Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Kelompok Ransomware Menggunakan Eksploit Microsoft Exchange Baru Untuk Menembus Server

by

Pelaku ancaman ransomware Play menggunakan rantai eksploit baru yang melewati mitigasi penulisan ulang URL ProxyNotShell untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server yang rentan melalui Outlook Web Access (OWA).

Perusahaan cybersecurity CrowdStrike melihat eksploit (dijuluki OWASSRF) saat menyelidiki serangan ransomware Play di mana server Microsoft Exchange yang disusupi digunakan untuk menyusup ke jaringan korban.

Untuk menjalankan perintah sewenang-wenang pada server yang disusupi, operator ransomware memanfaatkan Remote PowerShell untuk menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi oleh ProxyNotShell.

Sementara ProxyNotShell mengeksploitasi target CVE-2022-41040, CrowdStrike menemukan bahwa kelemahan yang disalahgunakan oleh eksploit yang baru ditemukan kemungkinan besar adalah CVE-2022-41080, sebuah kelemahan keamanan yang ditandai oleh Microsoft sebagai kritis dan tidak dieksploitasi secara liar yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange .

OWASSRF PoC exploit (BleepingComputer)

CVE-2022-41080 ditemukan dan dilaporkan oleh zcgonvh dengan 360 noah lab dan rskvp93, Q5Ca, dan nxhoang99 dengan VcsLab dari Viettel Cyber Security.

OWASSRF PoC exploit leaked online
Sementara peneliti keamanan CrowdStrike bekerja mengembangkan kode proof-of-concept (PoC) mereka sendiri untuk mencocokkan info log yang ditemukan saat menyelidiki serangan ransomware Play baru-baru ini, peneliti ancaman Huntress Labs Dray Agha menemukan dan membocorkan alat pelaku ancaman secara online, pada bulan Desember tanggal 14.

CrowdStrike percaya bahwa eksploitasi proof-of-concept digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi.

Sejak diluncurkan pada bulan Juni, puluhan korban ransomware Play telah mengunggah sampel atau catatan tebusan ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi data mereka.

Aktifitas Play Ransomware (ID Ransomware)

Saat ini, tidak ada kebocoran data yang terkait dengan ransomware ini atau indikasi apa pun bahwa data apa pun dicuri selama serangan.

Korban baru-baru ini yang terkena afiliasi ransomware Play termasuk jaringan hotel Jerman H-Hotels, kota Antwerpen di Belgia, dan Pengadilan Córdoba di Argentina.

sumber : bleeping computer

Microsoft Menemukan Bug MacOS yang Memungkinkan Malware Melewati Pemeriksaan Keamanan

by

Apple telah memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat MacOS yang rentan melalui aplikasi tidak terpercaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dilaporkan oleh Jonathan Bar Or, seorang peneliti keamanan utama Microsoft. Bahwa ditemukan kelemahan keamanan yang dijuluki sebagai Achilles, dilacak sebagai CVE-2022-42821.

Bypass Gatekeeper Melalui ACL yang Membatasi
Gatekeeper adalah fitur keamanan MacOS yang memeriksa semua aplikasi yang diunduh dari Internet secara otomatis. Gatekeeper meminta pengguna untuk mengonfirmasi aplikasi tersebut sebelum diluncurkan dan akan mengeluarkan peringatan jika aplikasi tidak dapat dipercaya.

Cacat Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk mengkonfigurasi izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari setelan atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan akan diluncurkan di sistem target, memungkinkan penyerang mengunduh dan menyebarkan malware, sehingga pengguna tetap disarankan untuk menerapkan perbaikan meski dalam mode Lockdown.


Lebih Banyak Bypass Keamanan MacOS dan Malware
Ini hanya salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan MacOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Selain menemukan powerdir, bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi, peneliti juga merilis kode eksploit untuk kerentanan MacOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple telah memperbaiki kerentanan MacOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer. Malware ini terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.

Selengkapnya: BLEEPINGCOMPUTER

Driver Perangkat Keras yang Disetujui oleh Microsoft Digunakan Dalam Serangan Ransomware

by

Apakah Anda bisa mempercayai driver yang disetujui Microsoft? Coba pikirkan kembali.

Para peneliti di Sophos mengidentifikasi bahwa kerentanan pada driver perangkat keras yang disetujui Microsoft telah dieksploitasi dalam serangan ransomware oleh kelompok yang dikenal sebagai Cuba.

Berawal dari ditemukannya sepasang file di mesin yang dikompromikan yang menurut Sophos bekerja sama untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Mengaku telah menendang penyerang dari sistem, perusahaan tidak dapat memastikan jenis serangan apa yang mungkin terjadi, meskipun beberapa bukti menunjukkan varian malware yang dikenal sebagai ‘BURNTCIGAR’.

Ransomware dengan Driver Microsoft
Microsoft mendesak pelanggannya untuk menginstal pembaruan di mana pun, termasuk ke sistem operasi dan menginstal antivirus dan perangkat lunak perlindungan endpoint. Menyerang perangkat lunak keamanan target biasanya merupakan awal dari langkah-langkah yang lebih berdampak, seperti menyebarkan ransomware.

Selengkapnya: tech.co

Microsoft Menemukan Ransomware didalam Driver Windows

by

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Sertifikat Digital Microsoft Sekali Lagi Disalahgunakan Untuk Menandatangani Malware

by Leave a Comment

Penandatanganan kode seharusnya membuat orang lebih aman. Namun dalam hal ini, membuat mereka kurang merasa aman.

Microsoft sekali lagi diketahui mengizinkan sertifikat digitalnya yang sah untuk menandatangani malware di alam liar, selang waktu yang memungkinkan file berbahaya melewati pemeriksaan keamanan ketat yang dirancang untuk mencegahnya berjalan di sistem operasi Windows.

Sembilan entitas pengembang terpisah yang menyalahgunakan sertifikat dalam beberapa bulan terakhir. Penyalahgunaan ditemukan secara independen oleh empat perusahaan keamanan pihak ketiga, yang kemudian secara pribadi melaporkannya ke Microsoft. Perusahaan mengkonfirmasi temuan tersebut dan mengatakan telah menentukan bahwa penyalahgunaan berasal dari beberapa akun pengembang dan tidak ada pelanggaran jaringan yang terdeteksi.


Penandatanganan Kode Primer
Karena sebagian besar driver memiliki akses langsung ke kernel, Microsoft mengharuskan mereka untuk ditandatangani secara digital, ini sekaligus menjadi sarana de facto bagi produk keamanan pihak ketiga untuk memutuskan apakah sebuah driver dapat dipercaya.

Peneliti dari SentinelOne, salah satu dari tiga firma keamanan yang menemukan penyalahgunaan sertifikat dan secara pribadi melaporkannya ke Microsoft, menjelaskan bahwa masalah utama dengan proses ini adalah sebagian besar solusi keamanan secara implisit mempercayai apa pun yang ditandatangani hanya oleh Microsoft, terutama driver mode kernel.

Mandiant, firma keamanan lain mengatakan bahwa beberapa keluarga malware yang berbeda, terkait dengan pelaku ancaman yang berbeda, telah ditandatangani melalui Program Kompatibilitas Perangkat Keras Windows. Selain mendapatkan akses ke sertifikat Microsoft, pelaku ancaman juga berhasil mendapatkan sertifikat EV dari otoritas sertifikat pihak ketiga.

Driver yang ditandatangani dengan sertifikat sah Microsoft digunakan dalam aktivitas pasca-eksploitasi, yang berarti setelah pelaku ancaman mendapatkan hak administratif pada mesin yang ditargetkan. Pelaku ancaman menggunakan driver ini untuk menghentikan proses atau layanan yang digunakan oleh berbagai vendor produk keamanan endpoint.

Penyalahgunaan Sertifikat Adalah Kebiasaan Lama
Teknik ini terkenal dengan penemuan worm Stuxnet pada tahun 2010 yang dilaporkan dilepaskan oleh NSA dan mitranya dari Israel dalam upaya untuk menghalangi program nuklir Iran. Stuxnet menggunakan setidaknya dua sertifikat penandatanganan yang sah untuk menyelinap melewati pertahanan keamanan.

Peneliti SentinelOne berharap Microsoft akan mengambil langkah-langkah untuk mempertimbangkan peningkatan lebih lanjut guna mendukung keamanan proses penandatanganan mereka untuk membantu mempertahankan kepercayaan implisit yang diberikan pada driver bertanda tangan Microsoft.

Selengkapnya: arsTECHNICA

Rackspace diguncang oleh ‘insiden keamanan’ yang menghentikan layanan Exchange yang dihosting

by

Beberapa layanan Microsoft Exchange yang dihosting Rackspace telah dihentikan oleh apa yang digambarkan oleh perusahaan sebagai “insiden keamanan”.

Laporan insiden terbaru perusahaan pada saat penulisan, bertanda waktu 01:57 Waktu Bagian Timur pada tanggal 3 Desember, memberikan informasi berikut.

“Pada hari Jumat, 2 Desember 2022, kami menyadari adanya masalah yang memengaruhi lingkungan Hosted Exchange kami. Kami secara proaktif menonaktifkan dan memutus lingkungan Exchange yang Dihosting sementara kami melakukan triase untuk memahami tingkat dan tingkat keparahan dampaknya. Setelah analisis lebih lanjut, kami memutuskan bahwa ini adalah insiden keamanan.”

Insiden tersebut selanjutnya digambarkan sebagai “terisolasi ke sebagian dari platform Hosted Exchange kami”

Rackspace tidak tahu kapan akan dapat memulihkan layanannya kepada mereka yang terkena dampak insiden keamanan.

“Kami secara aktif bekerja dengan tim dukungan kami dan mengantisipasi pekerjaan kami mungkin memakan waktu beberapa hari,” saran halaman statusnya.

Insiden tersebut terwujud sebagai apa yang digambarkan Rackspace sebagai “masalah konektivitas dan login.

Pembaruan bertanda waktu pukul 20:19 Waktu Bagian Timur pada tanggal 2 Desember melangkah lebih jauh, menggambarkannya sebagai “kegagalan signifikan dalam lingkungan Hosted Exchange kami”.

Tetapi tidak ada informasi tentang penyebab insiden yang tersedia saat ini, namun kombinasi dari pemadaman dan proses pemulihan yang panjang menunjukkan ransomware bisa menjadi faktor penyebabnya.

Rackspace telah menawarkan pelanggan yang terkena dampak akses gratis ke lisensi Microsoft Exchange Paket 1 di Microsoft 365 selama durasi insiden dan membagikan petunjuk tentang cara mengaktifkan dan menjalankannya. Instruksi menyarankan pekerjaan untuk menjalankannya akan memakan waktu 30 menit hingga satu jam.

Selengkapnya: The Register

Pembaruan Windows Server baru menyebabkan macet pada domain controller, dimulai ulang

by

Microsoft sedang menyelidiki kebocoran memori LSASS (yang disebabkan oleh pembaruan Windows Server yang dirilis selama Patch November Selasa) yang mungkin menyebabkan pembekuan dan restart pada beberapa pengontrol domain.

LSASS (kependekan dari Local Security Authority Subsystem Service) bertanggung jawab untuk menegakkan kebijakan keamanan pada sistem Windows, dan menangani pembuatan token akses, perubahan kata sandi, dan login pengguna.

Jika layanan ini mogok, pengguna yang masuk segera kehilangan akses ke akun Windows di mesin, dan mereka diperlihatkan kesalahan restart sistem diikuti dengan reboot sistem.

“LSASS mungkin menggunakan lebih banyak memori dari waktu ke waktu dan DC mungkin menjadi tidak responsif dan memulai ulang,” Microsoft menjelaskan di dasbor Windows Health.

“Tergantung pada beban kerja DC Anda dan jumlah waktu sejak terakhir kali server dihidupkan ulang, LSASS mungkin terus meningkatkan penggunaan memori dengan waktu aktif server Anda dan server mungkin menjadi tidak responsif atau memulai ulang secara otomatis.”

Redmond mengatakan bahwa pembaruan Windows out-of-band didorong untuk mengatasi masalah otentikasi pada pengontrol domain Windows mungkin juga terpengaruh oleh masalah yang diketahui ini.

Daftar lengkap versi Windows yang terpengaruh termasuk Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, dan Windows Server 2008 SP2.

Microsoft sedang mengerjakan resolusi dan mengatakan akan memberikan pembaruan dengan rilis yang akan datang.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Penyerang Dapat Meretas Jaringan Energi dengan Mengeksploitasi Perangkat Lunak Berusia Puluhan Tahun

by

Peneliti di Microsoft mengatakan mereka telah menemukan komponen sumber terbuka yang rentan di server web Boa, yang masih banyak digunakan di berbagai router dan kamera keamanan, serta kit pengembangan perangkat lunak (SDK) yang populer, meskipun perangkat lunak tersebut sudah pensiun pada tahun 2005. Raksasa teknologi mengidentifikasi komponen tersebut saat menyelidiki dugaan gangguan jaringan listrik India yang pertama kali dirinci oleh Recorded Future pada bulan April, di mana penyerang yang disponsori negara China menggunakan perangkat IoT untuk mendapatkan pijakan pada jaringan operational technology (OT), yang digunakan untuk memantau dan mengendalikan industri fisik

Perusahaan menambahkan bahwa penyerang terus berupaya mengeksploitasi kelemahan Boa, yang mencakup bug pengungkapan informasi dengan tingkat keparahan tinggi (CVE-2021-33558) dan kelemahan akses file arbitrer lainnya (CVE-2017-9833).

“[Vulnerabilities/Kerentanan] yang diketahui memengaruhi komponen tersebut dapat memungkinkan penyerang mengumpulkan informasi tentang aset jaringan sebelum memulai serangan, dan untuk mendapatkan akses ke jaringan tanpa terdeteksi dengan memperoleh kredensial yang valid,” kata Microsoft,

Microsoft mengatakan serangan terbaru yang diamati adalah kompromi Tata Power pada bulan Oktober. Pelanggaran ini mengakibatkan grup ransomware Hive menerbitkan data yang dicuri dari raksasa energi India, yang mencakup informasi sensitif karyawan, gambar teknik, catatan keuangan dan perbankan, catatan klien, dan beberapa kunci pribadi.

Perusahaan telah memperingatkan bahwa mengurangi kelemahan Boa ini sulit karena popularitas yang terus berlanjut dari server web yang sekarang sudah tidak berfungsi dan sifat rumit dari bagaimana itu dibangun ke dalam rantai pasokan perangkat IoT.Peringatan Microsoft sekali lagi menyoroti risiko rantai pasokan yang ditimbulkan oleh kelemahan dalam komponen jaringan yang digunakan secara luas. Log4Shell, kerentanan zero-day yang tahun lalu diidentifikasi di Log4j, pustaka logging Apache open-source, diperkirakan berpotensi memengaruhi lebih dari tiga miliar perangkat.

sumber : tech crunch