Threat

Beberapa versi Windows tidak lagi didukung setelah hari ini

May 11, 2022 by Mally

Hari ini Windows 10 Home dan Pro, versi 20H2, Windows 10 versi 20H2 akan mendapatkan pembaruan terakhirnya,

Hal yang menyenangkan adalah bahwa itu akan menjadi pembaruan yang mudah. Dalam 18 bulan sejak siklus hidup untuk Windows 10 versi 20H2 dimulai, belum ada pembaruan fitur lengkap. Upgrade ke versi 21H2 hanya membutuhkan waktu beberapa menit, karena hanya menginstal paket pemberdayaan.

Cara siklus hidup Windows 10 secara historis bekerja adalah jika Anda adalah konsumen di Windows 10 Home atau Pro, Anda mendapatkan dukungan selama 18 bulan. Bisnis akan mendapatkan 18 bulan dukungan dari pembaruan musim semi dan 30 bulan dari pembaruan musim gugur.

Windows 10 Enterprise and Education, versi 1909
Windows 10 versi 1909 adalah salah satu yang mendapat dukungan 30 bulan untuk bisnis, dan itu berakhir hari ini. Ini sebenarnya tonggak penting, karena itu berarti bahwa semua versi yang didukung untuk Windows 10 Enterprise dan Education akan menjadi versi 20H2 dan lebih tinggi. Itu berarti bahwa hanya akan ada satu pembaruan kumulatif yang keluar, karena versi 20H2 dan lebih tinggi semuanya adalah bit yang sama persis, hanya dipisahkan oleh paket pengaktifan.

Baru-baru ini, Microsoft beralih ke irama pembaruan tahunan untuk Windows 10, cocok dengan apa yang sudah diperkenalkan dengan Windows 11. Namun, siklus hidup dukungannya berbeda. Pembaruan musim gugur Windows 10, yang akan terus berlanjut, akan terus mendapatkan dukungan selama 18 bulan untuk konsumen dan 30 bulan untuk bisnis. Sementara itu, pembaruan tahunan untuk Windows 11 sebenarnya mendapatkan 24 bulan untuk konsumen dan 36 bulan untuk bisnis.

Versi 20H2 Windows 10 Home dan Windows 10 Pro, dan versi 1909 Windows 10 Education dan Windows 10 Enterprise, akan mendapatkan pembaruan terakhir mereka hari ini. Windows 10 akan didukung dalam satu atau lain bentuk hingga setidaknya Oktober 2025.

Sumber : XDA

Microsoft memperbaiki NTLM relay zero-day baru di semua versi Windows

May 11, 2022 by Mally

Microsoft telah memperbaiki kerentanan zero-day Windows LSA spoofing yang dieksploitasi secara aktif yang dapat dieksploitasi oleh penyerang dari jarak jauh untuk memaksa domain controller mengautentikasi mereka melalui protokol keamanan Windows NT LAN Manager (NTLM).

LSA (kependekan dari Local Security Authority) adalah subsistem Windows yang dilindungi yang memberlakukan kebijakan keamanan lokal dan memvalidasi pengguna untuk login lokal dan jarak jauh.

Kerentanan, dilacak sebagai CVE-2022-26925 dan dilaporkan oleh Raphael John dari Bertelsmann Printing Group, telah dieksploitasi di alam liar dan tampaknya menjadi vektor baru untuk serangan relay PetitPotam NTLM.

Ditemukan oleh peneliti keamanan GILLES Lionel pada Juli 2021, PetitPotam memiliki beberapa variasi yang coba diblokir oleh Microsoft. Namun, pada titik ini, mitigasi resmi dan pembaruan keamanan berikutnya tidak sepenuhnya memblokir semua vektor PetitPotam.

Operator ransomware LockFile telah menyalahgunakan metode serangan relay PetitPotam NTLM untuk membajak domain Windows dan menyebarkan muatan berbahaya.

Microsoft menyarankan admin Windows untuk memeriksa mitigasi PetitPotam dan langkah-langkah mitigasi terhadap NTLM Relay Attacks pada Active Directory Certificate Services (AD CS) untuk info selengkapnya tentang melindungi sistem mereka dari serangan CVE-2022-26925.

Selengkapnya: Bleeping Computer

Microsoft Patch Tuesday Bulan Mei 2022 memperbaiki 3 zero-day, 75 kelemahan

May 11, 2022 by Mally

Microsoft telah merilis Patch Tuesday bulan Mei 2022, dan dengan itu datang perbaikan untuk tiga kerentanan zero-day, dengan satu kerentanan sedang dieksploitasi secara aktif, dan total 75 kelemahan.

Dari 75 kerentanan yang diperbaiki dalam pembaruan hari ini, delapan diklasifikasikan sebagai ‘Kritis’ karena memungkinkan eksekusi kode jarak jauh atau peningkatan hak istimewa.

Kerentanan zero-day yang dieksploitasi secara aktif yang diperbaiki hari ini adalah untuk NTLM Relay Attack baru menggunakan kelemahan LSARPC yang dilacak sebagai ‘CVE-2022-26925 – Windows LSA Spoofing Vulnerability.’

Dengan menggunakan serangan ini, pelaku ancaman dapat mencegat permintaan otentikasi yang sah dan menggunakannya untuk mendapatkan hak istimewa yang lebih tinggi.

Microsoft merekomendasikan admin untuk membaca nasihat PetitPotam NTLM Relay untuk informasi tentang cara memitigasi jenis serangan ini.

Dua zero-day yang diperbaiki adalah kerentanan penolakan layanan di Hyper-V dan kerentanan eksekusi kode jarak jauh baru di Azure Synapse dan Azure Data Factory.

CVE-2022-22713 – Windows Hyper-V Denial of Service Vulnerability
CVE-2022-29972 – Insight Software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC Driver

Microsoft sangat menyarankan IT Admin untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Selengkapnya: Bleeping Computer

Peretas sekarang menyembunyikan malware di Windows Event Logs

May 10, 2022 by Mally

Peneliti keamanan telah memperhatikan kampanye jahat yang menggunakan Windows Event Logs untuk menyimpan malware, sebuah teknik yang sebelumnya tidak didokumentasikan secara publik untuk serangan di alam liar.

Metode ini memungkinkan aktor ancaman di balik serangan untuk menanam malware tanpa file di sistem file dalam serangan yang diisi dengan teknik dan modul yang dirancang untuk menjaga aktivitas senyaman mungkin.

Para peneliti di Kaspersky mengumpulkan sampel malware setelah menjadi produk perusahaan yang dilengkapi dengan teknologi untuk deteksi berbasis perilaku dan kontrol anomali mengidentifikasinya sebagai ancaman di komputer pelanggan.

Penyelidikan mengungkapkan bahwa malware adalah bagian dari kampanye “sangat bertarget” dan mengandalkan seperangkat alat yang besar, baik yang tersedia secara khusus maupun yang tersedia secara komersial.

Salah satu bagian yang paling menarik dari serangan ini adalah menyuntikkan muatan shellcode ke Windows Event Logs untuk Layanan Manajemen Kunci (KMS), tindakan yang diselesaikan oleh penetes malware khusus.

Penetes menyalin file penanganan kesalahan OS yang sah WerFault.exe ke ‘C:\ untuk memuat kode berbahaya.

Pembajakan DLL adalah teknik peretasan yang mengeksploitasi program yang sah dengan pemeriksaan yang tidak memadai untuk memuat ke memori Dynamic Link Library (DLL) berbahaya dari jalur arbitrer.

Legezo mengatakan bahwa tujuan penetes adalah untuk memuat pada disk untuk proses pemuatan samping dan untuk mencari catatan tertentu di log peristiwa (kategori 0x4142 – ‘AB’ di ASCII. Jika tidak ada catatan seperti itu ditemukan, ia menulis potongan 8KB dari shellcode terenkripsi, yang kemudian digabungkan untuk membentuk kode untuk tahap berikutnya.

Teknik baru yang dianalisis oleh Kaspersky kemungkinan akan menjadi lebih populer karena Soumyadeep Basu, yang saat ini magang di tim merah Mandiant, telah membuat dan menerbitkan kode sumber GitHub untuk memasukkan muatan ke dalam Windows Event Logs

Berdasarkan berbagai teknik dan modul (pen-testing suites, custom anti-detection wrapper, trojan tahap akhir) yang digunakan dalam kampanye, Legezo mencatat bahwa seluruh kampanye “terlihat mengesankan”.

Di antara alat yang digunakan dalam serangan itu adalah kerangka pengujian penetrasi komersial Cobalt Strike dan NetSPI (mantan SilentBreak).

Sementara beberapa modul dalam serangan diyakini kustom, peneliti mencatat bahwa mereka mungkin menjadi bagian dari platform NetSPI, yang lisensi komersialnya tidak tersedia untuk pengujian.

Misalnya, dua trojan bernama ThrowbackDLL.dll dan SlingshotDLL.dll mungkin merupakan alat dengan nama yang sama yang dikenal sebagai bagian dari kerangka pengujian penetrasi SilentBreak.

Investigasi melacak tahap awal serangan hingga September 2021 ketika korban ditipu untuk mengunduh arsip RAR dari layanan berbagi file file.io.

Pelaku kemudian menyebarkan modul Cobalt Strike yang ditandatangani dengan sertifikat dari perusahaan bernama Fast Invest ApS. Sertifikat tersebut digunakan untuk menandatangani 15 file dan tidak ada satupun yang sah.

Dalam sebagian besar kasus, tujuan akhir dari malware yang ditargetkan dengan fungsionalitas tahap terakhir seperti itu adalah mendapatkan beberapa data berharga dari para korban. Para peneliti melacak aktivitas baru sebagai SilentBreak, setelah nama alat yang paling banyak digunakan dalam serangan itu.

Sumber: Bleeping Computer

Setiap pengguna Google Chrome harus mengklik tombol ini sekarang

May 9, 2022 by Mally

Jadi, di mana tombol Pemeriksaan keamanan? Cara termudah untuk menemukannya adalah dengan mengetikkan ini ke bilah alamat Anda dan tekan enter:

chrome://settings/safetyCheck

Atau, Anda dapat masuk ke Pengaturan dan klik Keamanan dan Privasi lalu klik Periksa sekarang di sisi kanan di bawah Pemeriksaan Keamanan.

Tombol pemeriksaan keamanan ada di sana. Mengkliknya melakukan empat hal:

Memeriksa pembaruan Google Chrome
Memeriksa apakah ada sandi tersimpan Anda yang telah disusupi
Memeriksa apakah Penjelajahan Aman diaktifkan, dan memberi Anda tautan untuk mengubah pengaturan ini
Memeriksa ekstensi berbahaya (bukan ide yang buruk mengingat bencana terbaru dengan The Great Suspender)

Menjalankan pemeriksaan Keamanan Google Chrome

Jika Anda menginginkan lebih banyak perlindungan, Anda dapat mengaktifkan Peningkatan perlindungan di bawah Penjelajahan Aman, dan itu akan memberi Anda keamanan yang jauh lebih besar, tetapi itu melibatkan persetujuan agar data penjelajahan Anda dikirim ke Google.

Sumber: ZDnet

Peneliti keamanan: Begini cara peretas Lazarus memulai serangannya

May 9, 2022 by Mally

Grup peretasan Lazarus adalah salah satu ancaman keamanan siber teratas dari Korea Utara, baru-baru ini menarik perhatian pemerintah AS karena pencurian cryptocurrency besar-besaran.

Sekarang para peneliti di NCCGroup telah mengumpulkan beberapa alat dan teknik yang digunakan peretas Lazarus baru-baru ini, termasuk rekayasa sosial di LinkedIn, mengirim pesan ke target kontraktor pertahanan AS di WhatsApp, dan menginstal pengunduh berbahaya LCPDot.

Pada bulan Februari, para peneliti di Qualys menemukan kelompok yang menyamar sebagai kontraktor pertahanan Lockheed Martin, menggunakan namanya sebagai iming-iming untuk peluang kerja dalam dokumen Word yang dicampur. Dokumen berisi makro berbahaya untuk menginstal malware dan mengandalkan Tugas Terjadwal untuk bertahan di sistem.

Lazarus secara historis telah menggunakan LinkedIn sebagai jaringan sosial pilihan untuk menghubungi para profesional dengan tawaran pekerjaan. Pada tahun 2020, para peneliti di F-Secure menemukan kelompok tersebut mencoba merekrut administrator sistem dengan dokumen phishing yang dikirim ke akun LinkedIn target mengenai perusahaan blockchain yang mencari sysadmin baru.

Pada bulan April, Departemen Keuangan AS menghubungkan Lazarus dengan pencurian $600 juta pada bulan Maret dari jaringan blockchain di belakang game play-to-earn Axie Finity.

Pada bulan yang sama, FBI, Cybersecurity and Infrastructure Security Agency, dan Treasury memperingatkan bahwa Lazarus saat ini berfokus pada pertukaran di industri blockchain dan cryptocurrency, menggunakan kampanye spear-phishing dan malware untuk mencuri cryptocurrency.

NCCGroup menemukan bahwa penggunaan profil Lockheed Martin palsu baru-baru ini untuk berbagi iklan pekerjaan dengan target bergantung pada dokumen yang dihosting di domain yang berusaha meniru situs rekrutmen yang berbasis di AS untuk lowongan pemerintah dan pertahanan.

Untuk melewati upaya Microsoft baru-baru ini untuk membatasi penggunaan makro dalam dokumen Office, situs web tersebut menghosting file ZIP yang berisi dokumen berbahaya yang digunakan untuk terhubung dengan server perintah dan kontrol Lazarus.

Microsoft pada bulan April memperkenalkan perilaku default Office baru yang memblokir makro VBA yang diperoleh dari internet dalam dokumen pada perangkat yang menjalankan Windows. Seorang pakar keamanan menyebutnya sebagai “pengubah permainan” karena prevalensi malware makro.

NCCGroup juga memperoleh sampel varian Lazarus dari LCPDot, pengunduh yang baru-baru ini dianalisis oleh Japan CERT, yang menghubungkannya dengan Lazarus.

Setelah mendaftarkan host yang disusupi dengan server perintah dan kontrol, pengunduh menerima muatan lain, mendekripsinya, dan kemudian memuatnya ke dalam memori.

NCCGroup mencantumkan beberapa domain yang mengindikasikan suatu organisasi telah disusupi oleh peretas.

Google pada bulan Maret merinci kampanye luas oleh kelompok terkait Lazarus yang menargetkan ratusan orang di seluruh sektor media dan teknologi dengan tawaran pekerjaan dalam email yang meniru perekrut dari Disney, Google, dan Oracle. Perusahaan analisis Blockchain Chainalysis memperkirakan peretas Korea Utara mencuri $400 juta dalam cryptocurrency pada tahun 2021.

Sumber: ZDnet

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

May 6, 2022 by Mally

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

F5 memperingatkan bug RCE BIG-IP kritis yang memungkinkan pengambilalihan perangkat

May 5, 2022 by Mally

F5 telah mengeluarkan peringatan penasehat keamanan tentang cacat yang memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan untuk mengeksekusi perintah sistem sewenang-wenang, melakukan tindakan file, dan menonaktifkan layanan di BIG-IP.

Kerentanan dilacak sebagai CVE-2022-1388 dan memiliki peringkat keparahan CVSS v3 9,8, dikategorikan kritis. Eksploitasinya berpotensi mengarah pada pengambilalihan sistem secara menyeluruh.

Menurut penasihat keamanan F5, kelemahannya terletak pada komponen iControl REST dan memungkinkan aktor jahat mengirim permintaan yang tidak diungkapkan untuk melewati otentikasi iControl REST di BIG-IP.

Karena parahnya kerentanan dan penyebaran luas produk BIG-IP di lingkungan kritis, CISA (Cybersecurity and Infrastructure Security Agency) juga telah mengeluarkan peringatan hari ini.

Berikut daftar lengkap produk yang terpengaruh:

BIG-IP versions 16.1.0 to 16.1.2
BIG-IP versions 15.1.0 to 15.1.5
BIG-IP versions 14.1.0 to 14.1.4
BIG-IP versions 13.1.0 to 13.1.4
BIG-IP versions 12.1.0 to 12.1.6
BIG-IP versions 11.6.1 to 11.6.5

F5 telah merilis perbaikan di v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6, dan v13.1.5. Cabang 12.x dan 11.x tidak akan menerima patch perbaikan.

Selain itu, advisory tersebut menjelaskan bahwa Manajemen Terpusat BIG-IQ, F5OS-A, F5OS-C, dan Traffic SDC tidak terpengaruh oleh CVE-2022-1388.

F5 telah menyediakan tiga mitigasi efektif yang dapat digunakan sementara untuk mereka yang tidak dapat segera menerapkan pembaruan keamanan.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Threat

Cookies Settings