Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Microsoft

Microsoft

Afiliasi LockBit menggunakan malware Amadey Bot untuk menyebarkan ransomware

by

Afiliasi ransomware LockBit 3.0 menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Menurut laporan AhnLab baru, pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

Aktivitas Amadey Bot

Malware Amadey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi.

Rantai infeksi

Peneliti AhnLab melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word.

Dalam kasus pertama, pengguna harus mengklik tombol “Aktifkan Konten” untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke “C:\Users\Public\skem.lnk”. File ini adalah pengunduh untuk Amadey.


Dokumen berbahaya yang memulai rantai infeksi

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama “Resume.exe” (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

Amadey ke LockBit 3.0

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem.

Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah.

Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell (‘cc.ps1’ atau ‘dd.ps1’), atau bentuk exe (‘LBB.exe’).

Payload sekali lagi dijatuhkan di TEMP sebagai salah satu dari tiga berikut:

%TEMP%\100018041\dd.ps1
%TEMP%\1000019041\cc.ps1
%TEMP%\1000020001\LBB.exe

Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup.


Contoh catatan tebusan yang dihasilkan (AhnLab)

sumber : bleeping computer

Microsoft meluncurkan perbaikan untuk Outlook yang menonaktifkan add-in Rapat Tim

by

Microsoft meluncurkan perbaikan untuk masalah umum yang memengaruhi pengguna Outlook untuk Microsoft 365 dan mencegah mereka menjadwalkan rapat Teams karena opsi tidak lagi tersedia di menu pita aplikasi.

Add-in Rapat Teams dapat ditemukan dalam tampilan Kalender, dan ini membantu pengguna Outlook untuk membuat Rapat Teams dari Outlook.

“Saat Anda mencoba membuat rapat Teams di Outlook Desktop, Anda menemukan bahwa opsi tersebut hilang di pita,” kata Microsoft dalam artikel dukungan yang diterbitkan pada bulan September.

Dalam pembaruan pada hari Kamis, Tim Produk Teams mengonfirmasi bahwa ini sekarang telah diselesaikan, dan perbaikan sekarang diluncurkan ke pelanggan yang menjalankan Teams versi 1.5.00.28567.

Redmond juga mengingatkan pelanggan bahwa add-in Rapat Tim memerlukan .Net 4.8 dan WebView2 untuk diinstal pada sistem agar tidak dinonaktifkan.

“Dalam beberapa kasus dukungan, para insinyur menemukan bahwa jika .Net 4.8 atau Webview2 tidak diinstal, menginstalnya membantu mengatasi masalah dengan Add-in Tim menjadi dinonaktifkan,” kata Microsoft.

Untuk memeriksa versi Teams yang Anda gunakan dan apakah perbaikan telah diluncurkan ke sistem Anda, Anda harus membuka Teams dan pergi ke Tentang > Versi setelah mengklik menu “Pengaturan dan lainnya” (tiga titik di kanan atas).

Redmond mengakui masalah ini pada bulan September menyusul aliran laporan pelanggan di berbagai platform online (dari Reddit hingga situs komunitas Microsoft) yang berlangsung setidaknya selama beberapa tahun.

Meskipun Microsoft belum mengungkapkan penyebab di balik masalah ini, pelanggan mengatakan bahwa add-in kemungkinan besar dinonaktifkan secara otomatis setelah menyebabkan Outlook mogok, tanpa perbaikan, pencopotan, dan penginstalan ulang aplikasi yang membantu memperbaikinya.

Selengkapnya: Bleeping Computer

PowerToy Windows ‘LockSmith’ Membantu Anda Membuka File Yang Terkunci

by


Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga.

Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga, juga editor file host Windows dan daftar panjang perbaikan bug dan perubahan yang menambah stabilitas dan meningkatkan alat bawaan lainnya.

program pihak ketiga yang dirancang untuk menghilangkan status “terkunci”, sekarang Anda dapat memeriksa file mana yang digunakan oleh proses mana dengan mengklik kanan file tersebut di File Explorer dan mengklik “Apa yang menggunakan file ini?” dalam menu konteks.

Anda kemudian dapat menghentikan proses apa pun yang ditemukan oleh File Locksmith atau memindai lagi menggunakan hak administrator untuk mencari proses yang diluncurkan oleh semua pengguna.



Menu konteks File Tukang Kunci

Alat ini akan membantu Anda menambahkan entri baru ke file Host dan memperbarui yang sudah tersedia. Ini juga memiliki fitur filter untuk menyaring file besar dengan cepat dan mempersempit daftar hasil.

Untuk menginstal versi Microsoft PowerToys terbaru, Anda harus mengunduh dan meluncurkan the PowerToys 0.64 installer dari halaman GitHub proyek.

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Windows zero-day yang dieksploitasi memungkinkan file JavaScript melewati peringatan keamanan

by

Update terbaru mengenai Windows Mark of the Web zero-day

Zero-day Windows baru memungkinkan pelaku ancaman menggunakan file JavaScript standalone yang berbahaya untuk melewati peringatan keamanan Mark-of-the-Web. Pelaku ancaman sudah terlihat menggunakan bug zero-day dalam serangan ransomware.

Fitur keamanan yang disebut Mark-of-the-Web (MoTW) yang menandai file sebagai telah diunduh dari Internet dan oleh karena itu harus diperlakukan dengan hati-hati karena dapat berbahaya.

Bendera MoTW ditambahkan ke file yang diunduh atau lampiran email sebagai Aliran Data Alternatif khusus yang disebut ‘Zone.Identifier,’ yang dapat dilihat menggunakan perintah ‘dir /R’ dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web
Sumber: BleepingComputer

Aliran data alternatif ‘Zone.Identifier’ ini mencakup zona keamanan URL asal file (tiga sama dengan Internet), perujuk, dan URL ke file.

Saat pengguna mencoba membuka file dengan bendera Mark-of-the-Web, Windows akan menampilkan peringatan bahwa file tersebut kemungkinan berbahaya.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW
Sumber: BleepingComputer

Microsoft Office juga menggunakan bendera MoTW untuk menentukan apakah file harus dibuka dalam Tampilan Terproteksi, yang menyebabkan makro dinonaktifkan.

Tim intelijen ancaman HP baru-baru ini melaporkan bahwa pelaku ancaman menginfeksi perangkat dengan ransomware Magniber menggunakan file JavaScript.

Untuk lebih jelasnya, kita tidak berbicara tentang file JavaScript yang umum digunakan di hampir semua situs web, tetapi file .JS didistribusikan oleh aktor ancaman sebagai lampiran atau unduhan yang dapat berjalan di luar browser web.

File JavaScript yang terlihat didistribusikan oleh aktor ancaman Magniber ditandatangani secara digital menggunakan blok tanda tangan yang disandikan base64 seperti yang dijelaskan dalam artikel dukungan Microsoft ini.

Setelah dianalisis oleh Will Dormann, dia menemukan bahwa penyerang menandatangani file-file ini dengan kunci yang salah format.

Ketika masuk dengan cara ini, meskipun file JS diunduh dari Internet dan menerima bendera MoTW, Microsoft tidak akan menampilkan peringatan keamanan, dan skrip akan secara otomatis dijalankan untuk menginstal ransomware Magniber.

Dormann lebih lanjut menguji penggunaan tanda tangan yang salah format ini dalam file JavaScript dan mampu membuat file JavaScript bukti konsep yang akan melewati peringatan MoTW.

Kedua file JavaScript (.JS) tersebut menerima Mark-of-the-Web, seperti yang ditunjukkan oleh kotak merah, saat diunduh dari situs web.

Mark-of-the-Web pada eksploitasi PoC Dormann
Sumber: BleepingComputer

Perbedaan antara kedua file adalah bahwa yang satu ditandatangani menggunakan kunci cacat yang sama dari file Magniber, dan yang lainnya tidak berisi tanda tangan sama sekali.

Ketika file yang tidak ditandatangani dibuka di Windows 10, peringatan keamanan MoTW ditampilkan dengan benar.

Namun, ketika mengklik dua kali ‘calc-othersig.js,’ yang ditandatangani dengan kunci yang salah format, Windows tidak menampilkan peringatan keamanan dan hanya menjalankan kode JavaSript.

Dengan menggunakan teknik ini, pelaku ancaman dapat melewati peringatan keamanan normal yang ditampilkan saat membuka file JS yang diunduh dan menjalankan skrip secara otomatis.

BleepingComputer dapat mereproduksi bug di Windows 10. Namun, untuk Windows 11, bug hanya akan terpicu saat menjalankan file JS langsung dari arsip.

Dormann mengatakan bahwa dia yakin bug ini pertama kali diperkenalkan dengan rilis Windows 10, karena perangkat Windows 8.1 yang sepenuhnya ditambal menampilkan peringatan keamanan MoTW seperti yang diharapkan.

Menurut Dormann, bug tersebut berasal dari fitur SmartScreen ‘Periksa aplikasi dan file’ baru Windows 10 di bawah Keamanan Windows > Kontrol Aplikasi & Peramban > Pengaturan perlindungan berbasis reputasi.

Dormann membagikan bukti konsep dengan Microsoft, yang mengatakan bahwa mereka tidak dapat mereproduksi bypass peringatan keamanan MoTW.

Dormann juga mengatakan bahwa pelaku ancaman dapat memodifikasi file bertanda Authenticode, termasuk file yang dapat dieksekusi (.EXE), untuk melewati peringatan keamanan MoTW.

Untuk melakukan ini, executable yang ditandatangani dapat dimodifikasi menggunakan editor hex untuk mengubah beberapa byte di bagian tanda tangan file dan dengan demikian merusak tanda tangan.

Setelah tanda tangan rusak, Windows tidak akan memeriksa file menggunakan SmartScreen, seolah-olah bendera MoTW tidak ada, dan membiarkannya berjalan.

Selengkapnya: Bleeping Computer

Pelanggaran data Microsoft mengekspos data pelanggan

by

Microsoft telah mengatakan bahwa beberapa informasi sensitif pelanggannya diekspos oleh server Microsoft yang salah konfigurasi yang dapat diakses melalui Internet.

Perusahaan mengamankan server setelah diberitahu tentang kebocoran pada 24 September 2022 oleh peneliti keamanan di perusahaan intelijen ancaman SOCRadar.

“Konfigurasi yang salah ini mengakibatkan potensi akses yang tidak diautentikasi ke beberapa data transaksi bisnis yang terkait dengan interaksi antara Microsoft dan calon pelanggan, seperti perencanaan atau implementasi potensial dan penyediaan layanan Microsoft,” ungkap perusahaan tersebut.

Menurut Microsoft, informasi yang terbuka mencakup nama, alamat email, konten email, nama perusahaan, dan nomor telepon, serta file yang ditautkan ke bisnis antara pelanggan yang terpengaruh dan Microsoft atau mitra resmi Microsoft.

Redmond menambahkan bahwa kebocoran itu disebabkan oleh “kesalahan konfigurasi yang tidak disengaja pada titik akhir yang tidak digunakan di seluruh ekosistem Microsoft” dan bukan karena kerentanan keamanan.

SOCRadar mengungkapkan bahwa data disimpan di Azure Blob Storage yang salah konfigurasi. Secara total, SOCRadar mengklaim dapat menautkan informasi sensitif ini ke lebih dari 65.000 entitas dari 111 negara yang disimpan dalam file tertanggal 2017 hingga Agustus 2022.

Perusahaan intel ancaman menambahkan bahwa, dari analisisnya, data yang bocor “termasuk dokumen Proof-of-Execution (PoE) dan Pernyataan Kerja (SoW), informasi pengguna, pesanan/penawaran produk, detail proyek, PII (Informasi Identifikasi Pribadi)) data, dan dokumen yang dapat mengungkapkan kekayaan intelektual.”

Microsoft menambahkan hari ini bahwa mereka percaya SOCRadar “sangat melebih-lebihkan ruang lingkup masalah ini” dan “angkanya.”

Lebih lanjut, Redmond mengatakan bahwa keputusan SOCRadar untuk mengumpulkan data dan membuatnya dapat dicari menggunakan portal pencarian khusus “bukan demi memastikan privasi atau keamanan pelanggan dan berpotensi mengekspos mereka pada risiko yang tidak perlu.”

Portal pencarian kebocoran data SOCRadar bernama BlueBleed yang memungkinkan perusahaan untuk menemukan apakah info sensitif mereka juga terpapar dengan data yang bocor.

Selain apa yang ditemukan di dalam server Microsoft yang salah konfigurasi, BlueBleed juga memungkinkan pencarian data yang dikumpulkan dari lima ember penyimpanan publik lainnya.

Di server Microsoft saja, SOCRadar mengklaim telah menemukan 2,4 TB data yang berisi informasi sensitif, dengan lebih dari 335.000 email, 133.000 proyek, dan 548.000 pengguna yang terpapar ditemukan saat menganalisis file yang bocor hingga sekarang.

Berdasarkan analisis SOCRadar, file-file ini berisi email pelanggan, dokumen SOW, penawaran produk, karya POC (Proof of Concept), detail ekosistem mitra, faktur, detail proyek, daftar harga produk pelanggan, dokumen POE, pesanan produk, dokumen pelanggan yang ditandatangani, komentar internal untuk pelanggan, strategi penjualan, dan dokumen aset pelanggan.

Sumber: Bleeping Computer

Microsoft memperbaiki kegagalan handshake Windows TLS dalam pembaruan out-of-band

by

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk mengatasi masalah yang disebabkan oleh pembaruan keamanan Windows Oktober 2022 yang memicu kegagalan handshake SSL/TLS pada platform klien dan server.

Pada perangkat yang terpengaruh, pengguna akan melihat kesalahan SEC_E_ILLEGAL_MESSAGE dalam aplikasi saat koneksi ke server mengalami masalah.

“Kami mengatasi masalah yang mungkin memengaruhi beberapa jenis koneksi Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Koneksi ini mungkin mengalami kegagalan handshake,” Microsoft menjelaskan.

“Untuk pengembang, koneksi yang terpengaruh cenderung menerima satu atau lebih catatan diikuti oleh sebagian catatan dengan ukuran kurang dari 5 byte dalam buffer input tunggal.”

Masalah umum yang dibahas dalam pembaruan OOB hari ini memengaruhi beberapa rilis dan edisi Windows, termasuk:

  • Klien: Windows 11, versi 22H2; Windows 11, versi 21H2; Windows 10, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10 Perusahaan LTSC 2019; Windows 10 Perusahaan LTSC 2016; Windows 10 Perusahaan 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; WindowsServer 2019; WindowsServer 2016; Windows Server 2012 R2; WindowsServer 2012; Windows Server 2008 R2 SP1

Pembaruan tidak dapat disebarkan melalui Pembaruan Windows, untuk menginstalnya Anda dapat mengunduh dari Katalog Pembaruan Microsoft dan mengimpornya secara manual ke WSUS dan Microsoft Endpoint Configuration Manager.
Microsoft telah merilis paket mandiri dan pembaruan kumulatif:

Pembaruan kumulatif:
Windows 11, versi 21H2: KB5020387
Windows Server 2022: KB5020436
Windows 10, versi 20H2; Windows 10, versi 21H1; Windows 10, versi 22H1; Windows 10 Enterprise LTSC 2021: KB5020435
Windows 10 Perusahaan LTSC 2019; Windows Server 2019: KB5020438
Pembaruan Mandiri:
Windows 8.1; Windows Server 2012 R2: KB5020447
Windows Server 2012: KB5020449
Windows 7 SP1; Windows Server 2008 R2 SP1: KB5020448

Perusahaan masih mengerjakan perbaikan untuk Windows 10 2016 LTSB, Windows Server 2016, dan Windows 10 2015 LTSB.

Setelah menyebarkan pembaruan, Layanan Cluster mungkin gagal untuk memulai karena Pengandar Jaringan Cluster tidak ditemukan karena pembaruan untuk pengandar kelas PnP yang digunakan oleh layanan.

Bulan lalu, Microsoft mengatakan bahwa mereka secara tidak sengaja mencantumkan pembaruan pratinjau Windows September di Layanan Pembaruan Server Windows (WSUS).

Redmond menambahkan bahwa hingga pembaruan dihapus dari WSUS, itu masih dapat menyebabkan masalah pemasangan pembaruan keamanan di beberapa lingkungan terkelola.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan tentang serangan ransomware yang tidak biasa

by

Microsoft telah menandai bagian baru dari ransomware yang menyerang organisasi transportasi dan logistik di Ukraina dan Polandia.

Microsoft belum melihat penyerang menggunakan eksploitasi perangkat lunak tertentu tetapi semua serangan menggunakan kredensial akun admin Active Directory yang dicuri.

Catatan tebusan mengidentifikasi dirinya sebagai “ranusomeware Prestise”, menurut Microsoft Threat Intelligence Center (MSTIC).

Ransomware diluncurkan pada 11 Oktober dan menonjol bagi para peneliti karena itu adalah contoh langka di Ukraina dari penyebaran ransomware di seluruh perusahaan dan berbeda dari 94 geng ransomware lain yang dilacak Microsoft.

Selain itu, profil korban selaras dengan aktivitas negara Rusia baru-baru ini dan tumpang tindih dengan korban malware perusak HermeticWiper yang disebarkan pada awal invasi Rusia ke Ukraina. Pemerintah AS pada bulan Februari khawatir malware yang sama dapat digunakan terhadap organisasi AS.

MSTIC mengatakan kampanye Prestige terpisah dari HermeticWiper dan malware destruktif lainnya yang telah disebarkan di beberapa operator infrastruktur penting Ukraina dalam dua minggu terakhir. Microsoft telah melacak malware destruktif yang dikerahkan terhadap organisasi Ukraina sejak Januari.

MSTIC melacak aktivitas ini sebagai DEV-0960. DEV adalah istilah untuk aktor ancaman yang sebelumnya tidak dikenal. Ini akan menggabungkan aktivitas grup dengan aktor ancaman yang dikenal, seperti Nobelium, yang merupakan grup di balik serangan rantai pasokan SolarWinds, jika membuat koneksi ke grup tertentu.

Grup ini menggunakan beberapa alat yang tersedia untuk umum untuk eksekusi kode jarak jauh dan meraih kredensial administrator dengan hak istimewa tinggi. Tapi MSTIC tidak tahu bagaimana penyerang mendapatkan akses awal ke jaringan. Diduga penyerang sudah memiliki kredensial istimewa dari kompromi sebelumnya. Dalam semua kasus, bagaimanapun aktor memperoleh akses, mereka sudah memiliki hak tingkat admin domain sebelum menyebarkan ransomware.

Microsoft menguraikan tiga metode utama yang digunakan kelompok tersebut dalam satu jam setiap serangan. Fakta bahwa mereka menggunakan beberapa metode, bukan satu, tidak biasa.

Mengingat kurangnya kerentanan perangkat lunak yang diketahui para penyerang digunakan, Microsoft telah menyediakan beberapa tindakan yang dapat digunakan organisasi untuk melindungi diri mereka sendiri, termasuk dengan mengaktifkan perlindungan tamper untuk menghentikan perubahan pada antivirus dan untuk mengaktifkan otentikasi multi-faktor. Mitigasi tersebut antara lain:

  • Blokir kreasi proses yang berasal dari perintah PSExec dan WMI untuk menghentikan gerakan lateral menggunakan komponen WMIexec dari Impacket
  • Aktifkan perlindungan Tamper untuk mencegah serangan berhenti atau mengganggu Microsoft Defender
  • Aktifkan perlindungan yang diberikan cloud di Microsoft Defender Antivirus atau yang setara
  • Aktifkan MFA dan pastikan MFA diterapkan untuk semua konektivitas jarak jauh – termasuk VPN

Sumber: ZD Net