Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Microsoft Patch Tuesday Maret: Cacat eksekusi kode jarak jauh yang kritis, IE zero-day diperbaiki

by

Microsoft telah merilis 89 perbaikan keamanan untuk perangkat lunak termasuk browser Edge, Office, dan Azure yang menambal masalah kritis termasuk vektor untuk eksekusi kode jarak jauh.

Selama putaran patch bulanan standar, Microsoft merilis banyak patch untuk memperbaiki kerentanan dalam perangkat lunak nya termasuk Azure, produk Microsoft Office – seperti PowerPoint, Excel, SharePoint, dan Visio – di samping browser Edge dan Internet Explorer.

Ini juga mencakup tujuh perbaikan out-of-band untuk Microsoft Exchange Server yang dirilis minggu lalu, empat di antaranya digolongkan sebagai zero-days.

Secara total, 14 dideskripsikan sebagai keretanan kritis dan mayoritas mengarah ke Remote Code Execution (RCE), sedangkan sisanya dianggap penting.

Di antara kerentanan yang diperbaiki adalah resolusi CVE-2021-26411, kerentanan kerusakan memori di Internet Explorer yang secara aktif dieksploitasi di alam liar.

Masalah penting lainnya yang perlu diperhatikan termasuk CVE-2021-27074 dan CVE-2021-27080, bug eksekusi kode tak bertanda tangan di Azure Sphere, dan CVE-2021-26897, cacat RCE kritis di Windows DNS Server.

Microsoft juga mengumumkan berakhirnya dukungan aplikasi desktop Microsoft Edge Legacy. Aplikasi akan dihapus dan diganti dengan Microsoft Edge baru selama pembaruan keamanan bulanan kumulatif Windows 10 bulan April.

Untuk melihat detail kerentanan, periksa di Release note pembaruan resmi Microsoft bulan Maret atau Portal Panduan Pembaruan Keamanan resmi Microsoft.

Sumber: ZDNet

Ransomware HelloKitty Tidak Memiliki Stealth

by

Studio game CD Projekt Red baru-baru ini mengungkapkan bahwa mereka menjadi korban ransomware yang ditargetkan dan sangat berdampak. Beberapa hari setelah pengungkapan, terungkap bahwa keluarga ransomware yang paling mungkin berada di balik serangan tersebut adalah “HelloKitty”.

Ransomware HelloKitty adalah keluarga ransomware yang muncul pada akhir tahun 2020. Meskipun tidak memiliki kecanggihan dari beberapa keluarga yang lebih terkenal seperti Ryuk, REvil, dan Conti, namun ia telah mencapai beberapa target penting, termasuk CEMIG0. Dalam sebuah blog, peneliti keamanan dari Sentinel One menganalisis sampel HelloKitty dan menguraikan perilaku dan sifat dasar yang terkait dengan keluarga ransomware ini.

Menurut analisis, ransomware HelloKitty mungkin lebih mudah dikenali daripada keluarga ransomware modern lainnya, tetapi setelah dieksekusi, ia tidak kalah berbahayanya. Saat ini tidak ada ‘kelemahan’ yang diketahui dalam rutinitas enkripsi, dan tidak ada dekripsi pihak ketiga yang tersedia untuk ransomware HelloKitty. Oleh karena itu, satu-satunya pertahanan yang benar adalah pencegahan.

Untuk melindungi diri Anda dari Ransomware HelloKitty, pastikan Anda menggunakan platform Keamanan Endpoint modern, yang dikonfigurasi dengan benar dan terbaru.

Detail teknis dari analisis sampel Ransomware HelloKitty dapat dibaca pada tautan ini.

Microsoft telah diperingatkan beberapa bulan yang lalu – sekarang, peretasan Hafnium telah berkembang menjadi sangat besar

by Leave a Comment

Pada hari Jumat, jurnalis keamanan siber Brian Krebs dan Andy Greenberg melaporkan bahwa sebanyak 30.000 organisasi telah disusupi dalam peretasan server email yang belum pernah terjadi sebelumnya, diyakini berasal dari kelompok peretasan Cina yang disponsori negara yang dikenal sebagai Hafnium.

Krebs sekarang telah menyusun garis waktu dasar dari peretasan Exchange Server besar-besaran, dan dia mengatakan Microsoft telah mengonfirmasi bahwa pihaknya telah mengetahui kerentanan pada awal Januari.

Itu hampir dua bulan sebelum Microsoft mengeluarkan rangkaian tambalan pertama, di samping entri blog yang tidak menjelaskan cakupan atau skala serangan tersebut.

Sekarang, MIT Technology Review melaporkan bahwa Hafnium mungkin bukan satu-satunya ancaman, mengutip seorang analis keamanan siber yang mengklaim setidaknya ada lima kelompok peretas yang secara aktif mengeksploitasi kelemahan Exchange Server pada hari Sabtu. Pejabat pemerintah dilaporkan berebut untuk melakukan sesuatu, dengan seorang pejabat negara mengatakan kepada Cyberscoop bahwa itu “masalah besar”.

Pada titik ini, sudah jelas bahwa siapa pun yang memasang Server Microsoft Exchange lokal (2010, 2013, 2016, atau 2019) perlu menambal dan memindai, tetapi kita baru mulai memahami cakupan kerusakannya. Peretas dilaporkan memasang perangkat lunak perusak yang dapat membiarkan mereka kembali ke server itu lagi, dan kita belum tahu apa yang mungkin telah mereka ambil.

Selengkapnya: The Verge

Periksa apakah Anda rentan terhadap zero-day Microsoft Exchange Server menggunakan alat ini

by

Tim Microsoft Exchange Server telah merilis skrip untuk admin IT untuk memeriksa apakah sistem mereka rentan terhadap bug zero-day yang baru-baru ini diungkapkan.

Sebagaimana dicatat dalam peringatan yang diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA) AS pada hari Sabtu, tim Microsoft telah menerbitkan skrip di GitHub yang dapat memeriksa status keamanan server Exchange.

Skrip telah diperbarui untuk menyertakan indikator kompromi (IOC) yang terkait dengan empat kerentanan zero-day yang ditemukan di Microsoft Exchange Server.

Pada 2 Maret, raksasa teknologi itu memperingatkan tentang eksploitasi aktif zero-day oleh kelompok ancaman Cina yang disponsori negara bernama Hafnium. Tim Pertahanan Terkelola Mandiant FireEye juga telah melacak serangan yang sedang berlangsung terhadap organisasi AS yang memanfaatkan bug tersebut. Sejauh ini, korban termasuk entitas pemerintah daerah, universitas, dan pengecer.

Sumber: ZDNet

Qualys terlibat dalam pelanggaran Accellion FTA

by

Cakupan pelanggaran Accellion FTA kini telah meluas hingga mencakup pemasok layanan keamanan berbasis cloud Qualys, yang beberapa data pelanggannya telah dipublikasikan ke situs kebocoran web gelap yang dioperasikan oleh geng ransomware Cl0p, seperti yang dilaporkan oleh saudari kami, LeMagIT.

Qualys CISO Ben Carr mengonfirmasi insiden tersebut dalam sebuah blog pengungkapan, mengatakan bahwa perusahaan tersebut telah menggunakan teknologi transfer file warisan dalam lingkungan terpisah untuk transfer file terkait dukungan pelanggan, dan itu sama sekali tidak terhubung ke lingkungan data pelanggan produksinya, Platform Cloud Qualys.

Carr mengatakan Qualys telah menerapkan hotfix yang disediakan Accellion untuk mengamankan servernya pada 22 Desember 2020, sehari setelah dirilis, dan mengambil langkah pada saat itu untuk lebih meningkatkan keamanannya, termasuk menerapkan tambalan tambahan dan menyiapkan peringatan baru.

Pada Malam Natal, ia menerima peringatan integritas, pada saat itu ia sepenuhnya mengisolasi server yang terkena dampak dan memberikan alternatif untuk transfer file terkait dukungan.

“Qualys dan Accellion melakukan penyelidikan terperinci dan mengidentifikasi akses tidak sah ke file yang dihosting di server Accellion FTA,” kata Carr. “Berdasarkan penyelidikan ini, kami segera memberi tahu sejumlah terbatas pelanggan yang terpengaruh oleh akses tidak sah ini.

selengkapnya : ComputerWeekly

Penyedia TI maskapai diretas, data frequent flyer Star Alliance dan OneWorld dibobol

by

Peretasan perusahaan yang mengelola pemrosesan tiket dan data frequent-flyer untuk maskapai besar global – termasuk Star Alliance dan anggota OneWorld – telah membahayakan data pribadi sejumlah pelancong yang tidak ditentukan.

Para peretas dapat mengakses beberapa sistem komputer di Sistem Layanan Penumpang SITA yang berbasis di Atlanta hingga sebulan sebelum keseriusan insiden itu dikonfirmasi pada 24 Februari, kata juru bicara perusahaan induk perusahaan yang berbasis di Jenewa.

Juru bicara, Sandro Hofer, tidak mengatakan berapa banyak maskapai penerbangan yang terpengaruh – SITA mengatakan melayani lebih dari 400 maskapai penerbangan dan dimiliki oleh industri.

Perusahaan tersebut mengatakan bahwa Singapore Airlines, New Zealand Air dan Lufthansa termasuk di antara mereka yang terkena dampak.

Dikatakan Malaysia Airlines, Finnair, Japan Airlines, Cathay Pacific telah mengeluarkan pernyataan atau menghubungi anggota frequent-flyer tentang peretasan tersebut.

United Airlines mengatakan secara terpisah bahwa satu-satunya data pelanggan yang berpotensi diakses adalah nama, nomor penumpang setia, dan status program.

Ia merekomendasikan dalam email bahwa pelanggan frequent-flyer harus mengubah kata sandi akun mereka “karena sangat berhati-hati”.

selengkapnya : ABC

Malaysia Airlines mengalami ‘insiden’ keamanan data yang memengaruhi “frequent flyer members”

by

Malaysia Airlines mengalami “insiden” keamanan data yang membahayakan informasi pribadi milik anggota program frequent flyernya, Enrich. Dikatakan bahwa pelanggaran tersebut berasal dari penyedia layanan TI pihak ketiga.

Maskapai tersebut telah mengirimkan email ke anggota Enrich minggu ini, yang menyatakan bahwa pihaknya telah diberitahu tentang “insiden keamanan data” di pemasok IT pihak ketiga. Pelanggaran tersebut melibatkan “beberapa data pribadi” yang terdaftar antara Maret 2010 dan Juni 2019, dengan detail yang mencakup nama anggota, tanggal lahir, informasi kontak, dan berbagai data penumpang setia seperti nomor, status, dan tingkat tingkatan.

Maskapai mengatakan bahwa “tidak ada bukti” data pribadi apa pun yang telah disalahgunakan dan pelanggaran tersebut tidak mengungkap kata sandi akun apa pun, meskipun, itu mendesak anggota Enrich untuk mengubah kata sandi mereka sebagai tindakan pencegahan. Maskapai ini juga mengarahkan pelanggan untuk mengajukan pertanyaan apa pun yang mungkin mereka miliki secara langsung melalui email ke petugas privasi datanya.

Pada saat pers, Malaysia Airlines belum membuat pernyataan publik tentang pelanggaran keamanan atau memposting pemberitahuan di situsnya. Namun, itu tampaknya mengonfirmasi insiden di Twitter dalam balasannya kepada pelanggan.

Dalam salah satu dari beberapa tanggapan tersebut, maskapai penerbangan nasional tersebut mengatakan: “Insiden keamanan data terjadi di penyedia layanan TI pihak ketiga kami dan bukan sistem komputer Malaysia Airlines. Namun, maskapai memantau aktivitas mencurigakan apa pun terkait akun anggotanya dan di kontak terus-menerus dengan penyedia layanan TI yang terpengaruh untuk mengamankan data anggota Enrich dan menyelidiki cakupan dan penyebab insiden tersebut. ”

Ini menegaskan kembali pendiriannya bahwa tidak ada indikasi pelanggaran berdampak pada kata sandi akun apa pun, tetapi menyarankan anggota untuk mengubah kata sandi mereka sebagai tindakan pencegahan.

selengkapnya : ZDNET

Beberapa Pembaruan Keamanan Dirilis untuk Exchange Server – diperbarui 5 Maret 2021

by

Hari ini Microsoft merilis beberapa pembaruan keamanan untuk Microsoft Exchange Server untuk mengatasi kerentanan yang telah digunakan dalam serangan bertarget terbatas. Karena sifat kritis dari kerentanan ini, Microsoft menyarankan agar pelanggan segera menerapkan pembaruan ke sistem yang terpengaruh untuk melindungi dari eksploitasi ini dan untuk mencegah penyalahgunaan di masa mendatang di seluruh ekosistem. Kerentanan memengaruhi Microsoft Exchange Server. Exchange Online tidak terpengaruh.

Versi yang terpengaruh adalah:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Server Microsoft Exchange 2019

Kami menyarankan untuk memprioritaskan penginstalan pembaruan pada Server Exchange yang menghadap ke luar. Semua Server Exchange yang terpengaruh pada akhirnya harus diperbarui.

Informasi dan panduan lebih lanjut

Tidak terkait dengan serangan yang diketahui

Microsoft menyediakan teknik mitigasi alternatif berikut untuk membantu pelanggan Microsoft Exchange yang membutuhkan lebih banyak waktu untuk menambal penerapan mereka dan bersedia melakukan pertukaran risiko dan fungsi layanan.

Mitigasi pada link di atas bukanlah perbaikan jika server Exchange Anda telah disusupi, juga bukan perlindungan penuh terhadap serangan. Kami sangat menyarankan untuk menyelidiki penerapan Exchange Anda menggunakan rekomendasi berburu di sini untuk memastikan bahwa mereka tidak disusupi.

selengkapnya :