Microsoft

Bagaimana Microsoft Menamai Aktor Ancaman

April 28, 2023 by Coffee Bean

Microsoft telah beralih ke taksonomi penamaan baru untuk aktor ancaman yang selaras dengan tema cuaca. Dengan taksonomi baru, kami bermaksud untuk memberikan kejelasan yang lebih baik kepada pelanggan dan peneliti keamanan lainnya yang telah berhadapan dengan data intelijen ancaman dalam jumlah yang sangat banyak dan menawarkan cara yang lebih terorganisir, jelas, dan mudah untuk mereferensikan pelaku ancaman sehingga organisasi dapat memprioritaskan dan melindungi dengan lebih baik diri.

In our new taxonomy, a weather event or family name represents one of the above categories. In the case of nation-state actors, we have assigned a family name to a country of origin tied to attribution, like Typhoon indicates origin or attribution to China. For other actors, the family name represents a motivation. For example, Tempest indicates financially motivated actors. Threat actors within the same weather family are given an adjective to distinguish actor groups with distinct tactics, techniques, and procedures (TTPs), infrastructure, objectives, or other identified patterns. For groups in development, where there is a newly discovered, unknown, emerging, or developing cluster of threat activity, we use a temporary designation of Storm and a four-digit number, allowing us to track it as a unique set of information until we can reach high confidence about the origin or identity of the actor behind the operation.

selengkapnya : learn.microsoft.com

Microsoft Edge Membocorkan Situs yang Pengguna Kunjungi ke Bing

April 28, 2023 by Flamango

Browser Microsoft Edge tampaknya mengirimkan URL yang Anda kunjungi ke situs web Bing API-nya. Pengguna Reddit pertama kali memperhatikan masalah privasi Edge minggu lalu, bahwa versi terbaru Microsoft Edge mengirimkan permintaan ke bingapis(.)com dengan URL lengkap dari hampir setiap halaman yang di navigasikan.

Microsoft Edge sekarang memiliki fitur pembuat ikuti yang diaktifkan secara default, tampaknya bertujuan untuk memberi tahu Bing saat pengguna berada di halaman tertentu. Namun tampaknya tidak berfungsi dengan benar, alih-alih mengirimkan hampir setiap domain yang pengguna kunjungi ke Bing.

Microsoft memiliki filter master (tersedia di sini) untuk fitur follow kreator ini, yang mencakup domain seperti Pornhub tempat URL diblokir agar tidak dikirim ke situs Bing API. Sepertinya, untuk setiap URL yang sebelumnya tidak dicentang yang Anda kunjungi, URL tersebut meneruskannya ke bingapis.com, yang memiliki implikasi privasi yang sangat besar, terutama jika fungsi ini diaktifkan secara default.

Fitur "Follow Creators" Microsoft Edge. Gambar: Reddit (Leopeva64) — Fitur “Follow Creators” Microsoft Edge. Gambar: Reddit (Leopeva64)

Microsoft belum memberikan tanggapan lebih lanjut dan mereka saat ini sedang menyelidiki masalah tersebut dan mungkin akan menambal masalah ini. Disarankan bagi pengguna untuk mematikan fitur “follow creators” di Microsoft Edge.

Selengkapnya: The Verge

Grup Hacker Iran Melakukan Serangan Terhadap Target AS, kata Microsoft

April 19, 2023 by Coffee Bean

Kelompok Hacker yang terkait dengan pemerintah Iran yang sebelumnya dikenal karena fokusnya pada pengintaian telah beralih ke penargetan infrastruktur penting AS, berpotensi dengan tujuan meluncurkan serangan siber yang emrusak, kata Microsoft dalam laporan hari ini.

Microsoft mengatakan para peretas adalah subkelompok dari pakaian yang mereka sebut Mint Sandstorm, yang berasal dari sistem penamaan baru untuk grup peretasan yang diluncurkan perusahaan hari ini. Sebelumnya disebut grup Phosphorus, dan perusahaan keamanan siber lainnya menyebutnya Charming Kitten, APT 35, APT 42 dan TA453.

Lebih dari 100 operasi polisi klandestin yang terkait dengan China telah dilakukan untuk melecehkan para pembangkang China di luar negeri, menurut temuan Oktober dari organisasi hak asasi manusia Safeguard Defenders.

telah diselidiki oleh agensi tersebut sejak 2016 karena diduga menyalahgunakan data penegakan hukum rahasia, Dhruv Mehrotra melaporkan untuk WIRED, mengutip database disiplin agensi yang diperoleh melalui permintaan catatan publik.

Dokumen tersebut menunjukkan bahwa “penyelidik ICE menemukan bahwa agen organisasi kemungkinan menanyakan database sensitif atas nama teman dan tetangga mereka,” tulis Mehrotra, menambahkan bahwa beberapa agen diselidiki untuk mencari informasi tentang mantan mitra dan beberapa agen berbagi informasi login dengan yang tidak berwenang. individu seperti anggota keluarga.

selengkapnya : washingtonpost.com

Admin Windows memperingatkan untuk menambal bug MSMQ QueueJumper yang kritis

April 13, 2023 by Coffee Bean

Peneliti dan pakar keamanan memperingatkan tentang kerentanan kritis dalam layanan middleware Windows Message Queuing (MSMQ) yang ditambal oleh Microsoft selama Patch Tuesday bulan ini dan mengekspos ratusan ribu sistem untuk diserang.

MSMQ tersedia di semua sistem operasi Windows sebagai komponen opsional yang menyediakan aplikasi dengan kemampuan komunikasi jaringan dengan “pengiriman pesan terjamin”, dan dapat diaktifkan melalui PowerShell atau Panel Kontrol.

Cacat (CVE-2023-21554) memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh pada server Windows yang tidak ditambal menggunakan paket MSMQ berbahaya yang dibuat khusus dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Redmond juga telah melampirkan tag “eksploitasi lebih mungkin” ke CVE-2023-21554, mengingat bahwa “menyadari contoh masa lalu dari jenis kerentanan yang dieksploitasi,” yang menjadikannya “target yang menarik bagi penyerang.”

“Dengan demikian, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukan ini dengan prioritas yang lebih tinggi,” Microsoft memperingatkan.

Peneliti keamanan Wayne Low dari FortiGuard Lab Fortinet dan Haifei Li dari Check Point Research dikreditkan karena melaporkan kelemahan tersebut ke Microsoft.

Meskipun Microsoft telah mengatasi bug ini dan 96 kelemahan keamanan lainnya sebagai bagian dari April Patch Tuesday, Microsoft juga menyarankan admin yang tidak dapat segera menggunakan patch untuk menonaktifkan layanan Windows MSMQ (jika memungkinkan) untuk menghapus vektor serangan.

Organisasi yang tidak dapat langsung menonaktifkan MSMQ atau menerapkan patch Microsoft juga dapat memblokir koneksi 1801/TCP dari sumber yang tidak tepercaya menggunakan aturan firewall.

selengkapnya : bleepingcomputer.com

Microsoft memperbaiki bug Windows Defender berusia 5 tahun yang mematikan kinerja Firefox

April 12, 2023 by Coffee Bean

Selama lebih dari lima tahun, perlindungan keamanan yang diberikan oleh Microsoft Defender berdampak negatif terhadap pengguna Firefox selama sesi penjelajahan web mereka. Komponen Antimalware Service Executable dari Defender (MsMpEng.exe) bertingkah aneh, menunjukkan penggunaan CPU yang tinggi saat Firefox dijalankan pada waktu yang bersamaan.

Firefox mengandalkan dan mengeksekusi sejumlah besar panggilan ke fungsi VirtualProtect kernel OS sambil melacak kejadian Windows (ETW). VirtualProtect adalah fungsi untuk mengubah “perlindungan pada wilayah halaman yang berkomitmen di ruang alamat virtual dari proses pemanggilan,” Microsoft menjelaskan, dan Defender melakukan banyak “perhitungan yang tidak berguna” pada setiap peristiwa sementara Firefox menghasilkan banyak acara ETW.

Pengembang Mozilla mengatakan bahwa pembaruan Defender akan memberikan peningkatan besar-besaran ~75% dalam penggunaan CPU dari MsMpEng.exe saat menjelajah web dengan Firefox. Dengan perbaikan tersebut, fitur Perlindungan Real-time Defender – yang diaktifkan secara default di Windows – akan mengkonsumsi lebih sedikit CPU daripada sebelumnya saat memantau perilaku dinamis program apa pun melalui ETW.

Microsoft juga membawa pembaruan ke sistem Windows 7 dan Windows 8.1 yang sekarang sudah usang, karena Firefox akan tetap mendukung kedua sistem operasi tersebut “setidaknya” hingga 2024. Selanjutnya, para insinyur Mozilla mengatakan bahwa “penemuan terbaru” dibuat saat menganalisis bug Defender yang aneh akan membantu Firefox “melangkah lebih jauh dalam penggunaan CPU,” dengan semua perangkat lunak antivirus lainnya dan bukan hanya Defender kali ini.

selengkapnya : techspot.com

Microsoft menunda penghentian Exchange Online CAR hingga 2024

April 9, 2023 by Coffee Bean

Bulan berikutnya, Redmond menonaktifkan cmdlet CAR di penyewa yang tidak digunakan untuk mempromosikan peralihan ke alternatif yang lebih aman seperti akses bersyarat (CA) Azure Active Directory (AAD) dan evaluasi akses berkelanjutan (CAE).

Penundaan penghentian bertahap dipicu oleh ketidakmungkinan memigrasikan beberapa CAR ke Azure AD CA dan CAE hingga tenggat waktu awal, dalam beberapa kasus, karena kebutuhan akan dukungan yang tepat.

“Kami telah bekerja dengan pelanggan untuk mempelajari bagaimana mereka menggunakan CAR dan bagaimana mereka dapat bermigrasi ke fitur yang lebih baru ini, tetapi kami telah menemukan beberapa skenario di mana tidak mungkin untuk memigrasi aturan saat ini,” kata Tim Exchange pada hari Jumat.

“Untuk skenario ini, kami akan mengizinkan penggunaan CAR di luar batas waktu September 2023 yang diumumkan sebelumnya sampai kami dapat mendukungnya.”

Sampai tenggat waktu penghentian akhir tercapai tahun depan, Microsoft sedang menunggu pelanggan untuk meminta bantuan memigrasikan CAR mereka ke opsi kontrol akses baru melalui tiket dukungan.

Seperti yang dijelaskan Redmond pada September 2022, beralih dari aturan akses Exchange Online lama ke akses bersyarat akan menambah ketahanan ekstra dengan memastikan penerapan perubahan kebijakan penyewa hampir secara waktu nyata dan secara proaktif menghentikan sesi pengguna aktif.

Microsoft juga baru-baru ini memperingatkan pelanggan bahwa autentikasi dasar akan dinonaktifkan di penyewa acak untuk meningkatkan keamanan Exchange Online mulai 1 Oktober 2022.

Peringatan tersebut mengikuti beberapa pengingat yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019.

selengkapnya : bleepingcomputer.com

Apple security updates content of Safari 16.4.1

April 9, 2023 by Coffee Bean

Tentang update keamanan Apple
Untuk perlindungan pelanggan kami, Apple tidak mengungkapkan, mendiskusikan, atau mengonfirmasi masalah keamanan hingga penyelidikan dilakukan dan tambalan atau rilis tersedia. Rilis terbaru dicantumkan di halaman pembaruan keamanan Apple.

Dokumen keamanan Apple mereferensikan Vulnerability oleh CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, lihat halaman Keamanan Produk Apple.

Safari 16.4.1
WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

Bugzilla WebKit: 254797
CVE-2023-28205: Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International

sumber : support.apple.com

Perburuan Tingkat Lanjut Tanpa Batas untuk Microsoft 365 Defender dengan Azure Data Explorer

April 2, 2023 by Søren

Data seperti insiden, peringatan, dan garis waktu peristiwa perangkat tetap tersedia selama 180 hari. Namun dalam kasus khusus ini, mereka mengacu pada data Perburuan Lanjutan yang dihapus setelah 30 hari. Jadi Anda tidak akan bisa menggunakan Kusto Query Language (KQL) untuk mencari event di “raw data”. Dan untuk tujuan berburu proaktif, saya setuju dengan pelanggan saya; ini terlalu singkat.

Artikel ini menunjukkan bagaimana Anda dapat memanfaatkan Azure Data Explorer (ADX) untuk mengarsipkan data dari Pertahanan Microsoft 356 tanpa harus menggunakan Microsoft Sentinel di antaranya. Karena menyampaikan data ini melalui Sentinel tidak disukai oleh kebanyakan orang, karena biaya tambahan yang menyertainya. Yang bisa sangat besar dalam beberapa kasus.

Jadi, Defender dapat mendorong peristiwa mentah ke Hub Peristiwa dan Azure Data Explorer juga dapat menarik pesan dari Hub Peristiwa. Kedengarannya sederhana kan? Saat kami mengonfigurasi Streaming API di Defender, kami akan melihat bahwa kami hanya memiliki lima slot yang tersedia untuk konfigurasi.

Mungkin satu atau dua slot sudah terisi karena Anda telah mengaktifkan konektor data Microsoft 365 Defender di Microsoft Sentinel. Sepertinya tidak ada cara untuk menghapusnya dari sini. Dalam setiap slot, kami dapat memutuskan untuk mendorong log ke Event Hub atau Azure Storage.

Selengkapnya: Medium

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft

Cookies Settings