Microsoft

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

May 23, 2022 by Mally

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

May 20, 2022 by Mally

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

May 18, 2022 by Mally

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Apple, Google, dan Microsoft Akan Segera Menerapkan Masuk Tanpa Kata Sandi di Semua Platform Utama

May 11, 2022 by Mally

Pada tanggal 5 Mei — Hari Kata Sandi Sedunia — kita mungkin telah selangkah lebih dekat dengan kata sandi yang sudah ketinggalan zaman.

Dalam upaya bersama, raksasa teknologi Apple, Google, dan Microsoft mengumumkan Kamis pagi bahwa mereka telah berkomitmen untuk membangun dukungan untuk masuk tanpa kata sandi di semua platform seluler, desktop, dan browser yang mereka kendalikan di tahun mendatang. Secara efektif, ini berarti bahwa otentikasi tanpa kata sandi akan datang ke semua platform perangkat utama dalam waktu yang tidak terlalu lama: sistem operasi seluler Android dan iOS; Browser Chrome, Edge, dan Safari; dan lingkungan desktop Windows dan macOS.

“Sama seperti kami mendesain produk kami agar intuitif dan mampu, kami juga mendesainnya untuk menjadi pribadi dan aman,” kata Kurt Knight, direktur senior pemasaran produk platform di Apple. “Bekerja dengan industri untuk membangun metode masuk baru yang lebih aman yang menawarkan perlindungan yang lebih baik dan menghilangkan kerentanan kata sandi adalah inti dari komitmen kami untuk membangun produk yang menawarkan keamanan maksimum dan pengalaman pengguna yang transparan — semua dengan tujuan menjaga pengguna ‘ informasi pribadi aman.”

Proses masuk tanpa kata sandi akan memungkinkan pengguna memilih ponsel mereka sebagai perangkat otentikasi utama untuk aplikasi, situs web, dan layanan digital lainnya, seperti yang dirinci Google dalam posting blog yang diterbitkan Kamis. Membuka kunci ponsel dengan apa pun yang ditetapkan sebagai tindakan default — memasukkan PIN, menggambar pola, atau menggunakan buka kunci sidik jari — akan cukup untuk masuk ke layanan web tanpa perlu memasukkan kata sandi, yang dimungkinkan melalui penggunaan token kriptografi unik yang disebut kunci sandi yang dibagikan antara ponsel dan situs web.

Dengan membuat login bergantung pada perangkat fisik, idenya adalah bahwa pengguna secara bersamaan akan mendapatkan keuntungan dari kesederhanaan dan keamanan. Tanpa kata sandi, tidak ada kewajiban untuk mengingat detail login di seluruh layanan atau membahayakan keamanan dengan menggunakan kembali kata sandi yang sama di banyak tempat. Sama halnya, sistem tanpa kata sandi akan mempersulit peretas untuk mengkompromikan detail login dari jarak jauh karena proses masuk memerlukan akses ke perangkat fisik; dan, secara teoritis, serangan phishing di mana pengguna diarahkan ke situs web palsu untuk menangkap kata sandi akan jauh lebih sulit untuk dipasang.

Vasu Jakkal, wakil presiden Microsoft untuk keamanan, kepatuhan, identitas, dan privasi, menekankan tingkat kompatibilitas di seluruh platform. “Dengan kunci sandi di perangkat seluler Anda, Anda dapat masuk ke aplikasi atau layanan di hampir semua perangkat, terlepas dari platform atau browser yang digunakan perangkat tersebut,” kata Jakkal dalam pernyataan melalui email. “Misalnya, pengguna dapat masuk ke browser Google Chrome yang berjalan di Microsoft Windows—menggunakan kunci sandi di perangkat Apple.”

Fungsionalitas lintas platform dimungkinkan oleh standar yang disebut FIDO, yang menggunakan prinsip-prinsip kriptografi kunci publik untuk mengaktifkan otentikasi tanpa kata sandi dan otentikasi multi-faktor dalam berbagai konteks. Ponsel pengguna dapat menyimpan kunci sandi unik yang sesuai dengan FIDO dan akan membagikannya dengan situs web untuk autentikasi hanya saat ponsel tidak terkunci. Per pos Google, kunci sandi juga dapat dengan mudah disinkronkan ke perangkat baru dari cadangan cloud jika ponsel hilang.

Sejauh ini, Apple, Google, dan Microsoft semuanya mengatakan bahwa mereka mengharapkan kemampuan masuk baru tersedia di seluruh platform di tahun depan, meskipun peta jalan yang lebih spesifik belum diumumkan. Meskipun plot untuk membunuh kata sandi telah berlangsung selama bertahun-tahun, ada tanda-tanda bahwa kali ini mungkin akhirnya berhasil.

Sumber: The Verge

Microsoft Meluncurkan Layanan Keamanan Siber untuk Membantu Klien Melawan Ransomware dan Serangan Lainnya

May 11, 2022 by Mally

Bisnis keamanan Microsoft tumbuh lebih cepat daripada produk utamanya, dan sekarang perusahaan menambahkan bobot pada penawarannya dengan tiga layanan baru yang dirancang untuk membantu organisasi mengenali dan merespons insiden keamanan siber.

Microsoft adalah salah satu pemimpin dalam perangkat lunak dan infrastruktur cloud, yang berarti teknologinya telah menjadi tulang punggung bagi banyak bisnis dari semua ukuran. Itu menempatkan perusahaan dalam posisi untuk tidak hanya menyediakan perangkat lunak keamanan untuk basis kliennya, tetapi juga menawarkan layanan berorientasi konsultasi di pasar di mana permintaan jauh melebihi pasokan.

Investasi tersebut datang ketika organisasi meningkatkan pengeluaran keamanan mereka untuk mengelola peningkatan ancaman serangan ransomware dan peretasan jaringan. Tahun lalu, Microsoft dan perusahaan teknologi lainnya berjanji untuk membantu mengisi sekitar 500.000 pekerjaan keamanan siber di AS, dan CEO Microsoft Satya Nadella mengatakan pengeluaran penelitian dan pengembangan tahunan dalam keamanan siber akan melonjak menjadi $4 miliar dari $1 miliar.

Vasu Jakkal, wakil presiden perusahaan Microsoft yang berfokus pada keamanan, mengatakan kepada CNBC bahwa sebagian besar pengeluaran tambahan Microsoft adalah untuk orang.

“Kami hanya memperluas skala layanan karena tuntutan yang kami lihat,” kata Jakkal.

Di antara produk baru yang diluncurkan adalah Microsoft Defender Experts for Hunting. Ini akan melibatkan teknisi Microsoft yang menandai masalah yang mereka temukan di perangkat klien, instalasi perangkat lunak produktivitas Office 365, aplikasi cloud, dan program identitas, dengan biaya $3 per orang per bulan. Peluncuran ini akan menempatkan Microsoft dalam persaingan yang lebih langsung dengan perusahaan perangkat lunak keamanan murni seperti CrowdStrike.

Ada juga Microsoft Defender Experts untuk XDR, dengan biaya $14 per orang per bulan. Ini adalah layanan padat karya yang menugaskan karyawan Microsoft untuk membantu perusahaan mengambil tindakan terhadap ancaman. Jenis pekerjaan itu dilakukan oleh berbagai perusahaan saat ini, termasuk kantor akuntan empat besar.

Penawaran baru ketiga adalah Layanan Keamanan Microsoft untuk Perusahaan, yang mencakup serangkaian layanan berbasis orang yang lebih luas lagi.

Sumber: CNBC

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

May 11, 2022 by Mally

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Microsoft Menyarankan Uninstal Update Opsional Windows 11

May 9, 2022 by Mally

Microsoft menyarankan pengguna Windows 11 untuk menghapus pembaruan terbaru. Laporan menunjukkan pembaruan, yang bersifat opsional, menyebabkan berbagai aplikasi mogok. Masalah meliputi interaksi antara pembaruan dan .Net Framework yang merupakan bagian dari Windows. Saat ini tidak jelas aplikasi mana yang terpengaruh oleh masalah ini, uninstal adalah satu-satunya solusi yang layak.

Pembaruan yang dimaksud adalah KB5012643, yang dirilis pada 25 April. Ini adalah pembaruan kumulatif untuk sistem operasi dengan banyak perubahan kecil. Ada bagian berlabel “Masalah yang diketahui dengan pembaruan ini.” Di bagian itu mengatakan dapat menyebabkan beberapa aplikasi .Net Framework 3.5 berhenti bekerja. Microsoft mengatakan, “Aplikasi yang terpengaruh menggunakan komponen opsional tertentu di .NET Framework 3.5, seperti komponen Windows Communication Foundation (WCF) dan Windows Workflow (WWF).” .Net Framework ada di mana-mana di Windows, dan digunakan oleh berbagai pengembang aplikasi sebagai basis kode yang dapat digunakan. Beberapa dari aplikasi tersebut sekarang akan macet atau gagal dibuka dengan pembaruan ini diinstal. Catatan Windows terbaru, pembaruan ini hanya tersedia untuk pengguna dengan Windows 11 21H2.

Untuk menghapus pemutakhiran ini, ikuti langkah-langkah berikut:

Dari menu mulai temukan Windows Update Settings.
Dari jendela itu klik View Update History.
Klik Uninstall Update.
Temukan KB5012643 dan klik uninstall.

Jika gagal, Anda juga dapat mencoba Mengaktifkan .NET Framework 3.5 di Kontrol Panel. Jika Anda seorang admin TI atau pengguna tingkat lanjut, Anda juga dapat mengaktifkannya melalui prompt perintah. Berikut perintahnya:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Sumber: Extreme Tech

Kerentanan Microsoft Azure Mengekspos Database PostgreSQL ke Pelanggan Lain

May 4, 2022 by Mally

Microsoft pada hari Kamis mengungkapkan bahwa itu mengatasi sepasang masalah dengan Database Azure untuk Server Fleksibel PostgreSQL yang dapat mengakibatkan akses database lintas-akun yang tidak sah di suatu wilayah.

“Dengan mengeksploitasi bug izin yang ditingkatkan dalam proses otentikasi Server Fleksibel untuk pengguna replikasi, pengguna jahat dapat memanfaatkan ekspresi reguler yang ditambatkan secara tidak benar untuk melewati otentikasi untuk mendapatkan akses ke basis data pelanggan lain,” kata Microsoft Security Response Center (MSRC).

Perusahaan keamanan cloud yang berbasis di New York City, Wiz, yang mengungkap kelemahan tersebut, menjuluki rantai eksploitasi itu “ExtraReplica.” Microsoft mengatakan telah mengurangi bug dalam waktu 48 jam setelah pengungkapan pada 13 Januari 2022.

Secara khusus, ini terkait dengan kasus eskalasi hak istimewa di mesin Azure PostgreSQL untuk mendapatkan eksekusi kode dan bypass otentikasi lintas-akun melalui sertifikat palsu, yang memungkinkan penyerang membuat database di wilayah Azure target dan mengekstrak informasi sensitif.

Dengan kata lain, keberhasilan eksploitasi kelemahan kritis dapat memungkinkan musuh untuk mendapatkan akses baca yang tidak sah ke database PostgreSQL pelanggan lain, secara efektif menghindari isolasi penyewa.

Wiz menelusuri eskalasi hak istimewa ke bug yang berasal dari modifikasi yang diperkenalkan di mesin PostgreSQL untuk memperkuat model hak istimewanya dan menambahkan fitur baru. Nama ExtraReplica berasal dari fakta bahwa exploit memanfaatkan fitur PostgreSQL yang memungkinkan penyalinan data database dari satu server ke server lain, yaitu, “mereplikasi” database.

Pembuat Windows menggambarkan kerentanan keamanan sebagai mempengaruhi contoh Server Fleksibel PostgreSQL yang digunakan menggunakan opsi jaringan akses publik, tetapi menekankan bahwa itu tidak menemukan bukti kelemahan yang dieksploitasi secara aktif dan bahwa tidak ada data pelanggan yang diakses.

Sumber: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft

Cookies Settings