Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

CISA Mengatakan Kerentanan Windows ‘HiveNightmare’ Dieksploitasi dalam Serangan

by

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan 16 pengidentifikasi CVE baru ke daftar kerentanan yang diketahui dieksploitasi, termasuk kelemahan Windows yang harus ditambal oleh agen federal dalam waktu dua minggu.

Mayoritas dari 15 kelemahan yang ditambahkan oleh CISA ke “Katalog Kerentanan yang Diketahui yang Dieksploitasi” pada hari Kamis sudah lama mereka diungkapkan pada tahun 2014, 2015, 2016, 2017, 2018 dan 2020. Mereka berdampak pada Windows, Jenkins, Apache Struts dan ActiveMQ, Oracle WebLogic, Microsoft Office, router D-Link, dan sistem operasi Apple OS X.

Kerentanan terbaru dari yang ditambahkan pada hari Kamis adalah CVE-2021-36934, kerentanan eskalasi hak istimewa lokal Windows yang ditambal Microsoft pada Agustus 2021. Raksasa teknologi itu awalnya merilis solusi dan mitigasi pada Juli 2021, ketika masalah itu diungkapkan.

Cacat, bernama HiveNightmare dan SeriousSam, dapat memungkinkan pengguna lokal dengan hak istimewa rendah untuk mencapai hak istimewa SISTEM. Pakar keamanan siber memperingatkan pada saat pengungkapan bahwa kerentanan dapat menimbulkan risiko serius karena mudah dieksploitasi.

Detail teknis dan eksploitasi proof-of-concept (PoC) untuk kerentanan dipublikasikan bahkan sebelum Microsoft merilis patch.

Tampaknya tidak ada laporan publik baru-baru ini tentang eksploitasi aktif CVE-2021–36934. Namun, CISA baru-baru ini mengkonfirmasi bahwa mereka mengetahui serangan dunia nyata untuk setiap cacat yang termasuk dalam katalog, bahkan jika dalam beberapa kasus tampaknya tidak ada laporan publik tentang eksploitasi berbahaya.

Microsoft mengonfirmasi bahwa rincian kerentanan bersifat publik dan menetapkannya sebagai peringkat eksploitabilitas “lebih mungkin eksploitasi”, tetapi nasihat perusahaan (terakhir diperbarui pada Agustus 2021) saat ini mengatakan tidak mengetahui adanya serangan. Microsoft mengatakan bahwa tidak ada yang bisa dibagikan di luar nasihat dan panduan tambahannya.

Ada kemungkinan bahwa CISA menambahkan CVE-2021–36934 ke daftar kerentanan yang diketahui dieksploitasi berdasarkan informasi dari posting blog yang diterbitkan oleh SentinelOne pada awal Agustus 2021. Perusahaan keamanan titik akhir mencatat pada saat itu bahwa mereka telah melihat beberapa sampel malware diunggah ke Layanan pemindaian VirusTotal yang telah memasukkan eksploitasi HiveNightmware yang tersedia. SentinelOne mengatakan kerentanan dapat membantu penyerang menyederhanakan proses eksfiltrasi kredensia

Ketika CISA meluncurkan daftar kerentanan tereksploitasi yang diketahui, CISA juga mengumumkan Binding Operational Directive (BOD) 22-01, yang mengharuskan badan-badan sipil federal untuk mengidentifikasi dan mengatasi kerentanan tereksploitasi yang diketahui dalam kerangka waktu yang ditentukan kelemahan yang lebih baru perlu ditambal dalam waktu dua minggu sementara yang lebih lama masalah harus diperbaiki dalam waktu enam bulan.

Adapun CVE-2022-22620, kerentanan WebKit yang ditambahkan CISA ke daftarnya pada hari Jumat, Apple mengatakan telah dieksploitasi, tetapi belum membagikan informasi apa pun tentang serangan itu. CISA telah memberi agen federal hingga 25 Februari untuk menambal kekurangan tersebut.

Sumber : Securityweek

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

by

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Gerakan lateral Qbot
Sumber: DFIR

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5010386 dirilis dengan perbaikan kinerja

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5010386 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug LDAP.

KB5010386 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Februari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan hari ini dengan membuka Mulai > Pengaturan > Pembaruan Windows dan mengeklik ‘Periksa Pembaruan’.

Pembaruan KB5010386 ditawarkan di Pembaruan Windows

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5010386 dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5010386, Windows 11 akan mengubah nomor build menjadi 22000.493.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft belum memberikan informasi terperinci tentang apa yang telah diperbaiki.

Microsoft menyatakan bahwa satu-satunya perbaikan non-keamanan dalam pembaruan KB5010386 adalah untuk masalah LDAP, yang menyebabkan operasi gagal.

“Pesan kesalahannya adalah, “Kesalahan: 0x20EF. Layanan direktori mengalami kegagalan yang tidak diketahui”.

Minggu lalu, Microsoft merilis pembaruan pratinjau Windows 11 yang menyelesaikan masalah kinerja Windows 11 File Explorer saat beralih di antara, menelusuri, atau memilih file. Meskipun Microsoft tidak mencantumkannya di changelog, perbaikan ini juga disertakan dengan pembaruan kumulatif Windows 11 hari ini.

Terakhir, Microsoft memperbarui tumpukan layanan untuk mengatasi bug atau masalah yang mencegah Pembaruan Windows menginstal pembaruan di masa mendatang dengan benar.

Sumber : Bleeping Computer

Microsoft memblokir makro Office VBA secara default

by

Microsoft akhirnya berencana untuk memblokir makro Visual Basic for Applications (VBA) secara default di berbagai aplikasi Office. Perubahan akan berlaku untuk file Office yang diunduh dari internet dan menyertakan makro, sehingga pengguna Office tidak lagi dapat mengaktifkan konten tertentu hanya dengan mengklik tombol.

Peretas telah menargetkan dokumen Office dengan makro berbahaya selama bertahun-tahun, dan meskipun Office telah lama meminta pengguna untuk mengklik untuk mengaktifkan makro berjalan, tombol sederhana ini dapat menyebabkan “termasuk malware yang parah, identitas yang disusupi, kehilangan data, dan akses jarak jauh.” Alih-alih tombol, spanduk risiko keamanan akan muncul dengan tautan ke artikel dukungan Microsoft, tetapi tidak ada cara mudah untuk mengaktifkan makro.

Microsoft berencana untuk melihat pratinjau perubahan dengan pengguna Saluran Saat Ini (Pratinjau) pada awal April, sebelum diluncurkan ke pelanggan reguler Microsoft 365. Perubahan untuk memblokir makro VBA dari web akan memengaruhi Access, Excel, PowerPoint, Visio, dan Word di Windows. Microsoft juga berencana untuk memperbarui Office LTSC, Office 2021, Office 2019, Office 2016, dan bahkan Office 2013 untuk memblokir makro VBA internet.

Ini adalah perubahan besar yang dapat memengaruhi banyak kasus penggunaan asli untuk makro VBA, dan itu berarti bahwa pengguna Office hanya akan dapat mengaktifkan makro dengan secara khusus mencentang opsi buka blokir pada properti file. Itu lebih banyak langkah dari biasanya, dan yang diharapkan Microsoft akan membantu mencegah masalah keamanan di masa mendatang.

“Makro menyumbang sekitar 25 persen dari semua entri ransomware,” jelas peneliti keamanan dan mantan karyawan Microsoft Kevin Beaumont. “Terus mengabaikan fungsi makro dan makro. Ini sangat penting. Terima kasih semua orang di belakang layar yang melakukan ini.” Marcus Hutchins, seorang peneliti keamanan yang terkenal karena menghentikan serangan malware WannaCry global, juga merayakan perubahan Microsoft tetapi mencatat bahwa perusahaan telah “memutuskan untuk melakukan yang minimal” setelah bertahun-tahun terinfeksi malware.

Sumber : The Verge

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Microsoft menambahkan fitur ‘kritis’ untuk keamanan GitHub

by

Integrasi yang lebih dalam antara Microsoft Sentinel dan GitHub adalah kemenangan untuk keamanan aplikasi, menandai langkah besar untuk membantu perusahaan mengatasi tantangan keamanan dalam rantai pasokan perangkat lunak.

Integrasi ini memungkinkan pemantauan ancaman berkelanjutan untuk GitHub platform hosting kode yang banyak digunakan yang dimiliki oleh Microsoft. Itu dilakukan dengan mengikat repositori GitHub berlisensi perusahaan ke platform informasi keamanan dan manajemen acara (SIEM) Microsoft, Sentinel, menurut perusahaan.

Hal ini memungkinkan Microsoft Sentinel untuk menyerap log audit GitHub, menyediakan kemampuan seperti pelacakan untuk acara – termasuk pembuatan atau penghapusan repositori baru – dan menghitung jumlah klon repositori, kata Microsoft dalam sebuah posting hari ini.

Pada hari Senin, Open Source Security Foundation mengumumkan proyek baru yang dirancang untuk mengamankan rantai pasokan perangkat lunak, yang didukung oleh $ 5 juta dari Microsoft dan Google.

Integrasi yang diperluas antara GitHub dan SIEM Microsoft “memberikan visibilitas kritis ke dalam risiko keamanan rantai pasokan perangkat lunak termasuk komitmen yang melanggar kebijakan kode aman atau upaya pengguna untuk menimpa kode,” kata Jasmine Hex, direktur keamanan lapangan di vendor platform manajemen aset cyber JupiterOne, dalam email.

Prakash Linga, salah satu pendiri dan CEO di vendor platform keamanan kode BluBracket, mengatakan bahwa langkah oleh Microsoft “mewakili pengakuan arus utama yang lebih luas bahwa kode dan repositori kode adalah permukaan risiko yang berkembang dan sebagian besar tidak terlindungi.”

Jelas, pelacakan peristiwa dan mengidentifikasi aktivitas mencurigakan di GitHub sangat penting untuk mengurangi risiko pemalsuan data dan kebocoran data, kata Adam Gavish, salah satu pendiri dan CEO di vendor keamanan software-as-a-service (SaaS) DoControl.

Tetapi penting juga untuk diingat bahwa banyak ancaman “orang dalam” tidak disengaja, tanpa niat jahat, kata Gavish dalam email. “Ini murni masalah kesalahan manusia.”

Misalnya, mengunggah kode sumber yang salah ke repo publik di GitHub — yang dimaksudkan untuk pribadi — kemungkinan disebabkan oleh pengembang yang tidak cukup memperhatikan, katanya. Jadi, bersama dengan pelacakan peristiwa, tindakan pencegahan untuk menghilangkan kesalahan manusia harus dipertimbangkan juga, kata Gavish.

Microsoft Sentinel kini memiliki 15.000 pelanggan, naik 70% dari tahun lalu, ungkap CEO Microsoft Satya Nadella pekan lalu. Secara keseluruhan, Microsoft melaporkan memiliki 715.000 pelanggan keamanan. Pendapatan untuk bisnis keamanannya tumbuh 45% dari tahun ke tahun, melampaui $15 miliar, selama 12 bulan terakhir, kata Nadella.

Dalam perkembangan GitHub lainnya, platform hari ini mengumumkan bahwa mereka telah meluncurkan fitur baru yang memungkinkan perusahaan dan pengembang untuk menawarkan sponsor proyek akses khusus ke repositori pribadi. Sponsor GitHub pertama kali diperkenalkan pada tahun 2019, memungkinkan siapa saja untuk menyumbang ke proyek sumber terbuka dan pengelola yang mendedikasikan waktu mereka untuk mendukung perangkat lunak penting.

Sementara itu, GitHub juga mengalami pemadaman hari ini, yang berlangsung sekitar 20 menit dan menyebabkan “penurunan kinerja” untuk GitHub Actions, Issues, Pull Requests, dan Codespaces, kata perusahaan tersebut.

Sumber : Venture Beat

Microsoft Sentinel menambahkan pemantauan ancaman untuk repo GitHub

by

Microsoft Sentinel kini hadir dengan dukungan untuk pemantauan ancaman GitHub berkelanjutan, yang membantu melacak peristiwa yang berpotensi berbahaya setelah menyerap log repositori perusahaan GitHub.

Microsoft Sentinel (sebelumnya dikenal sebagai Azure Sentinel) adalah platform SIEM (Informasi Keamanan dan Manajemen Acara) cloud-native Redmond.

Ini menggunakan kecerdasan buatan (AI) untuk menganalisis volume data yang sangat besar, mencari aktivitas aktor ancaman potensial di seluruh lingkungan perusahaan.

Pemantauan ancaman Microsoft Sentinel GitHub hanya berfungsi dengan lisensi perusahaan GitHub, dan dilengkapi dengan aturan analitik untuk memicu peringatan tentang peristiwa yang mencurigakan dan satu buku kerja untuk memvisualisasikan data.

Peringatan Microsoft Sentinel GitHub (Microsoft)

Peringatan yang akan muncul di dasbor Microsoft Sentinel yang dipicu oleh aturan analitik baru meliputi:

  • Repositori telah dibuat: setiap kali repositori dibuat di lingkungan GitHub yang terhubung ke ruang kerja Microsoft Sentinel.
  • Repositori dihancurkan: setiap kali repositori dihancurkan di lingkungan GitHub.
  • Metode pembayaran telah dihapus: setiap kali ada tindakan dengan metode pembayaran yang dikonfigurasi untuk repositori GitHub.
  • Aplikasi OAuth: setiap kali rahasia klien dihapus.

Dengan menggunakan buku kerja, tim keamanan juga dapat melacak anggota yang ditambahkan dan dihapus dari repo GitHub, repositori yang baru ditambahkan, dan berapa kali setiap repo di-fork atau dikloning.

Pada bulan Desember, Microsoft menambahkan solusi Deteksi Kerentanan Apache Log4j di pratinjau publik untuk membantu pelanggan mendeteksi dan menyelidiki sinyal yang terkait dengan eksploitasi kerentanan Log4Shell.

Microsoft Sentinel sekarang juga mendukung aturan analitik pemetaan ke teknik MITER ATT&CK yang membantu mempersempit hasil pencarian.

Pada bulan Agustus, Microsoft memperbarui platform SIEM-nya dengan deteksi baru untuk kemungkinan serangan ransomware menggunakan model pembelajaran mesin Fusion.

Sumber : Bleeping Computer