Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Microsoft membagikan mitigasi untuk serangan Windows KrbRelayUp LPE

by

Microsoft telah berbagi panduan untuk membantu admin mempertahankan lingkungan perusahaan Windows mereka dari serangan KrbRelayUp yang memungkinkan penyerang mendapatkan hak istimewa SISTEM pada sistem Windows dengan konfigurasi default.

Penyerang dapat meluncurkan serangan ini menggunakan alat KrbRelayUp yang dikembangkan oleh peneliti keamanan Mor Davidovich sebagai pembungkus sumber terbuka untuk alat eskalasi hak istimewa Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn.

Sejak akhir April 2022, saat alat ini pertama kali dibagikan di GitHub, pelaku ancaman dapat meningkatkan izin mereka ke SISTEM di lingkungan domain Windows dengan pengaturan default (di mana penandatanganan LDAP tidak diterapkan).

Davidovich merilis versi terbaru dari KrbRelayUp pada hari Senin yang juga berfungsi saat penandatanganan LDAP diberlakukan dan akan memberikan hak istimewa SISTEM kepada penyerang jika Perlindungan Diperpanjang untuk Otentikasi (EPA) untuk Layanan Sertifikat Direktori Aktif (AD CS) tidak diaktifkan.

Microsoft mengatakan bahwa alat eskalasi hak istimewa ini tidak bekerja melawan organisasi dengan lingkungan Azure Active Directory berbasis cloud.

Namun, KrbRelayUp dapat membantu kompromi mesin virtual Azure di lingkungan AD hibrid di mana pengontrol domain disinkronkan dengan Azure AD.

“Meskipun serangan ini tidak akan berfungsi untuk perangkat yang bergabung dengan Azure Active Directory (Azure AD), perangkat gabungan hybrid dengan pengontrol domain lokal tetap rentan,” kata Zeev Rabinovich dan Ofir Shlomo dari Microsoft 365 Defender Research Team.

Microsoft kini telah membagikan panduan kepada publik tentang pemblokiran upaya semacam itu dan mempertahankan jaringan perusahaan dari serangan yang menggunakan pembungkus KrbRelayUp.

Namun, langkah-langkah mitigasi ini juga telah tersedia sebelumnya untuk pelanggan perusahaan dengan langganan Microsoft 365 E5.

Sesuai rekomendasi Redmond, admin harus mengamankan komunikasi antara klien LDAP dan pengontrol domain Active Directory (AD) dengan memberlakukan penandatanganan server LDAP dan mengaktifkan Extended Protection for Authentication (EPA).

Seperti yang dikatakan Microsoft, organisasi disarankan untuk menerapkan mitigasi berikut untuk “mengurangi dampak ancaman ini:”

Microsoft telah memberikan panduan untuk mengaktifkan pengikatan saluran LDAP dan penandatanganan LDAP. Microsoft menyarankan agar administrator mengonfigurasi penandatanganan LDAP dan pengikatan saluran LDAP seperti yang direkomendasikan dalam nasihat tersebut dan dijelaskan secara mendetail dalam pengikatan saluran LDAP 2020 dan persyaratan penandatanganan LDAP untuk Windows (KB4520412).

Organisasi juga harus mempertimbangkan untuk menyetel atribut ms-DS-MachineAccountQuota ke 0 untuk mempersulit penyerang memanfaatkan atribut untuk serangan. Menyetel atribut ke 0 akan menghentikan pengguna non-admin menambahkan perangkat baru ke domain, memblokir metode paling efektif untuk melakukan langkah pertama serangan, dan memaksa penyerang memilih metode yang lebih kompleks untuk memperoleh sumber daya yang sesuai.

Sumber: Bleeping Computer

PDF menyelundupkan dokumen Microsoft Word untuk menjatuhkan malware Snake Keylogger

by

Analis ancaman telah menemukan kampanye distribusi malware baru-baru ini menggunakan lampiran PDF untuk menyelundupkan dokumen Word berbahaya yang menginfeksi pengguna dengan malware.

Pilihan PDF tidak biasa, karena sebagian besar email berbahaya saat ini datang dengan lampiran DOCX atau XLS yang dicampur dengan kode makro yang memuat malware.

Dalam laporan baru oleh HP Wolf Security, para peneliti menggambarkan bagaimana PDF digunakan sebagai transportasi untuk dokumen dengan makro jahat yang mengunduh dan menginstal malware pencuri informasi di mesin korban.

PDF datang melalui email bernama “Faktur Pengiriman Uang”, dan dugaan kami adalah bahwa badan email berisi janji pembayaran yang tidak jelas kepada penerima.

Saat PDF dibuka, Adobe Reader meminta pengguna untuk membuka file DOCX yang ada di dalamnya, yang sudah tidak biasa dan mungkin membingungkan korban.

Karena pelaku ancaman menyebut dokumen yang disematkan “telah diverifikasi”, perintah Buka File di bawah menyatakan, “File ‘telah diverifikasi.” Pesan ini dapat mengelabui penerima agar percaya bahwa Adobe memverifikasi file tersebut sebagai sah dan bahwa file tersebut aman untuk dibuka.

Dialog meminta persetujuan tindakan (HP)

Sementara analis malware dapat memeriksa file yang disematkan dalam PDF menggunakan parser dan skrip, pengguna biasa yang menerima email rumit ini tidak akan bertindak sejauh itu atau bahkan tahu harus mulai dari mana.

Dengan demikian, banyak yang dapat membuka DOCX di Microsoft Word, dan jika makro diaktifkan, akan mengunduh file RTF (format teks kaya) dari sumber jarak jauh dan membukanya.

DAPATKAN permintaan untuk mengambil file RTF (HP)

Pengunduhan RTF adalah hasil dari perintah berikut, yang disematkan dalam file Word bersama dengan URL hardcode “vtaurl[.]com/IHytw”, yang merupakan tempat payload di-host.

URL yang menghosting file RTF (HP)

Dokumen RTF diberi nama “f_document_shp.doc” dan berisi objek OLE yang salah format, kemungkinan menghindari analisis. Setelah beberapa rekonstruksi yang ditargetkan, analis HP menemukan bahwa ia mencoba menyalahgunakan kerentanan Editor Persamaan Microsoft lama untuk menjalankan kode arbitrer.

Shellcode yang didekripsi menyajikan payload (HP)

Shellcode yang digunakan mengeksploitasi CVE-2017-11882, bug eksekusi kode jarak jauh di Editor Persamaan yang diperbaiki pada November 2017 tetapi masih tersedia untuk dieksploitasi di alam liar.

Dengan mengeksploitasi CVE-2017-11882, shellcode dalam RTF mengunduh dan menjalankan Snake Keylogger, pencuri info modular dengan ketekunan yang kuat, penghindaran pertahanan, akses kredensial, pengumpulan data, dan kemampuan eksfiltrasi data.

Sumber: Bleeping Computer

Microsoft menambal patch yang merusak otentikasi Windows

by

Beberapa administrator mengeluh minggu lalu bahwa setelah menginstal patch 10 Mei, mereka mengalami kegagalan otentikasi di beberapa sistem.

Tyler mengatakan pada saat itu: “Kami tahu akar masalahnya adalah nama subjek salah digunakan untuk memetakan sertifikat ke akun mesin di AD daripada DNSHostname di nama alternatif subjek di DC yang telah menginstal 5b dan kami sedang mengerjakannya .”

Sebuah entri kemudian muncul dalam daftar panjang masalah yang diketahui untuk patch di mana Microsoft memperingatkan bahwa, setelah menginstal patch 10 Mei pada pengontrol domain, mungkin ada masalah dengan beberapa layanan.

“Layanan ini,” katanya, “termasuk Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), dan Protected Extensible Authentication Protocol (PEAP).

“Masalah telah ditemukan terkait dengan bagaimana pengontrol domain mengelola pemetaan sertifikat ke akun mesin.”

Seperti banyak pembaruan, patch 10 Mei adalah yang penting, dan menyertakan perbaikan untuk kerentanan elevasi hak istimewa “keparahan tinggi” yang dapat terjadi saat Kerberos Distribution Center (KDC) melayani permintaan otentikasi berbasis sertifikat.

Mundur dari pembaruan tampaknya menyelesaikan masalah, tetapi, seperti yang diamati oleh seorang pengguna, “ini adalah tambalan yang cukup kritis tetapi tampaknya cukup merusak peran kunci!”

Administrator akan dimaafkan karena merasa bahwa tambalan untuk memperbaiki tambalan tampaknya menjadi agak terlalu umum selama bertahun-tahun.

Selengkapnya: The Register

Microsoft mendeteksi lonjakan besar dalam aktivitas malware XorDDoS Linux

by

Malware tersembunyi dan modular yang digunakan untuk meretas perangkat Linux dan membangun botnet DDoS telah mengalami peningkatan aktivitas yang sangat besar sebesar 254% selama enam bulan terakhir, seperti yang diungkapkan Microsoft hari ini.

Malware ini (aktif setidaknya sejak 2014) dikenal sebagai XorDDoS (atau XOR DDoS) karena penggunaan enkripsi berbasis XOR saat berkomunikasi dengan server perintah-dan-kontrol (C2) dan digunakan untuk meluncurkan penolakan layanan terdistribusi (DDoS) serangan.

Seperti yang diungkapkan perusahaan, keberhasilan botnet kemungkinan karena penggunaan ekstensif berbagai taktik penghindaran dan ketekunan yang memungkinkannya tetap tersembunyi dan sulit dihilangkan.

XorDDoS dikenal untuk menargetkan banyak arsitektur sistem Linux, dari ARM (IoT) hingga x64 (server), dan mengorbankan yang rentan dalam serangan brute force SSH.

Untuk menyebar ke lebih banyak perangkat, ia menggunakan skrip shell yang akan mencoba masuk sebagai root menggunakan berbagai kata sandi terhadap ribuan sistem yang terpapar Internet hingga akhirnya menemukan kecocokan.

Alur serangan XorDDoS (Microsoft)

Selain meluncurkan serangan DDoS, operator malware menggunakan botnet XorDDoS untuk menginstal rootkit, mempertahankan akses ke perangkat yang diretas, dan, kemungkinan, menjatuhkan muatan berbahaya tambahan.

Peningkatan besar dalam aktivitas XorDDoS yang dideteksi Microsoft sejak Desember sejalan dengan laporan oleh perusahaan keamanan siber CrowdStrike yang mengatakan bahwa malware Linux telah mengalami pertumbuhan 35% selama tahun 2021 dibandingkan tahun sebelumnya.

XorDDoS, Mirai, dan Mozi adalah keluarga yang paling umum, terhitung 22% dari semua serangan malware yang menargetkan perangkat Linux yang diamati pada tahun 2021.

Dari ketiganya, CrowdStrike mengatakan bahwa XorDDoS mengalami peningkatan signifikan dari tahun ke tahun sebesar 123%, sementara Mozi memiliki pertumbuhan aktivitas yang eksplosif, dengan sepuluh kali lebih banyak sampel terdeteksi di alam liar sepanjang tahun lalu.

Laporan Februari 2021 dari Intezer juga mengungkapkan bahwa keluarga malware Linux meningkat sekitar 40% pada tahun 2020 dibandingkan dengan 2019.

Sumber: Bleeping Computer

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Peringatan: Pembaruan Windows merusak otentikasi untuk beberapa admin server

by

Microsoft memperingatkan pembaruan keamanan dapat menyebabkan kegagalan otentikasi untuk pengontrol domain Windows.

“Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol ( EAP), dan Protected Extensible Authentication Protocol (PEAP),” kata goliath IT itu dalam sebuah nasihat yang diterbitkan Rabu.

Saran mengacu pada pembaruan Windows KB5013943 (dirilis Selasa, 10 Mei 2022), yang mengikuti KB5012643 (dirilis 25 April 2022) dan membahas penyebab layar berkedip saat memulai dalam Safe Mode.

Pembaruan KB5012643 April itu ditarik dari peredaran pada Rabu, 11 Mei, tanpa penjelasan.

Pembaruan Windows terbaru, KB5013943, meninggalkan masalah yang belum terselesaikan di mana beberapa aplikasi .NET Framework 3.5 gagal dibuka dan beberapa aplikasi yang menggunakan Direct3D 9 dengan GPU tertentu mogok (solusi disarankan untuk kedua kasus.)

Kesulitan otentikasi seharusnya tidak mempengaruhi perangkat Windows klien atau server pengontrol non-domain, menurut Microsoft.

Netizen yang memposting ke /r/sysadmin di Reddit mencatat terjadinya kegagalan otentikasi setelah penerapan dua tambalan Microsoft. Diidentifikasi oleh ID kerentanan CVE-2022-26931 dan CVE-2022-26923, patch tersebut dimaksudkan untuk menyelesaikan dua kerentanan eskalasi hak istimewa “keparahan tinggi” yang dijelaskan dalam KB5014754.

Selengkapnya: The Register

Apple, Google, dan Microsoft Akan Segera Menerapkan Masuk Tanpa Kata Sandi di Semua Platform Utama

by

Pada tanggal 5 Mei — Hari Kata Sandi Sedunia — kita mungkin telah selangkah lebih dekat dengan kata sandi yang sudah ketinggalan zaman.

Dalam upaya bersama, raksasa teknologi Apple, Google, dan Microsoft mengumumkan Kamis pagi bahwa mereka telah berkomitmen untuk membangun dukungan untuk masuk tanpa kata sandi di semua platform seluler, desktop, dan browser yang mereka kendalikan di tahun mendatang. Secara efektif, ini berarti bahwa otentikasi tanpa kata sandi akan datang ke semua platform perangkat utama dalam waktu yang tidak terlalu lama: sistem operasi seluler Android dan iOS; Browser Chrome, Edge, dan Safari; dan lingkungan desktop Windows dan macOS.

“Sama seperti kami mendesain produk kami agar intuitif dan mampu, kami juga mendesainnya untuk menjadi pribadi dan aman,” kata Kurt Knight, direktur senior pemasaran produk platform di Apple. “Bekerja dengan industri untuk membangun metode masuk baru yang lebih aman yang menawarkan perlindungan yang lebih baik dan menghilangkan kerentanan kata sandi adalah inti dari komitmen kami untuk membangun produk yang menawarkan keamanan maksimum dan pengalaman pengguna yang transparan — semua dengan tujuan menjaga pengguna ‘ informasi pribadi aman.”

Proses masuk tanpa kata sandi akan memungkinkan pengguna memilih ponsel mereka sebagai perangkat otentikasi utama untuk aplikasi, situs web, dan layanan digital lainnya, seperti yang dirinci Google dalam posting blog yang diterbitkan Kamis. Membuka kunci ponsel dengan apa pun yang ditetapkan sebagai tindakan default — memasukkan PIN, menggambar pola, atau menggunakan buka kunci sidik jari — akan cukup untuk masuk ke layanan web tanpa perlu memasukkan kata sandi, yang dimungkinkan melalui penggunaan token kriptografi unik yang disebut kunci sandi yang dibagikan antara ponsel dan situs web.

Dengan membuat login bergantung pada perangkat fisik, idenya adalah bahwa pengguna secara bersamaan akan mendapatkan keuntungan dari kesederhanaan dan keamanan. Tanpa kata sandi, tidak ada kewajiban untuk mengingat detail login di seluruh layanan atau membahayakan keamanan dengan menggunakan kembali kata sandi yang sama di banyak tempat. Sama halnya, sistem tanpa kata sandi akan mempersulit peretas untuk mengkompromikan detail login dari jarak jauh karena proses masuk memerlukan akses ke perangkat fisik; dan, secara teoritis, serangan phishing di mana pengguna diarahkan ke situs web palsu untuk menangkap kata sandi akan jauh lebih sulit untuk dipasang.

Vasu Jakkal, wakil presiden Microsoft untuk keamanan, kepatuhan, identitas, dan privasi, menekankan tingkat kompatibilitas di seluruh platform. “Dengan kunci sandi di perangkat seluler Anda, Anda dapat masuk ke aplikasi atau layanan di hampir semua perangkat, terlepas dari platform atau browser yang digunakan perangkat tersebut,” kata Jakkal dalam pernyataan melalui email. “Misalnya, pengguna dapat masuk ke browser Google Chrome yang berjalan di Microsoft Windows—menggunakan kunci sandi di perangkat Apple.”

Fungsionalitas lintas platform dimungkinkan oleh standar yang disebut FIDO, yang menggunakan prinsip-prinsip kriptografi kunci publik untuk mengaktifkan otentikasi tanpa kata sandi dan otentikasi multi-faktor dalam berbagai konteks. Ponsel pengguna dapat menyimpan kunci sandi unik yang sesuai dengan FIDO dan akan membagikannya dengan situs web untuk autentikasi hanya saat ponsel tidak terkunci. Per pos Google, kunci sandi juga dapat dengan mudah disinkronkan ke perangkat baru dari cadangan cloud jika ponsel hilang.

Sejauh ini, Apple, Google, dan Microsoft semuanya mengatakan bahwa mereka mengharapkan kemampuan masuk baru tersedia di seluruh platform di tahun depan, meskipun peta jalan yang lebih spesifik belum diumumkan. Meskipun plot untuk membunuh kata sandi telah berlangsung selama bertahun-tahun, ada tanda-tanda bahwa kali ini mungkin akhirnya berhasil.

Sumber: The Verge

Microsoft Meluncurkan Layanan Keamanan Siber untuk Membantu Klien Melawan Ransomware dan Serangan Lainnya

by

Bisnis keamanan Microsoft tumbuh lebih cepat daripada produk utamanya, dan sekarang perusahaan menambahkan bobot pada penawarannya dengan tiga layanan baru yang dirancang untuk membantu organisasi mengenali dan merespons insiden keamanan siber.

Microsoft adalah salah satu pemimpin dalam perangkat lunak dan infrastruktur cloud, yang berarti teknologinya telah menjadi tulang punggung bagi banyak bisnis dari semua ukuran. Itu menempatkan perusahaan dalam posisi untuk tidak hanya menyediakan perangkat lunak keamanan untuk basis kliennya, tetapi juga menawarkan layanan berorientasi konsultasi di pasar di mana permintaan jauh melebihi pasokan.

Investasi tersebut datang ketika organisasi meningkatkan pengeluaran keamanan mereka untuk mengelola peningkatan ancaman serangan ransomware dan peretasan jaringan. Tahun lalu, Microsoft dan perusahaan teknologi lainnya berjanji untuk membantu mengisi sekitar 500.000 pekerjaan keamanan siber di AS, dan CEO Microsoft Satya Nadella mengatakan pengeluaran penelitian dan pengembangan tahunan dalam keamanan siber akan melonjak menjadi $4 miliar dari $1 miliar.

Vasu Jakkal, wakil presiden perusahaan Microsoft yang berfokus pada keamanan, mengatakan kepada CNBC bahwa sebagian besar pengeluaran tambahan Microsoft adalah untuk orang.

“Kami hanya memperluas skala layanan karena tuntutan yang kami lihat,” kata Jakkal.

Di antara produk baru yang diluncurkan adalah Microsoft Defender Experts for Hunting. Ini akan melibatkan teknisi Microsoft yang menandai masalah yang mereka temukan di perangkat klien, instalasi perangkat lunak produktivitas Office 365, aplikasi cloud, dan program identitas, dengan biaya $3 per orang per bulan. Peluncuran ini akan menempatkan Microsoft dalam persaingan yang lebih langsung dengan perusahaan perangkat lunak keamanan murni seperti CrowdStrike.

Ada juga Microsoft Defender Experts untuk XDR, dengan biaya $14 per orang per bulan. Ini adalah layanan padat karya yang menugaskan karyawan Microsoft untuk membantu perusahaan mengambil tindakan terhadap ancaman. Jenis pekerjaan itu dilakukan oleh berbagai perusahaan saat ini, termasuk kantor akuntan empat besar.

Penawaran baru ketiga adalah Layanan Keamanan Microsoft untuk Perusahaan, yang mencakup serangkaian layanan berbasis orang yang lebih luas lagi.

Sumber: CNBC