Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

by

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5011493 Dirilis Dengan Perbaikan Bug Dan Peningkatan

by

Microsoft telah meluncurkan pembaruan kumulatif Windows 11 KB5011493 dengan pembaruan keamanan, peningkatan kualitas, dan perbaikan untuk OneDrive yang tidak menghapus file.

KB5011493 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Maret 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan hari ini dengan membuka Start > Settings > Windows Update dan mengeklik ‘Check for Updates’.

Beberapa perbaikan yang disorot dalam pembaruan Windows 11 KB5011493 adalah:

  • Anda sekarang dapat berbagi cookie antara mode Microsoft Edge dan Microsoft Edge Internet Explorer, memberikan integrasi yang lebih mulus.
  • Jam dan tanggal Windows 11 sekarang akan ditampilkan di taskbar untuk monitor lain yang terhubung ke perangkat Anda.
  • Microsoft memperbaiki masalah yang menampilkan teks bahasa kanan-ke-kiri (RTL), seperti Ibrani, sebagai rata kiri pada menu perintah File Explorer dan menu konteks.
  • Microsoft memperbaiki masalah yang menyebabkan daftar zona waktu kosong untuk non-administrator.
  • Microsoft memperbaiki tooltip yang salah saat mengarahkan kursor ke ikon lain seperti baterai, volume, atau Wi-Fi.
  • Microsoft menambahkan titik masuk baru untuk aplikasi Widget untuk menampilkan konten cuaca langsung di sisi kiri taskbar saat Anda mengarahkan kursor ke atasnya. Microsoft memulai dengan Weather tetapi mungkin akan meluas ke konten lain di masa mendatang.

Microsoft juga menyatakan bahwa mereka memperbaiki bug Microsoft OneDrive yang tidak menghapus file dengan benar saat mengatur ulang perangkat Windows.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan Maret 2022 Memperbaiki 71 Kelemahan, 3 Zero Day

by

Microsoft telah merilis Patch Tuesday bulan MAret 2022, dan dengan itu datang perbaikan untuk 3 kerentanan zero-day dan total 71 kelemahan keamanan.

Microsoft telah memperbaiki 71 kerentanan (tidak termasuk 21 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Patch Tuesday bulan ini juga mencakup perbaikan untuk tiga kerentanan zero-day yang diungkapkan secara publik. Kabar baiknya adalah bahwa tidak satu pun dari kerentanan ini yang dieksploitasi secara aktif dalam serangan.

Kerentanan yang diungkapkan kepada publik yang diperbaiki sebagai bagian dari Patch Tuesday Maret 2022 adalah:

  • CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2022-24459 – Windows Fax and Scan Service Elevation of Privilege Vulnerability
  • CVE-2022-24512 – .NET and Visual Studio Remote Code Execution Vulnerability

Meskipun tidak satu pun dari kerentanan ini telah digunakan dalam serangan, Microsoft menyatakan bahwa ada eksploit proof-of-concept untuk CVE-2022-21990 dan CVE-2022-24459.

Kerentanan lain yang menarik bulan ini yang diyakini Microsoft lebih mungkin menjadi sasaran pelaku ancaman adalah:

  • CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
  • CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Selengkapnya: Bleeping Computer

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer

Server Microsoft SQL Rentan yang ditargetkan dengan Cobalt Strike

by

Analis ancaman telah mengamati gelombang serangan baru yang memasang suar Cobalt Strike pada Microsoft SQL Server yang rentan, yang mengarah ke infiltrasi yang lebih dalam dan infeksi malware berikutnya.

Serangan dimulai dengan pelaku ancaman memindai server dengan port TCP terbuka 1433, yang kemungkinan besar merupakan server MS-SQL yang menghadap publik. Penyerang kemudian melakukan serangan brute-forcing dan kamus untuk memecahkan kata sandi. Agar serangan bekerja dengan salah satu metode, kata sandi target harus lemah.

Setelah penyerang mendapatkan akses ke akun admin dan masuk ke server, peneliti ASEC telah melihat mereka menjatuhkan penambang koin seperti Lemon Duck, KingMiner, dan Vollgar. Selain itu, aktor ancaman mem-backdoor server dengan Cobalt Strike untuk membangun kegigihan dan melakukan gerakan lateral.

Cobalt Strike diunduh melalui proses shell perintah (cmd.exe dan powershell.exe) ke MS-SQL yang disusupi dan disuntikkan serta dieksekusi di MSBuild.exe untuk menghindari deteksi.

Proses yang mengunduh Cobalt Strike (ASEC)

Setelah dieksekusi, suar disuntikkan ke dalam proses wwanmm.dll Windows yang sah dan menunggu perintah penyerang sambil tetap tersembunyi di dalam file pustaka sistem.

Kode dan string yang digunakan untuk menodai dll (ASEC)

Cobalt Strike adalah alat pengujian pena (keamanan ofensif) komersial yang disalahgunakan secara ekstensif oleh penjahat dunia maya yang menganggap fitur-fitur canggihnya sangat berguna untuk operasi jahat mereka.

Alat senilai $3.500 per lisensi dimaksudkan untuk membantu peretas etis dan tim merah mensimulasikan serangan nyata terhadap organisasi yang ingin meningkatkan sikap keamanan mereka, tetapi sejak versi yang diretas bocor, penggunaannya oleh pelaku ancaman menjadi tidak terkendali.

Sekarang digunakan oleh Squirrelwaffle, Emotet, operator malware, serangan oportunistik, grup penargetan Linux, musuh canggih, dan biasanya oleh geng ransomware saat melakukan serangan.

Alasan mengapa pelaku ancaman sangat menyalahgunakannya adalah fungsionalitasnya yang kaya yang mencakup hal-hal berikut:

  • Eksekusi perintah
  • Pencatatan kunci
  • Operasi file
  • Proksi SOCKS
  • Peningkatan hak istimewa
  • Mimikatz (mencuri kredensial)
  • Pemindaian port

Selain itu, agen Cobalt Strike yang disebut “suar” adalah kode shell tanpa file, sehingga kemungkinan terdeteksi oleh alat keamanan berkurang, terutama dalam sistem yang dikelola dengan buruk.

Untuk melindungi server MS-SQL Anda dari serangan jenis ini, gunakan kata sandi admin yang kuat, tempatkan server di belakang firewall, catat semuanya dan pantau tindakan yang mencurigakan, terapkan pembaruan keamanan yang tersedia, dan gunakan pengontrol akses data untuk memeriksa dan menerapkan kebijakan pada setiap transaksi.

Sumber : Bleeping Computer

Peretas menyelinap ke obrolan Microsoft Teams untuk mendistribusikan malware

by

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Para peneliti di Avanan menemukan bahwa peretas mulai menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan di platform komunikasi Microsoft Teams.

Serangan dimulai pada bulan Januari, perusahaan mengatakan dalam sebuah laporan hari ini, dan aktor ancaman memasukkan dalam obrolan file yang dapat dieksekusi yang disebut “User Centric” untuk mengelabui pengguna agar menjalankannya. Setelah dijalankan, malware menulis data ke dalam registri sistem, menginstal DLL dan membuat kegigihan pada mesin Windows.

Metode yang digunakan untuk mendapatkan akses ke akun Teams masih belum jelas tetapi beberapa kemungkinan termasuk mencuri kredensial untuk email atau Microsoft 365 melalui phishing atau membahayakan organisasi mitra.

Analisis otomatis dari malware yang didistribusikan dengan cara ini menunjukkan bahwa trojan dapat membangun kegigihan melalui kunci Windows Registry Run atau dengan membuat entri di folder startup.

Itu juga mengumpulkan informasi terperinci tentang sistem operasi dan perangkat keras yang dijalankannya, bersama dengan status keamanan mesin berdasarkan versi OS dan tambalan yang diinstal.

Peneliti keamanan memperingatkan bahwa beberapa penyerang mengkompromikan akun Microsoft Teams untuk menyelinap ke dalam obrolan dan menyebarkan executable berbahaya kepada peserta dalam percakapan.

Lebih dari 270 juta pengguna mengandalkan Microsoft Teams setiap bulan, banyak dari mereka mempercayai platform secara implisit, meskipun tidak ada perlindungan terhadap file berbahaya.

Perusahaan menganalisis data dari rumah sakit yang menggunakan Teams dan menemukan bahwa dokter menggunakan platform untuk berbagi informasi medis tanpa batas.

Sementara individu biasanya curiga terhadap informasi yang diterima melalui email, karena pelatihan kesadaran phishing email, mereka tidak menunjukkan kehati-hatian dengan file yang diterima melalui Teams.

Selain itu, Teams menyediakan kemampuan akses tamu dan eksternal yang memungkinkan kolaborasi dengan orang-orang di luar perusahaan. Avanan mengatakan bahwa undangan ini biasanya dipenuhi dengan sedikit pengawasan.

Para peneliti mengatakan bahwa masalah ini diperparah oleh “fakta bahwa perlindungan default Teams kurang, karena pemindaian tautan dan file berbahaya terbatas” dan “banyak solusi keamanan email tidak menawarkan perlindungan yang kuat untuk Teams.”

Untuk mempertahankan diri dari serangan semacam itu, Avanan merekomendasikan hal berikut:

• Menerapkan perlindungan yang mengunduh semua file di kotak pasir dan memeriksanya untuk konten berbahaya
• Terapkan keamanan suite lengkap yang kuat yang mengamankan semua lini komunikasi bisnis, termasuk Teams
• Dorong pengguna akhir untuk menghubungi TI saat melihat file yang tidak dikenal

Sumber :

Kampanye Serangan Kelelahan MFA Saat Ini Menargetkan Pengguna Microsoft Office 365

by

Otentikasi Multi-faktor atau MFA (2FA) adalah cara terbaik untuk melindungi akun Office 365 Anda dari penyerang yang mencoba mendapatkan akses ke akun tersebut. Ada banyak opsi MFA termasuk SMS, One Time Passwords (OTP) dan pemberitahuan push dari aplikasi.

Namun dalam kasus ini, kami memeriksa Kelelahan MFA dengan berfokus pada vektor serangan saat ini—Push Notification Spamming. GoSecure Titan Labs mengidentifikasi vektor ancaman baru menggunakan serangan Kelelahan MFA berdasarkan penyelidikan terbaru.

Pelaku ancaman dikenal secara aktif menggunakan metode semacam ini untuk menembus akun Office 365 dan membahayakan seluruh organisasi. Karena mekanisme otentikasi berbasis aplikasi semakin diadopsi sebagai cara yang lebih aman untuk mengautentikasi pengguna (dibandingkan SMS atau panggilan telepon), kecenderungan ini diharapkan akan tumbuh di masa depan, bahkan didorong oleh Microsoft sendiri

Istilah “Kelelahan MFA” sendiri mengacu pada pemberitahuan atau permintaan yang berlebihan melalui aplikasi MFA, di beberapa akun, yang diterima pengguna pada siang hari untuk melakukan login atau menyetujui tindakan yang berbeda.

MFA dapat menggunakan beragam media untuk mengautentikasi pengguna, seperti pesan SMS atau panggilan telepon di mana pengguna mengotentikasi identitas mereka melalui nomor telepon yang telah dikonfigurasi sebelumnya. Pilihan lainnya adalah pemberitahuan push dari aplikasi. Ini adalah metode otentikasi yang akan kita fokuskan, karena memungkinkan penyerang melakukan serangan spam pemberitahuan push.

Teknik ini mengharuskan penyerang mengirimkan pemberitahuan push berulang kali saat mencoba masuk ke akun korban. Kredensial yang digunakan dapat diperoleh melalui pemaksaan kasar, penggunaan kembali kata sandi, atau penyemprotan. Setelah penyerang mendapatkan kredensial yang valid, mereka akan melakukan spam notifikasi push berulang kali hingga pengguna menyetujui upaya login dan memungkinkan penyerang mendapatkan akses ke akun.

Untungnya, jenis serangan ini dapat dideteksi langsung dari portal Azure dengan memeriksa Log Masuk. Kami sangat menyarankan agar profesional TI mengambil langkah-langkah berikut:

Buka pusat administrasi Azure Active Directory.
Di bawah Pemantauan, Anda akan menemukan Log Masuk, tempat informasi tentang masuk dan sumber daya pengguna dicatat.
Kemudian filter Status masuk dengan Kegagalan untuk mendapatkan daftar pemberitahuan push MFA ditolak.

Dari sini, mulailah menyelidiki setiap aktivitas satu per satu dengan membuka Detail Otentikasi.
Beberapa peristiwa harus dilihat sebagai pemberitahuan aplikasi Seluler di bawah kolom Metode Otentikasi.
Pemberitahuan push spam harus salah di bawah kolom Berhasil dan MFA ditolak; pengguna menolak otentikasi di bawah Detail hasil.

Cara Mengurangi Spamming Pemberitahuan Push

  • Mengonfigurasi Batas Layanan

    • Mengonfigurasi batas default layanan Multi-Factor Authentication. Batasan ini, baik default maupun maksimum, dapat ditemukan di dokumentasi Azure Resource Manager.

  • Masuk dengan Telepon

    • Menggunakan metode verifikasi masuk melalui telepon dari Microsoft Authenticator. Dalam skenario ini, nomor dua digit unik dihasilkan dan harus dikonfirmasi di kedua sisi. Ini sangat sulit bagi penyerang untuk berkompromi karena penyerang diperlihatkan nomor yang harus ditebak di telepon (yang tidak dapat diakses oleh penyerang). Hanya penyerang yang akan mengetahui nomornya dan untuk menyetujui akses, pengguna harus memilih nomor dari tiga opsi.

    Selengkapnya : Go Secure