) of a local storage volume.

CovalentStealer also contains resources for encrypting and decrypting the uploaded data, and configuration files, and to secure communications.

CISA shares technical details for the HyperBro RAT in distinct report, saying that the capabilities of the malware include uploading and downloading files to and from the system, logging keystrokes, executing commands on the infected host, and bypassing User Account Control protection to run with full admin privileges.

A set of recommendations are available in the joint report for detecting persistent, long-term access threat activity, one of them being to monitor logs for connections from unusual VPSs and VPNs.

Defenders should also examine connections from unexpected ranges and, for this particular attacker, check for machines hosted by SurfShark and M247.

Monitoring for suspicious account use, such as inappropriate or unauthorized use of administrator accounts, service accounts, or third-party accounts, is also on the list.

The use of compromised credentials with a VPS may also indicate a potential breach that could be uncovered by:

  • Reviewing logs for “impossible logins,” e.g. logins with changing username, user agent strings, and IP address combinations or logins where IP addresses do not align to the expected user’s geographic location
  • Searching for “impossible travel,” which occurs when a user logs in from multiple IP addresses that are a significant geographic distance apart. False positives can result from this when legitimate users connect through a VPN
  • Searching for one IP used across multiple accounts, excluding expected logins (successful remote logins from M247 and SurfShark IPs may be a red flag)
  • Identifying suspicious privileged account use after resetting passwords or applying user account mitigations
    Searching for unusual activity in typically dormant accounts
  • Searching for unusual user agent strings, such as strings not typically associated with normal user activity, which may indicate bot activity

    • Source: CISA

    Peretas Lazarus menyalahgunakan bug driver Dell menggunakan rootkit FudModule baru

    by

    Peretas ‘Lazarus’ memasang rootkit Windows yang menyalahgunakan driver perangkat keras Dell dalam serangan Bring Your Own Vulnerable Driver. Kampanye tersebut ditargetkan untuk pakar kedirgantaraan di Belanda dan jurnalis politik di Belgia.

    Menurut ESET, yang menerbitkan laporan kampanye hari ini, tujuan utamanya adalah spionase dan pencurian data.

    Target berbasis UE dari kampanye ini dikirimi email tawaran pekerjaan palsu, kali ini untuk Amazon, trik rekayasa sosial yang umum dan umum digunakan oleh para peretas pada tahun 2022.

    Membuka dokumen ini akan mengunduh template jarak jauh dari alamat hardcode, diikuti oleh infeksi yang melibatkan pemuat malware, dropper, backdoor khusus, dan banyak lagi.

    ESET melaporkan bahwa di antara alat yang digunakan dalam kampanye ini, yang paling menarik adalah rootkit FudModule baru yang menyalahgunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mengeksploitasi kerentanan pada driver perangkat keras Dell untuk pertama kalinya.

    Serangan Bring Your Own Vulnerable Driver (BYOVD) adalah saat pelaku ancaman memuat driver yang sah dan ditandatangani di Windows yang juga mengandung kerentanan yang diketahui. Saat driver kernel ditandatangani, Windows akan mengizinkan driver untuk diinstal di sistem operasi.

    Namun, pelaku ancaman sekarang dapat mengeksploitasi kerentanan driver untuk meluncurkan perintah dengan hak tingkat kernel.

    Dalam serangan ini, Lazarus mengeksploitasi kerentanan CVE-2021-21551 di driver perangkat keras Dell (“dbutil_2_3.sys”), yang sesuai dengan serangkaian lima kelemahan yang tetap dapat dieksploitasi selama 12 tahun sebelum vendor komputer akhirnya mendorong pembaruan keamanan untuk dia.

    Driver dbutil_2_3.sys yang ditandatangani Dell digunakan dalam serangan
    Sumber: BleepingComputer

    Pada bulan Desember 2021, para peneliti di Rapid 7 memperingatkan tentang driver khusus ini sebagai kandidat yang sangat baik untuk serangan BYOVD karena perbaikan Dell yang tidak memadai, yang memungkinkan eksekusi kode kernel bahkan pada versi terbaru yang ditandatangani.

    Tampaknya Lazarus sudah sangat menyadari potensi penyalahgunaan ini dan mengeksploitasi driver Dell jauh sebelum analis keamanan mengeluarkan peringatan publik mereka.

    ESET menambahkan bahwa grup tersebut menggunakan backdoor HTTP(S) khusus merek dagangnya ‘BLINDINGCAN,’ yang pertama kali ditemukan oleh intelijen AS pada Agustus 2020 dan dikaitkan dengan Lazarus oleh Kaspersky pada Oktober 2021.

    Trojan akses jarak jauh (RAT) ‘BLINDINGCAN’ yang diambil sampelnya oleh ESET tampaknya berjalan dengan dukungan signifikan dari dasbor sisi server tidak berdokumen yang melakukan validasi parameter.

    Backdoor mendukung serangkaian 25 perintah yang ekstensif, mencakup tindakan file, eksekusi perintah, konfigurasi komunikasi C2, pengambilan tangkapan layar, pembuatan dan penghentian proses, dan eksfiltrasi info sistem.

    Alat lain yang digunakan dalam kampanye yang disajikan adalah FudModule Rootkit, pengunggah HTTP(S) yang digunakan untuk eksfiltrasi data yang aman, dan berbagai aplikasi sumber terbuka yang di-trojan seperti wolfSSL dan FingerText.

    Trojanizing alat open-source adalah sesuatu yang Lazarus terus lakukan, karena laporan Microsoft kemarin menyebutkan teknik ini digunakan dengan Putty, KiTTY, TightVNC, Sumatra PDF Reader, dan penginstal perangkat lunak muPDF/Subliminal Recording.

    Sumber:

    Google menutup layanan Terjemahan di China

    by

    Google Alphabet pada hari Senin mengatakan telah menutup layanan Google Translate di Cina daratan, dengan alasan penggunaan yang rendah.

    Langkah ini menandai akhir dari salah satu produk terakhirnya yang tersisa di ekonomi terbesar kedua di dunia.

    Situs web China daratan khusus untuk Google Terjemahan sekarang mengalihkan pengguna ke layanan versi Hong Kong. Namun, ini tidak dapat diakses dari daratan Cina.

    Google telah memiliki hubungan yang penuh dengan pasar Cina. Raksasa teknologi AS itu menarik mesin pencarinya dari China pada 2010 karena penyensoran online yang ketat dari pemerintah. Layanan lainnya seperti Google Maps dan Gmail juga diblokir secara efektif oleh pemerintah China.

    Akibatnya, pesaing lokal seperti mesin pencari Baidu dan media sosial dan raksasa game Tencent telah mendominasi lanskap internet China di berbagai bidang mulai dari pencarian hingga terjemahan.

    Google memiliki kehadiran yang sangat terbatas di China akhir-akhir ini. Beberapa perangkat kerasnya termasuk smartphone dibuat di Cina. Tetapi The New York Times melaporkan bulan lalu bahwa Google telah mengalihkan beberapa produksi smartphone Pixel-nya ke Vietnam.

    Perusahaan juga berusaha untuk membuat pengembang Cina membuat aplikasi untuk sistem operasi Android-nya secara global yang kemudian akan tersedia melalui Google Play Store, meskipun itu diblokir di Cina.

    Pada tahun 2018, Google sedang menjajaki masuk kembali ke China dengan mesin pencarinya, tetapi akhirnya membatalkan proyek itu setelah mendapat reaksi keras dari karyawan dan politisi.

    Bisnis Amerika telah terperangkap di tengah ketegangan yang berkelanjutan di bidang teknologi antara AS dan China. Washington terus mengkhawatirkan akses potensial China ke teknologi sensitif di berbagai bidang seperti kecerdasan buatan dan semikonduktor.

    Sumber: CNBC

    Mitigasi server zero-day Microsoft Exchange dapat dilewati

    by

    Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

    Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

    Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

    Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

    • Buka Manajer IIS.
    • Pilih Situs Web Default.
    • Di** Feature View**, klik URL Rewrite.
    • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
    • Pilih** Permintaan Pemblokiran** dan klik OK.
    • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
    • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
    • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

    Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

    Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

    Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

    Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

    Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

    .*autodiscover\.json.*Powershell.*

    Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

    Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

    Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

    Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

    Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

    Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

    Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

    Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

    CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

    Selengkapnya: Bleeping Computer

    Peretas yang Disponsori Negara Kemungkinan Mengeksploitasi MS Exchange 0-Day Melawan ~10 Organisasi

    by

    Microsoft pada hari Jumat mengungkapkan bahwa satu grup aktivitas pada Agustus 2022 mencapai akses awal dan melanggar server Exchange dengan merantai dua kelemahan zero-day yang baru diungkapkan dalam serangkaian serangan terbatas yang ditujukan pada kurang dari 10 organisasi secara global.

    “Serangan ini menginstal web shell Chopper untuk memfasilitasi akses hands-on-keyboard, yang digunakan penyerang untuk melakukan pengintaian Active Directory dan eksfiltrasi data,” kata Microsoft Threat Intelligence Center (MSTIC) dalam analisis baru.

    Persenjataan kerentanan diperkirakan akan meningkat dalam beberapa hari mendatang, Microsoft lebih lanjut memperingatkan, karena aktor jahat mengkooptasi eksploitasi ke dalam toolkit mereka, termasuk menyebarkan ransomware, karena “akses yang sangat istimewa yang diberikan sistem Exchange kepada penyerang.”

    Raksasa teknologi itu mengaitkan serangan yang sedang berlangsung dengan tingkat kepercayaan menengah ke organisasi yang disponsori negara, menambahkan bahwa mereka sudah menyelidiki serangan ini ketika Zero Day Initiative mengungkapkan kelemahannya ke Microsoft Security Response Center (MSRC) awal bulan lalu pada 8-9 September 2022.

    Kedua kerentanan telah secara kolektif dijuluki ProxyNotShell, karena fakta bahwa “itu adalah jalur yang sama dan pasangan SSRF/RCE” sebagai ProxyShell tetapi dengan otentikasi, menunjukkan tambalan yang tidak lengkap.

    Masalah, yang dirangkai untuk mencapai eksekusi kode jarak jauh, tercantum di bawah ini:

    • CVE-2022-41040 (skor CVSS: 8,8) – Peningkatan Kerentanan Privilege Server Microsoft Exchange
    • CVE-2022-41082 (skor CVSS: 8,8) – Kerentanan Eksekusi Kode Jarak Jauh Microsoft Exchange Server

    Selengkapnya: The Hacker News