Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Microsoft Defender menakuti admin dengan kesalahan positif Emotet

by

Microsoft Defender for Endpoint saat ini memblokir dokumen Office agar tidak dibuka dan beberapa executable tidak dapat diluncurkan karena menandai file sebagai berpotensi menggabungkan muatan malware Emotet.

Admin sistem Windows melaporkan [1, 2, 3, 4, 5] bahwa ini terjadi sejak memperbarui definisi platform keamanan titik akhir perusahaan Microsoft (sebelumnya dikenal sebagai Microsoft Defender ATP) ke versi 1.353.1874.0.

Saat dipicu, Defender for Endpoint akan memblokir file agar tidak dibuka dan memunculkan kesalahan yang menyebutkan aktivitas mencurigakan yang terkait dengan Win32/PowEmotet.SB atau Win32/PowEmotet.SC.

“Kami melihat masalah dengan pembaruan definisi 1.353.1874.0 mendeteksi pencetakan sebagai Win32/PowEmotet.SB sore ini,” kata seorang admin.

“Kami melihat ini terdeteksi untuk Excel, aplikasi Office apa pun yang menggunakan MSIP.ExecutionHost.exe (Klien Sensitivitas AIP) dan splwow64.exe,” tambah yang lain.

Yang ketiga mengkonfirmasi masalah dengan pembaruan definisi hari ini: “Kami melihat perilaku yang sama secara khusus dengan definisi v.1.353.1874.0, yang dirilis hari ini, & menyertakan definisi untuk Perilaku:Win32/PowEmotet.SB & Perilaku: Win32/PowEmotet.SC.”

Emotet positif palsu di Microsoft Defender (BleepingComputer)

Meskipun Microsoft belum membagikan info apa pun tentang apa yang menyebabkan ini, alasan yang paling mungkin adalah bahwa perusahaan telah meningkatkan sensitivitas untuk mendeteksi perilaku seperti Emotet dalam pembaruan yang dirilis hari ini, yang membuat mesin pendeteksi perilaku terlalu sensitif terhadap kesalahan positif. .

Perubahan tersebut kemungkinan didorong oleh kebangkitan botnet Emotet baru-baru ini, setelah grup riset Emotet Cryptolaemus, GData, dan Advanced Intel mulai melihat TrickBot menjatuhkan loader Emotet pada perangkat yang terinfeksi.

Mereka hampir membuat pusat data offline untuk menghentikan kemungkinan penyebaran infeksi Emotet sebelum menyadari bahwa apa yang mereka lihat kemungkinan positif palsu.

Sejak Oktober 2020, admin Windows harus berurusan dengan Defender untuk Endpoint lainnya termasuk yang menunjukkan perangkat jaringan yang terinfeksi Cobalt Strike dan yang lain yang menandai pembaruan Chrome sebagai backdoor PHP.

“Kami sedang bekerja untuk mengatasi masalah di mana beberapa pelanggan mungkin mengalami serangkaian deteksi positif palsu. Masalah ini telah diselesaikan untuk pelanggan yang terhubung ke cloud.” – juru bicara Microsoft.

Sumber : Bleeping Computer

Microsoft Mengonfirmasi Masalah MSI Windows yang Signifikan, Driver Windows 11 BSOD

by

Memublikasikan data di blog Windows 11 Known Issues (melalui Windows Latest), Microsoft juga menjelaskan bahwa masalah ketidakcocokan utama dengan Teknologi Suara Cerdas (SST) Intel yang ada di mana-mana menyebabkan kesalahan Blue Screen of Death (BSOD) penuh untuk pengguna Windows 11.

“Kami menyarankan Anda untuk tidak mencoba memutakhirkan secara manual menggunakan tombol Perbarui sekarang atau Alat Pembuatan Media hingga masalah ini teratasi,” Microsoft menjelaskan.

Dalam rangka memecah masalah ini, Microsoft mengatakan bahwa cacat tersebut sangat bermasalah dengan driver Intel SST terbaru 10.29.0.5152 dan 10.30.0.5152. Untuk mengetahui apakah Anda menggunakan driver yang terpengaruh, buka Device Manager > System Devices > ‘Intel® Smart Sound Technology (Intel® SST) Audio Controller’ dan buka tab ‘Driver’.

Intel SST digunakan oleh hampir semua PC modern berbasis Intel, sehingga masalah tersebut berpotensi mempengaruhi jutaan komputer di seluruh dunia. Microsoft bekerja dengan Intel pada driver baru untuk menyelesaikan crash BSOD tetapi memperingatkan: “[jika] driver yang diperbarui belum tersedia, Anda perlu menghubungi produsen perangkat (OEM) Anda untuk informasi lebih lanjut.”

Untuk kredit Microsoft, Windows 11 telah memiliki rilis yang relatif mulus dan perusahaan baru-baru ini mengkonfirmasi rencananya untuk meningkatkan kecepatan peluncuran ke komputer Windows 10.

Forbes

“Zero-day” pada Windows 10 yang baru memberikan hak admin, mendapat tambalan tidak resmi

by

Patch tidak resmi gratis telah dirilis untuk melindungi pengguna Windows dari kerentanan zero-day local privilege escalation (LPE) di Layanan Manajemen Perangkat Seluler yang berdampak pada Windows 10, versi 1809 dan yang lebih baru.

Cacat keamanan berada di bawah pengaturan “Akses kantor atau sekolah”, dan melewati patch yang dirilis oleh Microsoft pada bulan Februari untuk mengatasi bug pengungkapan informasi yang dilacak sebagai CVE-2021-24084.

Namun, peneliti keamanan Abdelhamid Naceri (yang juga melaporkan kerentanan awal) menemukan bulan ini bahwa cacat yang tidak sepenuhnya ditambal juga dapat dieksploitasi untuk mendapatkan hak admin setelah mengungkapkan bug yang baru ditemukan pada bulan Juni secara publik.

“Yaitu, seperti yang diajarkan HiveNightmare/SeriousSAM kepada kami, pengungkapan file sewenang-wenang dapat ditingkatkan ke eskalasi hak istimewa lokal jika Anda tahu file mana yang harus diambil dan apa yang harus dilakukan dengannya,” co-founder 0patch Mitja Kolsek menjelaskan hari ini.

“Kami mengkonfirmasi ini dengan menggunakan prosedur yang dijelaskan dalam posting blog ini oleh Raj Chandel sehubungan dengan bug Abdelhamid – dan dapat menjalankan kode sebagai administrator lokal.”

Sementara Microsoft kemungkinan besar juga memperhatikan pengungkapan Naceri pada bulan Juni, perusahaan tersebut belum menambal bug LPE ini, mengekspos sistem Windows 10 dengan pembaruan keamanan November 2021 terbaru untuk serangan.

Selengkapnya: Bleeping Computer

AS, Inggris, dan Australia Peringatkan Peretas Iran yang Mengeksploitasi Microsoft, Kelemahan Fortinet

by

Badan keamanan siber dari Australia, Inggris, dan AS pada hari Rabu (17/11/2021) merilis peringatan peringatan bersama tentang eksploitasi aktif kerentanan Fortinet dan Microsoft Exchange ProxyShell oleh aktor yang disponsori negara Iran untuk mendapatkan akses awal ke sistem yang rentan untuk kegiatan lanjutan, termasuk eksfiltrasi data dan ransomware.

Pelaku ancaman diyakini telah memanfaatkan beberapa kerentanan Fortinet FortiOS sejak Maret 2021 serta kelemahan eksekusi kode jarak jauh yang memengaruhi Microsoft Exchange Server setidaknya sejak Oktober 2021, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA), Federal Biro Investigasi (FBI), Pusat Keamanan Siber Australia (ACSC), dan Pusat Keamanan Siber Nasional Inggris (NCSC).

Badan-badan tersebut tidak mengaitkan kegiatan tersebut dengan aktor ancaman persisten lanjutan (APT) tertentu. Korban yang ditargetkan termasuk organisasi Australia dan berbagai entitas di berbagai sektor infrastruktur penting AS, seperti transportasi dan perawatan kesehatan. Daftar kelemahan yang dieksploitasi ada di bawah ini:

  • CVE-2021-34473 (skor CVSS: 9.1) – kerentanan eksekusi kode jarak jauh Microsoft Exchange Server (alias “ProxyShell”)
  • CVE-2020-12812 (skor CVSS: 9,8) – FortiOS SSL VPN 2FA bypass dengan mengubah kasus nama pengguna
  • CVE-2019-5591 (skor CVSS: 6,5) – Konfigurasi default FortiGate tidak memverifikasi identitas server LDAP
  • CVE-2018-13379 (skor CVSS: 9,8) – Kebocoran file sistem FortiOS melalui SSL VPN melalui permintaan sumber daya HTTP yang dibuat khusus

Sebagai mitigasi, agensi merekomendasikan organisasi untuk segera menambal perangkat lunak yang terpengaruh oleh kerentanan yang disebutkan di atas, menegakkan prosedur pencadangan dan pemulihan data, menerapkan segmentasi jaringan, mengamankan akun dengan otentikasi multi-faktor, dan menambal sistem operasi, perangkat lunak, dan firmware saat dan ketika pembaruan dilepaskan.

Selengkapnya: The Hacker News

Microsoft Defender untuk Endpoint gagal berjalan di Windows Server

by

Microsoft telah mengkonfirmasi masalah baru yang memengaruhi perangkat Windows Server yang mencegah solusi keamanan Microsoft Defender for Endpoint berjalan di beberapa sistem.

Platform keamanan endpoint Microsoft (sebelumnya dikenal sebagai Microsoft Defender Advanced Threat Protection atau Defender ATP) gagal untuk berjalan di perangkat dengan penginstalan Windows Server Core.

Masalah yang diketahui hanya memengaruhi perangkat di mana pelanggan telah menginstal pembaruan KB5007206 atau yang lebih baru di Windows Server 2019 dan KB5007205 atau pembaruan yang lebih baru di Windows Server 2022.

Seperti yang diungkapkan Microsoft lebih lanjut, masalah yang baru dikonfirmasi ini tidak memengaruhi Microsoft Defender untuk Endpoint yang berjalan di perangkat Windows 10. Mereka saat ini sedang mengerjakan solusi untuk mengatasi bug ini dan akan memberikan perbaikan dalam pembaruan yang akan datang.

BleepingComputer juga mengetahui laporan bahwa Microsoft Defender Antivirus lumpuh dengan pemberitahuan EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) dan kode kesalahan “Real-time protection encountered an error and failed”.

Masalah ini terjadi hanya setelah menginstal pembaruan intelijen keamanan antara versi 1.353.1477.0 dan 1.353.1486.0.

Microsoft tampaknya telah memperbaiki bug ini dengan versi 1.353.1502.0 tetapi, menurut pakar keamanan Belanda SecGuru_OTX, perangkat Anda mungkin memerlukan hard reboot untuk mengaktifkan kembali fitur-fitur seperti behavior monitoring.

Selengkapnya:
Bleeping Computer

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

by

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Server Microsoft Exchange diretas dalam serangan rantai balasan internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email rantai balasan internal yang dicuri.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Aktor tersebut mengelabui target perusahaan agar membuka lampiran berbahaya, mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

Salah satu email Squirrelwaffle ke target
Sumber: TrendMicro

Karena email ini berasal dari jaringan internal yang sama dan tampaknya merupakan kelanjutan dari diskusi sebelumnya antara dua karyawan, ini mengarah pada tingkat kepercayaan yang lebih besar bahwa email tersebut sah dan aman.

Dokumen Microsoft Excel berbahaya yang digunakan oleh SquirrelWaffle

Menurut laporan Trend Micro, para peneliti mengatakan bahwa mereka telah melihat serangan ini mendistribusikan pemuat SquirrelWaffle, yang kemudian menginstal Qbot.

Namun, peneliti Cryptolaemus ‘TheAnalyst’ mengatakan bahwa dokumen berbahaya yang digunakan oleh aktor ancaman ini menjatuhkan kedua malware sebagai muatan terpisah, bukan SquirrelWaffle yang mendistribusikan Qbot.

Microsoft telah memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan April dan Mei, menanganinya sebagai zero-day pada saat itu.

Pelaku ancaman telah menyalahgunakan kedua kerentanan untuk menyebarkan ransomware atau menginstal webshell untuk akses pintu belakang nanti. Serangan ProxyLogon menjadi sangat buruk sehingga FBI menghapus web shell dari server Microsoft Exchange yang berbasis di AS tanpa terlebih dahulu memberi tahu pemilik server.

Setelah sekian lama dan media luas kerentanan ini telah diterima, tidak menambal Exchange Server hanyalah undangan terbuka untuk peretas.

Sumber : Bleeping Computer

SynapseML sumber terbuka Microsoft untuk mengembangkan saluran AI

by

Microsoft pada hari Rabu kemarin mengumumkan rilis SynapseML (sebelumnya MMLSpark), sebuah library open source yang dirancang untuk menyederhanakan pembuatan pipeline machine learning.

Dengan SynapseML, pengembang dapat membangun sistem “skala dan cerdas” untuk memecahkan tantangan di seluruh domain, termasuk analitik teks, terjemahan, dan pemrosesan ucapan, kata Microsoft.

“Selama lima tahun terakhir, kami telah bekerja untuk meningkatkan dan menstabilkan perpustakaan SynapseML untuk beban kerja produksi. Pengembang yang menggunakan Azure Synapse Analytics akan senang mengetahui bahwa SynapseML sekarang tersedia secara umum di layanan ini dengan dukungan perusahaan [di Azure Synapse Analytics],” Engineer perangkat lunak Microsoft Mark Hamilton menulis dalam sebuah posting blog.

Seperti yang dijelaskan Microsoft di situs web proyek, SynapseML memperluas Apache Spark, mesin sumber terbuka untuk pemrosesan data skala besar, dalam beberapa arah baru: “[Alat di SynapseML] memungkinkan pengguna untuk membuat model yang kuat dan sangat skalabel yang mencakup beberapa [ pembelajaran mesin] ekosistem.

SynapseML juga menghadirkan kemampuan jaringan baru ke ekosistem Spark. Dengan proyek HTTP on Spark, pengguna dapat menyematkan layanan web apa pun ke dalam model SparkML mereka dan menggunakan kluster Spark mereka untuk alur kerja jaringan yang masif.”

SynapseML juga memungkinkan pengembang untuk menggunakan model dari ekosistem pembelajaran mesin yang berbeda melalui Open Neural Network Exchange (ONNX), kerangka kerja dan runtime yang dikembangkan bersama oleh Microsoft dan Facebook. Dengan integrasi, pengembang dapat mengeksekusi berbagai model pembelajaran klasik dan mesin hanya dengan beberapa baris kode.

Selengkapya: Venturebeat