Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Microsoft memblokir makro Office VBA secara default

by

Microsoft akhirnya berencana untuk memblokir makro Visual Basic for Applications (VBA) secara default di berbagai aplikasi Office. Perubahan akan berlaku untuk file Office yang diunduh dari internet dan menyertakan makro, sehingga pengguna Office tidak lagi dapat mengaktifkan konten tertentu hanya dengan mengklik tombol.

Peretas telah menargetkan dokumen Office dengan makro berbahaya selama bertahun-tahun, dan meskipun Office telah lama meminta pengguna untuk mengklik untuk mengaktifkan makro berjalan, tombol sederhana ini dapat menyebabkan “termasuk malware yang parah, identitas yang disusupi, kehilangan data, dan akses jarak jauh.” Alih-alih tombol, spanduk risiko keamanan akan muncul dengan tautan ke artikel dukungan Microsoft, tetapi tidak ada cara mudah untuk mengaktifkan makro.

Microsoft berencana untuk melihat pratinjau perubahan dengan pengguna Saluran Saat Ini (Pratinjau) pada awal April, sebelum diluncurkan ke pelanggan reguler Microsoft 365. Perubahan untuk memblokir makro VBA dari web akan memengaruhi Access, Excel, PowerPoint, Visio, dan Word di Windows. Microsoft juga berencana untuk memperbarui Office LTSC, Office 2021, Office 2019, Office 2016, dan bahkan Office 2013 untuk memblokir makro VBA internet.

Ini adalah perubahan besar yang dapat memengaruhi banyak kasus penggunaan asli untuk makro VBA, dan itu berarti bahwa pengguna Office hanya akan dapat mengaktifkan makro dengan secara khusus mencentang opsi buka blokir pada properti file. Itu lebih banyak langkah dari biasanya, dan yang diharapkan Microsoft akan membantu mencegah masalah keamanan di masa mendatang.

“Makro menyumbang sekitar 25 persen dari semua entri ransomware,” jelas peneliti keamanan dan mantan karyawan Microsoft Kevin Beaumont. “Terus mengabaikan fungsi makro dan makro. Ini sangat penting. Terima kasih semua orang di belakang layar yang melakukan ini.” Marcus Hutchins, seorang peneliti keamanan yang terkenal karena menghentikan serangan malware WannaCry global, juga merayakan perubahan Microsoft tetapi mencatat bahwa perusahaan telah “memutuskan untuk melakukan yang minimal” setelah bertahun-tahun terinfeksi malware.

Sumber : The Verge

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Microsoft Patch Tuesday Bulaan Februari 2022 Memperbaiki 48 Kelemahan, 1 zero-day

by

Microsoft telah merilis Patch Tuesday bulan Februari 2022, dan dengan itu datang perbaikan untuk satu kerentanan zero-day dan total 48 kelemahan.

Microsoft telah memperbaiki 48 kerentanan (tidak termasuk 22 kerentanan Microsoft Edge) dengan pembaruan hari ini, tanpa ada satupun yang diklasifikasikan sebagai Kritis.

Patch Tuesday bulan ini juga mencakup perbaikan untuk satu kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak ada kerentanan zero-day yang dieksploitasi secara aktif dalam serangan dari Patch Tuesday kali ini.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday bulan Februari 2022 adalah:

CVE-2022-21989 – Peningkatan Kerentanan Hak Istimewa Kernel Windows

Namun, karena banyak dari ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Sumber: Bleeping Computer

Microsoft mungkin akan segera meng-update Windows 10 secara paksa di komputer Anda

by

Siapa pun yang menjalankan Windows 10 versi 2004 atau yang lebih baru dapat memeriksa pembaruan secara manual dan telah mengunduh dan menginstal 21H2, tetapi Microsoft juga menggunakan pembelajaran mesin untuk meluncurkan pembaruan ke mesin 20H2 karena mendekati akhir masa pakainya.

Microsoft menjelaskan lebih lanjut di halaman Kesehatan rilis: “Windows 10, versi 21H2 tersedia untuk pengguna dengan perangkat tertentu yang menjalankan Windows 10, versi 2004 dan lebih tinggi yang secara manual mencari “Periksa pembaruan” melalui Pembaruan Windows.

Perangkat saat ini menggunakan Windows 10, versi 2004 atau yang lebih baru akan memiliki pengalaman penginstalan yang cepat karena pembaruan akan menginstal seperti pembaruan bulanan.

Kami juga memulai fase pertama dalam pelatihan peluncuran untuk pembelajaran mesin (ML), menargetkan perangkat di Windows 10, versi 20H2 yang mendekati akhir layanan untuk memperbarui secara otomatis ke Windows 10, versi 21H2.

Kami akan terus melatih model pembelajaran mesin kami melalui semua fase untuk meluncurkan versi baru Windows 10 secara cerdas, dan memberikan pengalaman pembaruan yang lancar.”

Meskipun pengecualian telah dibuat di masa lalu dan Microsoft telah merilis pembaruan untuk versi Windows yang tidak didukung, menjalankan versi yang didukung adalah satu-satunya cara untuk menjamin penerimaan pembaruan.

Meskipun secara teknis dimungkinkan untuk memperbarui ke Windows 10 21H1, edisi ini mencapai akhir dukungan pada bulan Desember, yang akan bergulir dengan sangat cepat.

Jadi, sementara beberapa orang mungkin membenci Microsoft yang mengambil kendali pembaruan dan mendorong keluar 21H2, itu adalah langkah yang masuk akal karena edisi ini akan menikmati dukungan hingga pertengahan 2023.

Selengkapnya: Tech Radar

Microsoft menambahkan fitur ‘kritis’ untuk keamanan GitHub

by

Integrasi yang lebih dalam antara Microsoft Sentinel dan GitHub adalah kemenangan untuk keamanan aplikasi, menandai langkah besar untuk membantu perusahaan mengatasi tantangan keamanan dalam rantai pasokan perangkat lunak.

Integrasi ini memungkinkan pemantauan ancaman berkelanjutan untuk GitHub platform hosting kode yang banyak digunakan yang dimiliki oleh Microsoft. Itu dilakukan dengan mengikat repositori GitHub berlisensi perusahaan ke platform informasi keamanan dan manajemen acara (SIEM) Microsoft, Sentinel, menurut perusahaan.

Hal ini memungkinkan Microsoft Sentinel untuk menyerap log audit GitHub, menyediakan kemampuan seperti pelacakan untuk acara – termasuk pembuatan atau penghapusan repositori baru – dan menghitung jumlah klon repositori, kata Microsoft dalam sebuah posting hari ini.

Pada hari Senin, Open Source Security Foundation mengumumkan proyek baru yang dirancang untuk mengamankan rantai pasokan perangkat lunak, yang didukung oleh $ 5 juta dari Microsoft dan Google.

Integrasi yang diperluas antara GitHub dan SIEM Microsoft “memberikan visibilitas kritis ke dalam risiko keamanan rantai pasokan perangkat lunak termasuk komitmen yang melanggar kebijakan kode aman atau upaya pengguna untuk menimpa kode,” kata Jasmine Hex, direktur keamanan lapangan di vendor platform manajemen aset cyber JupiterOne, dalam email.

Prakash Linga, salah satu pendiri dan CEO di vendor platform keamanan kode BluBracket, mengatakan bahwa langkah oleh Microsoft “mewakili pengakuan arus utama yang lebih luas bahwa kode dan repositori kode adalah permukaan risiko yang berkembang dan sebagian besar tidak terlindungi.”

Jelas, pelacakan peristiwa dan mengidentifikasi aktivitas mencurigakan di GitHub sangat penting untuk mengurangi risiko pemalsuan data dan kebocoran data, kata Adam Gavish, salah satu pendiri dan CEO di vendor keamanan software-as-a-service (SaaS) DoControl.

Tetapi penting juga untuk diingat bahwa banyak ancaman “orang dalam” tidak disengaja, tanpa niat jahat, kata Gavish dalam email. “Ini murni masalah kesalahan manusia.”

Misalnya, mengunggah kode sumber yang salah ke repo publik di GitHub — yang dimaksudkan untuk pribadi — kemungkinan disebabkan oleh pengembang yang tidak cukup memperhatikan, katanya. Jadi, bersama dengan pelacakan peristiwa, tindakan pencegahan untuk menghilangkan kesalahan manusia harus dipertimbangkan juga, kata Gavish.

Microsoft Sentinel kini memiliki 15.000 pelanggan, naik 70% dari tahun lalu, ungkap CEO Microsoft Satya Nadella pekan lalu. Secara keseluruhan, Microsoft melaporkan memiliki 715.000 pelanggan keamanan. Pendapatan untuk bisnis keamanannya tumbuh 45% dari tahun ke tahun, melampaui $15 miliar, selama 12 bulan terakhir, kata Nadella.

Dalam perkembangan GitHub lainnya, platform hari ini mengumumkan bahwa mereka telah meluncurkan fitur baru yang memungkinkan perusahaan dan pengembang untuk menawarkan sponsor proyek akses khusus ke repositori pribadi. Sponsor GitHub pertama kali diperkenalkan pada tahun 2019, memungkinkan siapa saja untuk menyumbang ke proyek sumber terbuka dan pengelola yang mendedikasikan waktu mereka untuk mendukung perangkat lunak penting.

Sementara itu, GitHub juga mengalami pemadaman hari ini, yang berlangsung sekitar 20 menit dan menyebabkan “penurunan kinerja” untuk GitHub Actions, Issues, Pull Requests, dan Codespaces, kata perusahaan tersebut.

Sumber : Venture Beat

Microsoft Sentinel menambahkan pemantauan ancaman untuk repo GitHub

by

Microsoft Sentinel kini hadir dengan dukungan untuk pemantauan ancaman GitHub berkelanjutan, yang membantu melacak peristiwa yang berpotensi berbahaya setelah menyerap log repositori perusahaan GitHub.

Microsoft Sentinel (sebelumnya dikenal sebagai Azure Sentinel) adalah platform SIEM (Informasi Keamanan dan Manajemen Acara) cloud-native Redmond.

Ini menggunakan kecerdasan buatan (AI) untuk menganalisis volume data yang sangat besar, mencari aktivitas aktor ancaman potensial di seluruh lingkungan perusahaan.

Pemantauan ancaman Microsoft Sentinel GitHub hanya berfungsi dengan lisensi perusahaan GitHub, dan dilengkapi dengan aturan analitik untuk memicu peringatan tentang peristiwa yang mencurigakan dan satu buku kerja untuk memvisualisasikan data.

Peringatan Microsoft Sentinel GitHub (Microsoft)

Peringatan yang akan muncul di dasbor Microsoft Sentinel yang dipicu oleh aturan analitik baru meliputi:

  • Repositori telah dibuat: setiap kali repositori dibuat di lingkungan GitHub yang terhubung ke ruang kerja Microsoft Sentinel.
  • Repositori dihancurkan: setiap kali repositori dihancurkan di lingkungan GitHub.
  • Metode pembayaran telah dihapus: setiap kali ada tindakan dengan metode pembayaran yang dikonfigurasi untuk repositori GitHub.
  • Aplikasi OAuth: setiap kali rahasia klien dihapus.

Dengan menggunakan buku kerja, tim keamanan juga dapat melacak anggota yang ditambahkan dan dihapus dari repo GitHub, repositori yang baru ditambahkan, dan berapa kali setiap repo di-fork atau dikloning.

Pada bulan Desember, Microsoft menambahkan solusi Deteksi Kerentanan Apache Log4j di pratinjau publik untuk membantu pelanggan mendeteksi dan menyelidiki sinyal yang terkait dengan eksploitasi kerentanan Log4Shell.

Microsoft Sentinel sekarang juga mendukung aturan analitik pemetaan ke teknik MITER ATT&CK yang membantu mempersempit hasil pencarian.

Pada bulan Agustus, Microsoft memperbarui platform SIEM-nya dengan deteksi baru untuk kemungkinan serangan ransomware menggunakan model pembelajaran mesin Fusion.

Sumber : Bleeping Computer

Microsoft Defender sekarang mendeteksi kerentanan Android dan iOS

by

Microsoft mengatakan dukungan manajemen ancaman dan kerentanan untuk Android dan iOS telah mencapai ketersediaan umum di Microsoft Defender for Endpoint, platform keamanan titik akhir perusahaan perusahaan.

“Dengan cakupan lintas platform baru ini, kemampuan manajemen ancaman dan kerentanan sekarang mendukung semua platform perangkat utama di seluruh organisasi mencakup workstation, server, dan perangkat seluler,” Microsoft menjelaskan.

Manajemen kerentanan Android dan iOS memungkinkan admin mengurangi area serangan permukaan titik akhir seluler dan, sebagai akibat langsung, meningkatkan ketahanan organisasi mereka terhadap serangan yang masuk.

Kemampuan baru ini memungkinkan organisasi untuk menemukan, memprioritaskan, dan memulihkan kerentanan perangkat lunak dan sistem operasi dengan lebih mudah di perangkat Android.

Pembela untuk inventaris perangkat Endpoint (Microsoft)

Defender for Endpoint sekarang melindungi semua platform utama
Ini adalah bagian dari upaya untuk memperluas kemampuan platform keamanan di semua platform utama untuk membantu tim keamanan mempertahankan pengguna titik akhir mereka melalui solusi keamanan terpadu.

Misalnya, pada Juni 2020, Defender for Endpoint menambahkan dukungan untuk lebih banyak platform non-Windows (umumnya tersedia untuk pelanggan Linux dan dalam pratinjau publik untuk Android). Satu tahun kemudian, Redmond juga menyertakan dukungan untuk macOS sebagai bagian dari pratinjau terbatas.

Satu bulan kemudian, pada Juli 2020, solusi keamanan titik akhir diperbarui dengan fitur Skor Aman Microsoft untuk Perangkat untuk mengevaluasi status konfigurasi keamanan kolektif perangkat di jaringan perusahaan. Ini dapat meningkatkan keamanan titik akhir organisasi melalui tindakan yang direkomendasikan.

Mulai Oktober 2020, platform keamanan titik akhir perusahaan Microsoft juga memberikan laporan kepada admin yang membantu mereka melacak perangkat Windows dan macOS yang rentan, termasuk tingkat keparahan kerentanan, ketersediaan eksploitasi, usia kerentanan, dan perangkat yang rentan menurut sistem operasi.

Sumber : Bleeping Computer

Eksploitasi zero-day Microsoft Outlook RCE sekarang dijual seharga $400.000

by

Broker eksploitasi Zerodium telah mengumumkan kenaikan gaji menjadi 400.000 untuk kerentanan zero-day yang memungkinkan eksekusi kode jarak jauh (RCE) di klien email Microsoft Outlook.

Hadiah reguler Zerodium untuk kerentanan RCE di Microsoft Outlook untuk windows adalah $ 250.000, diharapkan “disertai dengan eksploitasi yang berfungsi penuh dan andal.”

Untuk $400.000, Zerodium sedang menunggu eksploitasi yang mencapai eksekusi kode jarak jauh tanpa interaksi apa pun, yang disebut ‘zero-klik’, ketika klien email Microsoft menerima atau mengunduh pesan.

Perusahaan tidak mengesampingkan hadiah untuk eksploitasi yang memerlukan email untuk dibuka atau dibaca, meskipun pengirimnya akan mendapatkan pembayaran yang lebih rendah dan tidak diungkapkan.

Zerodium juga mengingatkan bahwa saat ini ia menawarkan hingga $200.000 untuk eksploitasi yang mengarah ke eksekusi kode jarak jauh di Mozilla Thunderbird, jumlah yang sama yang ditawarkan sejak 2019.

Kondisi yang sama berlaku untuk pembayaran eksploitasi untuk Mozilla Thunderbird seperti dalam kasus Microsoft Outlook. RCE di klien email akan memberi penyerang akses ke semua akun yang tersedia.

Meskipun perusahaan tidak menentukan tanggal akhir untuk mengirimkan eksploitasi Microsoft Outlook tanpa klik, periodenya mungkin cukup lama.

Pembayaran reguler untuk eksploitasi dalam sistem manajemen konten sumber terbuka (CMS) paling populer adalah $100.000.

Saat ini, hanya WordPress, Mozilla Thunderbird, dan Microsoft Outlook yang terdaftar sebagai aktif di halaman dengan peningkatan hadiah sementara.

Penawaran sementara yang baru-baru ini kedaluwarsa adalah untuk RCE dan sandbox escape di Google Chrome (keduanya hingga $400.000), dan RCE di server VMware vCenter (hingga $150.000).

Sumber : Bleeping Computer