Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer

Microsoft Teams dianggap tidak aman untuk digunakan oleh peneliti keamanan

by

Firma riset keamanan siber yang berbasis di California, Vectra, telah menemukan kelemahan pada Microsoft Teams versi desktop yang berpotensi di mana token autentikasi disimpan dalam teks biasa, yang membuatnya rentan terhadap serangan pihak ketiga.

Masalah ini memengaruhi aplikasi Teams berdasarkan kerangka kerja Electron perusahaan, yang berjalan di mesin Windows, macOS, dan Linux.

Vectra mengatakan bahwa kredensial ini secara teoritis dapat dicuri oleh penyerang yang memiliki akses sistem lokal atau jarak jauh. Microsoft menyadari kerentanan ini, meskipun perusahaan tampaknya tidak terburu-buru untuk memperbaikinya.

Peretas dengan akses yang diperlukan dapat mencuri data dari pengguna Teams online dan berpotensi menirunya saat mereka offline.

Identitas ini kemudian dapat digunakan di seluruh aplikasi seperti Outlook atau Skype dengan menghindari persyaratan otentikasi multifaktor (MFA).

“Bahkan lebih merusak, penyerang dapat merusak komunikasi yang sah dalam suatu organisasi dengan selektif menghancurkan, exfiltrating, atau terlibat dalam serangan phishing yang ditargetkan,” Connor Peoples, arsitek keamanan di Vectra, mengatakan. Dia mencatat bahwa kerentanan khusus ini hanya ada pada versi desktop Teams karena kurangnya “kontrol keamanan tambahan untuk melindungi data cookie.”

Untuk menyampaikan maksudnya ke Microsoft, Vectra bahkan mengembangkan bukti konsep yang merinci eksploitasi, memungkinkan para peneliti untuk mengirim pesan ke akun individu yang token aksesnya dikompromikan.

Meskipun platform Electron memudahkan pembuatan aplikasi untuk desktop, platform ini tidak menyertakan langkah-langkah keamanan penting seperti enkripsi atau lokasi file yang dilindungi sistem, standar.

Cybersecurity Dark Reading (melalui Engadget) mendekati perusahaan untuk mengomentari kerentanan Teams dan menerima tanggapan yang cukup hangat, dan mengatakan bahwa celah keamanan ini “tidak memenuhi standar kami untuk layanan segera karena mengharuskan penyerang untuk terlebih dahulu mendapatkan akses ke jaringan sasaran.” Namun, perusahaan tidak mengesampingkan kemungkinan perbaikan yang diluncurkan di masa depan.

Pengguna disarankan untuk tidak menggunakan aplikasi desktop Microsoft Teams hingga perbaikan. Sebagai alternatif lain, gunakan aplikasi web Teams yang memiliki perlindungan tambahan.

Sumber: Android Police

Pembaharuan sistem KB5017308 Windows 10 menyebabkan masalah dengan pengaturan Group Policy

by

Pembaruan kumulatif Windows 10 KB5017308 yang dirilis Patch Selasa ini dilaporkan menyebabkan masalah Group Policy Object (GPO), menurut laporan admin.

Menurut laporan yang dibagikan di beberapa jejaring sosial dan komunitas online Microsoft, operasi file GPO tidak akan berfungsi lagi karena mereka tidak dapat lagi membuat atau menyalin pintasan dengan benar setelah menginstal KB5017308.

“Secara khusus, kami menyalin file batch ke dokumen publik, lalu menyalin pintasan ke desktop pengguna saat ini untuk menjalankannya,” kata seorang admin di Reddit.

“Sejak pembaruan, ikon tidak ditransfer untuk pintasan (yaitu ikon kosong sekarang) dan file batch sebenarnya kosong saat disalin.”

Yang lain mengkonfirmasi masalah ini di situs web Komunitas Microsoft, mengatakan bahwa semua pintasan yang dibuat oleh GPO “dibuat kosong dengan 0 byte dan tidak ada info ke mana pintasan “mengarah.”

Meskipun Microsoft belum secara resmi mengakui masalah ini dan memberikan perbaikan atau solusi, beberapa admin Windows telah melaporkan bahwa menghapus centang pada opsi “Jalankan dalam konteks keamanan pengguna” pada GPO yang terpengaruh akan mengatasi masalah pembuatan pintasan.

Yang lain juga menyarankan perbaikan yang lebih radikal yang memerlukan penghapusan dan penyembunyian pembaruan kumulatif KB5017308 secara manual.

“Untuk menghapus LCU setelah menginstal paket SSU dan LCU gabungan, gunakan opsi baris perintah DISM/Hapus-Paket dengan nama paket LCU sebagai argumen. Anda dapat menemukan nama paket dengan menggunakan perintah ini: DISM /online /get- paket,” kata Microsoft.

“Menjalankan Windows Update Standalone Installer (wusa.exe) dengan sakelar /uninstall pada paket gabungan tidak akan berfungsi karena paket gabungan berisi SSU. Anda tidak dapat menghapus SSU dari sistem setelah penginstalan.”

Namun, penting untuk disebutkan bahwa, karena Microsoft menggabungkan semua perbaikan keamanan ke dalam satu pembaruan, menghapus KB5017308 dapat menyelesaikan bug tetapi juga akan menghapus semua perbaikan untuk kerentanan keamanan yang baru saja ditambal.

Selengkapnya: Bleeping Computer

Pembaruan Keamanan Terbaru Microsoft Memperbaiki 64 Kelemahan Baru, Termasuk Zero-Day

by

Microsoft telah merilis perbaikan keamanan untuk kerentanan zero-day yang memengaruhi semua versi Windows yang didukung yang telah dieksploitasi dalam serangan di dunia nyata.

Bug zero-day, dilacak sebagai CVE-2022-37969, digambarkan sebagai peningkatan cacat hak istimewa di Windows Common Log File System Driver, subsistem yang digunakan untuk data dan pencatatan peristiwa. Bug memungkinkan penyerang untuk mendapatkan tingkat akses tertinggi, yang dikenal sebagai hak istimewa sistem, ke perangkat yang rentan.

Microsoft mengatakan pengguna yang menjalankan Windows 11 dan sebelumnya, dan Windows Server 2008 dan Windows Server 2012, terpengaruh. Windows 7 juga akan menerima patch keamanan, meskipun tidak lagi didukung pada tahun 2020.

Microsoft mengatakan cacat tersebut mengharuskan penyerang sudah memiliki akses ke perangkat yang disusupi, atau kemampuan untuk menjalankan kode pada sistem target.

Microsoft memuji empat kelompok peneliti yang berbeda dari CrowdStrike, DBAPPSecurity, Mandiant, dan Zscaler karena melaporkan kesalahan tersebut, yang mungkin merupakan eksploitasi yang meluas di alam pembohong.

Dhanesh Kizhakkinan, kerentanan bagian utama senior di Mandiant, mengatakan kepada TechCrunch bahwa perusahaan menemukan bug “selama misi pencarian eksploitasi Offensive Task Force proaktif,” menambahkan bahwa eksploitasi mandiri dan bukan dari rantai serangan.

Microsoft tidak membagikan detail tentang serangan yang mengeksploitasi kerentanan ini dan tidak menanggapi permintaan komentar kami.

Perbaikan tersebut masuk kebagian dari rilis bulanan perbaikan keamanan Microsoft Patch Tuesday, yang mencakup total 63 kerentanan di berbagai produk Microsoft, termasuk Microsoft Edge, Office, dan Windows Defender.

Microsoft juga merilis patch untuk cacat zero-day kedua, dilacak sebagai CVE-2022-23960, yang diprediksi sebagai kerentanan cache yang dikenal sebagai “Spectre-BHB” yang memengaruhi Windows 11 untuk sistem berbasis ARM. Spectre-BHB adalah varian dari kerentanan Spectre v2, yang memungkinkan penyerang mencuri data dari memori.

Sumber: TechCrunch

Microsoft Defender salah mendeteksi Win32/Hive.ZY di Google Chrome, aplikasi Electron

by

Pembaruan tambahan untuk cerita di bawah ini, termasuk versi pembaruan intelijen keamanan yang diperlukan untuk memperbaiki False Positive (positif palsu) Win32/Hive.ZY.

Pembaruan tanda tangan Microsoft Defender yang buruk salah mendeteksi Google Chrome, Microsoft Edge, Discord, dan aplikasi Electron lainnya sebagai ‘Win32/Hive.ZY’ setiap kali aplikasi dibuka di Windows.

Masalah dimulai Minggu pagi ketika Microsoft mendorong pembaruan tanda tangan Defender 1.373.1508.0 untuk menyertakan dua deteksi ancaman baru, termasuk Behavior:Win32/Hive.ZY.

“Deteksi umum untuk perilaku mencurigakan ini dirancang untuk menangkap file yang berpotensi berbahaya. Jika Anda mengunduh file atau menerimanya melalui email, pastikan file tersebut berasal dari sumber yang dapat dipercaya sebelum membukanya,”

Microsoft Defender salah mendeteksi Win32/Hive.ZY
Sumber: Twitter

Meskipun Microsoft Defender akan terus menampilkan deteksi ini saat aplikasi dibuka, penting untuk dicatat bahwa ini adalah False Positive, dan perangkat Anda salah terdeteksi sebagai terinfeksi.

Untuk memeriksa pembaruan intelijen keamanan baru, pengguna Windows dapat mencari dan membuka Keamanan Windows dari Start Menu, klik Perlindungan virus & ancaman, lalu klik Periksa pembaruan di bawah Pembaruan perlindungan virus & ancaman.

Microsoft telah merilis pembaruan intelijen keamanan Microsoft Defender versi 1.373.1537.0 untuk menyelesaikan False Positive Win32/Hive.ZY yang dialami oleh pengguna Windows saat ini.

“Kami telah merilis pembaruan untuk mengatasi masalah ini dan pelanggan yang menggunakan pembaruan otomatis untuk Microsoft Defender tidak perlu melakukan tindakan tambahan.”

Selain itu, Microsoft berbagi bahwa pelanggan perusahaan yang mengelola pembaruan mereka harus memastikan mereka menggunakan deteksi build 1.373.1537.0 atau yang lebih baru.

Sumber: Bleeping Computer

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

Berhati-hatilah dengan Stik USB ‘Microsoft Office’ yang Muncul di Email: Ini Penipuan

by

Jika Anda menerima produk Microsoft Office secara acak melalui pos, berhati-hatilah: Ini bisa jadi penipuan.

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna. (Sumber: Twitter)

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah. Tetapi jika Anda mencolokkan stik USB ke PC, itu tidak akan menginstal program Office. Sebaliknya, itu akan mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439. Konsultan keamanan siber Martin Pitman memulihkan stik USB dan kemasannya melalui ibunya, yang akhirnya meneleponnya ketika dia berada di rumah orang lain yang mencoba memasangnya.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Sumber: PCMag

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer