Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

by

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

by

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Microsoft memperbaiki masalah autentikasi Windows Kerberos dalam pembaruan darurat

by

Microsoft telah merilis pembaruan out-of-band (OOB) opsional untuk memperbaiki masalah yang memicu kegagalan masuk Kerberos dan masalah autentikasi lainnya pada pengontrol domain Windows setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa November.

Microsoft mengakui dan mulai menyelidiki pada hari Senin dan mengatakan bahwa masalah yang diketahui dapat memengaruhi skenario autentikasi Kerberos apa pun dalam lingkungan perusahaan yang terpengaruh.

“Saat masalah ini terjadi, Anda mungkin menerima peristiwa kesalahan Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain Anda dengan teks di bawah ini.”

Daftar skenario autentikasi Kerberos yang terpengaruh mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal tersambung.
  • ​Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Microsoft merilis pembaruan darurat OOB yang harus diinstal oleh admin Windows di semua Pengontrol Domain (DC) pada lingkungan yang terpengaruh.

Pembaruan OOB tersedia melalui Katalog Pembaruan Microsoft dan tidak akan ditawarkan melalui Pembaruan Windows.

Redmond telah merilis pembaruan kumulatif untuk penginstalan di Pengontrol Domain (tidak diperlukan tindakan di sisi klien):

Microsoft juga merilis pembaruan mandiri yang dapat diimpor ke Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager:

Satu-satunya platform yang terpengaruh yang masih menunggu perbaikan adalah Windows Server 2008 R2 SP1. Redmond mengatakan bahwa pembaruan khusus akan tersedia minggu depan.

Anda dapat menemukan instruksi penyebaran WSUS terperinci di WSUS dan instruksi Pengelola Konfigurasi dan Situs Katalog di halaman Impor pembaruan dari halaman Katalog Pembaruan Microsoft.

Sumber: Bleeping Computer

Microsoft Memperbaiki Masalah Konektivitas Windows DirectAccess

by

Microsoft telah menyelesaikan masalah umum yang menyebabkan masalah konektivitas bagi pelanggan Windows yang menggunakan layanan DirectAccess untuk mengakses organisasi mereka dari jarak jauh tanpa menggunakan jaringan pribadi virtual (VPN).

Skenario yang dapat menyebabkan masalah umum ini termasuk beralih antara titik akses atau jaringan Wi-Fi dan kehilangan konektivitas jaringan untuk sementara.

Masalah ini seharusnya tidak memengaruhi solusi akses jarak jauh lainnya seperti VPN (terkadang disebut Server Akses Jarak Jauh atau RAS) dan VPN Selalu Aktif (AOVPN), metode koneksi jarak jauh yang direkomendasikan untuk Windows 10 atau lebih baru.

Daftar platform yang terpengaruh mencakup rilis Windows klien dan server:

  • Client: Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
  • ​Server: Windows Server 2022; Windows Server 2019

Diperbaiki melalui Rollback Masalah yang Diketahui
Microsoft telah mengatasi masalah ini melalui Known Issue Rollback (KIR), kemampuan Windows yang memungkinkan mengembalikan perbaikan non-keamanan Windows yang bermasalah yang diluncurkan menggunakan Pembaruan Windows

Prosedur yang diperlukan untuk menyebarkan perbaikan KIR melalui Kebijakan Grup mengharuskan membuka Editor Kebijakan Grup dan menavigasi ke Kebijakan Komputer Lokal atau kebijakan Domain pada pengontrol domain Anda untuk memilih versi Windows yang ingin Anda targetkan.

sumber : bleeping computer

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

by

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

by

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
  • Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

  • Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
  • Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

by

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

by

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.


Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer