Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Malware Perusak Menargetkan Organisasi Ukraina

by

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Microsoft: Kerentanan HTTP Windows kritis baru dapat di-worm

by

Microsoft telah menambal kelemahan kritis yang ditandai sebagai wormable dan ditemukan berdampak pada desktop dan server versi Windows terbaru, termasuk Windows 11 dan Windows Server 2022.

Bug, dilacak sebagai CVE-2022-21907 dan ditambal selama Patch Tuesday bulan ini, ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol untuk memproses permintaan HTTP oleh server web Windows Internet Information Services (IIS). .

Eksploitasi yang berhasil memerlukan pelaku ancaman untuk mengirim paket yang dibuat dengan jahat ke server Windows yang ditargetkan, yang menggunakan HTTP Protocol Stack yang rentan untuk memproses paket.

Microsoft merekomendasikan pengguna untuk memprioritaskan penambalan kelemahan ini pada semua server yang terpengaruh karena ini dapat memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah dan “dalam kebanyakan situasi,” tanpa memerlukan interaksi pengguna.

Pada beberapa versi Windows (yaitu, Windows Server 2019 dan Windows 10 versi 1809), fitur Dukungan Trailer HTTP yang berisi bug tidak diaktifkan secara default.

Menurut Microsoft, kunci registri Windows berikut harus dikonfigurasi pada dua versi Windows ini untuk memperkenalkan kerentanan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

“EnableTrailerSupport”=dword:00000001

Menonaktifkan fitur Dukungan Trailer HTTP akan melindungi sistem yang menjalankan dua versi, tetapi mitigasi ini tidak berlaku untuk rilis Windows lain yang terpengaruh.

Dalam dua tahun terakhir, Microsoft telah menambal beberapa bug wormable lainnya, berdampak pada Windows DNS Server (juga dikenal sebagai SIGRed), platform Remote Desktop Services (RDS) (alias BlueKeep), dan protokol Server Message Block v3 (alias SMBGhost) .

Redmond juga mengatasi kerentanan Windows HTTP RCE lainnya pada Mei 2021 (dilacak sebagai CVE-2021-31166 dan juga ditandai sebagai wormable), di mana peneliti keamanan merilis kode eksploitasi demo yang dapat memicu layar biru kematian.

Namun, pelaku ancaman belum mengeksploitasinya untuk membuat malware yang dapat menginfeksi yang mampu menyebar di antara sistem rentan yang menjalankan perangkat lunak Windows yang rentan.

Sumber : Bleeping Computer

Microsoft memperbaiki bug Office yang kritis, menunda pembaruan keamanan macOS

by

Microsoft telah mengatasi kerentanan Office yang sangat parah yang dapat membuat penyerang mengeksekusi kode berbahaya dari jarak jauh pada sistem yang rentan.

Dilacak sebagai CVE-2022-21840, merupakan bug eksekusi kode jarak jauh (RCE) yang dapat dieksploitasi penyerang tanpa hak istimewa pada perangkat yang ditargetkan sebagai bagian dari serangan kompleksitas rendah yang memerlukan interaksi pengguna.

Agar berhasil mengeksploitasi kerentanan kritis ini, penyerang harus mengelabui target mereka agar membuka dokumen Office yang dibuat khusus yang dikirimkan menggunakan tautan yang dibagikan melalui pesan instan atau email.

Untungnya, Microsoft mengatakan bahwa panel pratinjau Outlook tidak dapat digunakan sebagai vektor serangan dalam upaya eksploitasi yang menargetkan kerentanan ini.

Namun, itu dapat dieksploitasi melalui panel pratinjau Windows Explorer sebagaimana dikonfirmasi oleh analis kerentanan CERT/CC Will Dormann.

Ini menyiratkan bahwa eksploitasi dimungkinkan tanpa harus mengelabui calon korban untuk membuka file Office yang dibuat dengan jahat, tetapi, sebaliknya, hanya harus memilihnya di jendela Explorer dengan panel pratinjau diaktifkan.

Meskipun Redmond telah merilis pembaruan keamanan untuk Microsoft 365 Apps for Enterprise dan versi Windows dari Microsoft Office, perusahaan masih mengerjakan patch yang mengatasi kerentanan pada macOS.

Pengguna Mac yang menjalankan Microsoft Office LTSC untuk Mac 2021 dan Microsoft Office 2019 untuk Mac diberitahu bahwa mereka harus menunggu lebih lama untuk mendapatkan patch CVE-2022-21840.

Microsoft juga telah gagal untuk segera merilis patch macOS untuk Excel zero-day yang dieksploitasi secara aktif pada bulan November, bug bypass fitur keamanan parah yang memungkinkan eksploitasi lokal dari penyerang yang tidak diautentikasi dalam serangan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Menurut pembaruan info CVE, Redmond mengeluarkan pembaruan keamanan untuk Microsoft Office untuk Mac satu minggu kemudian, menyarankan pengguna untuk menyebarkan tambalan agar produk mereka dilindungi dari serangan liar.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5009566 dirilis dengan perbaikan keamanan

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5009566 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug yang diketahui.

KB5009566 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Januari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan kumulatif hari ini dengan membuka Start > Settings > Windows Update dan klik’Check for Updates’.

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5009566 secara manual dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5009566, Windows 11 akan mengubah build number menjadi 22000.434.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft tidak memiliki banyak informasi tentang bug apa yang diperbaiki. Ini mungkin karena masih dalam periode liburan, dan semoga kita akan melihat daftar perbaikan yang lebih rinci dalam beberapa bulan mendatang.

Selengkapnya: Bleeping Computer

Microsoft January 2022 Patch Tuesday memperbaiki 6 zero-day, 97 kerentanan keamanan

by

Microsoft merilis Patch Tuesday bulan Januari 2022 yang memperbaiki enam kerentanan zero-day dan total 97 kerentanan.

Microsoft telah memperbaiki 97 kerentanan (tidak termasuk 29 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan sembilan diklasifikasikan sebagai Kritis dan 88 sebagai Penting.

Microsoft juga menyertakan perbaikan untuk enam kerentanan zero-day yang diungkapkan secara publik. Berita baiknya adalah tidak satupun dari mereka yang dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Perbaikan kerentanan yang diungkapkan secara publik sebagai bagian dari Patch Tuesday Januari 2022 adalah:

  • CVE-2021-22947 – Open Source Curl Remote Code Execution Vulnerability
  • CVE-2021-36976 – Libarchive Remote Code Execution Vulnerability
  • CVE-2022-21919 – Windows User Profile Service Elevation of Privilege Vulnerability
  • CVE-2022-21836 – Windows Certificate Spoofing Vulnerability
  • CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service Vulnerability
  • CVE-2022-21874 – Windows Security Center API Remote Code Execution Vulnerability

Kerentanan Curl dan Libarchive telah diperbaiki oleh pengelolanya tetapi perbaikan tersebut tidak ditambahkan ke Windows hingga hari ini.

Namun, karena banyak dari zero-day ini memiliki eksploitasi bukti konsep publik yang tersedia, kemungkinan besar mereka akan segera dieksploitasi oleh aktor ancaman.

Pengguna Windows disarankan untuk melakukan update sesegera mungkin.

Selengkapnya: Bleeping Computer

Microsoft: bug powerdir memberikan akses ke data pengguna macOS yang dilindungi

by

Microsoft mengatakan pelaku ancaman dapat menggunakan kerentanan macOS untuk melewati teknologi Transparansi, Persetujuan, dan Kontrol (TCC) untuk mengakses data pengguna yang dilindungi.

Tim Riset Pembela Microsoft 365 telah melaporkan kerentanan yang dijuluki powerdir (dilacak sebagai CVE-2021-30970) ke Apple pada 15 Juli 2021, melalui Microsoft Security Vulnerability Research (MSVR).

TCC adalah teknologi keamanan yang dirancang untuk memblokir aplikasi agar tidak mengakses data pengguna yang sensitif dengan memungkinkan pengguna macOS mengonfigurasi pengaturan privasi untuk aplikasi yang diinstal pada sistem dan perangkat mereka yang terhubung ke Mac mereka, termasuk kamera dan mikrofon.

Sementara Apple telah membatasi akses TCC hanya untuk aplikasi dengan akses disk penuh dan mengatur fitur untuk secara otomatis memblokir eksekusi kode yang tidak sah, peneliti keamanan Microsoft menemukan bahwa penyerang dapat menanam database TCC kedua yang dibuat khusus yang memungkinkan mereka mengakses info pengguna yang dilindungi.

“Kami menemukan bahwa adalah mungkin untuk secara terprogram mengubah direktori home pengguna target dan menanam database TCC palsu, yang menyimpan riwayat persetujuan permintaan aplikasi,” kata Jonathan Bar Or, peneliti keamanan utama di Microsoft.

“Jika dieksploitasi pada sistem yang belum ditambal, kerentanan ini dapat memungkinkan aktor jahat untuk berpotensi mengatur serangan berdasarkan data pribadi pengguna yang dilindungi.

“Misalnya, penyerang dapat membajak aplikasi yang diinstal pada perangkat—atau menginstal aplikasi berbahaya mereka sendiri—dan mengakses mikrofon untuk merekam percakapan pribadi atau menangkap tangkapan layar dari informasi sensitif yang ditampilkan di layar pengguna.”

eksploitasi PoC powerdir (Microsoft)

Apple telah memperbaiki kerentanan dalam pembaruan keamanan yang dirilis bulan lalu, pada 13 Desember 2021. “Aplikasi berbahaya mungkin dapat melewati preferensi Privasi,” perusahaan menjelaskan dalam penasihat keamanan.

“Selama penelitian ini, kami harus memperbarui eksploitasi proof-of-concept (POC) kami karena versi awal tidak lagi berfungsi pada versi macOS terbaru, Monterey,” tambah Jonathan Bar Or.

“Ini menunjukkan bahwa bahkan ketika macOS atau sistem operasi dan aplikasi lain menjadi lebih keras dengan setiap rilis, vendor perangkat lunak seperti Apple, peneliti keamanan, dan komunitas keamanan yang lebih besar, perlu terus bekerja sama untuk mengidentifikasi dan memperbaiki kerentanan sebelum penyerang dapat memanfaatkannya. mereka.”

Microsoft sebelumnya telah melaporkan menemukan kelemahan keamanan yang dijuluki Shrootless yang akan memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan operasi sewenang-wenang, meningkatkan hak istimewa untuk melakukan root, dan menginstal rootkit pada perangkat yang rentan.

Peneliti perusahaan juga menemukan varian baru malware MacOS WizardUpdate (alias UpdateAgent atau Vigram), yang diperbarui dengan taktik penghindaran dan ketekunan baru.

Tahun lalu, pada bulan Juni, Redmond mengungkapkan bug firmware kritis di beberapa model router NETGEAR yang dapat digunakan peretas untuk menembus dan bergerak secara lateral dalam jaringan perusahaan.

Sumber : Bleeping Computer

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Bug Y2k22 menyebabkan Microsoft Exchange Server gagal di seluruh dunia: FIP-FS Scan Engine gagal memuat

by

Admin perusahaan merayakan Tahun Baru mereka terganggu oleh laporan bahwa Server Exchange mereka gagal dengan kesalahan “Mesin Pemindai FIP-FS gagal memuat – Tidak Dapat Mengonversi “2201010001” menjadi panjang (2022/01/01 00:00 UTC) “.

Masalah ini tampaknya disebabkan oleh Microsoft yang menggunakan dua angka pertama dari versi pembaruan untuk menunjukkan tahun pembaruan, yang menyebabkan versi tanggal yang “panjang” meluap.

Saat ini, tampaknya solusi utama adalah menonaktifkan pemindai anti-malware di Exchange Server dengan menggunakan Set-MalwareFilteringServer -BypassFiltering $True -identity dan memulai ulang layanan Microsoft Exchange Transport.

Microsoft sekarang telah mengakui masalah ini dan sedang memperbaikinya. Mereka menulis “Kami menyadari dan bekerja pada masalah yang menyebabkan pesan terjebak dalam antrian transportasi di Exchange Server 2016 dan Exchange Server 2019. Masalah tersebut berkaitan dengan kegagalan pemeriksaan tanggal dengan perubahan tahun baru dan itu bukan kegagalan mesin AV diri. Ini bukan masalah dengan pemindaian malware atau mesin malware, dan ini bukan masalah terkait keamanan. Pemeriksaan versi yang dilakukan terhadap file tanda tangan menyebabkan mesin malware mogok, mengakibatkan pesan terjebak dalam antrian transportasi.”

Pada perbaikan yang akan datang mereka berkata, “Teknisi kami bekerja sepanjang waktu pada perbaikan yang akan menghilangkan kebutuhan akan tindakan pelanggan, tetapi kami memutuskan bahwa setiap perubahan yang tidak melibatkan tindakan pelanggan akan memerlukan beberapa hari untuk dikembangkan dan diterapkan. Kami sedang mengerjakan pembaruan lain yang sedang dalam validasi tes akhir. Pembaruan memerlukan tindakan pelanggan, tetapi akan memberikan waktu tercepat untuk penyelesaian”

Selengkapnya: MS Power User