Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Windows

Windows

Peretas SolarWinds mengakses source code Microsoft, kata perusahaan itu

by

WASHINGTON (Reuters) -Kelompok peretas di balik kompromi SolarWinds mampu membobol Microsoft Corp dan mengakses beberapa source code-nya, kata Microsoft pada Kamis, sesuatu yang dikatakan para ahli mengirimkan sinyal mengkhawatirkan tentang ambisi mata-mata.

source code – sekumpulan instruksi mendasar yang menjalankan perangkat lunak atau sistem operasi – biasanya merupakan salah satu rahasia perusahaan teknologi yang paling dijaga ketat dan Microsoft secara historis sangat berhati-hati dalam melindunginya.

Tidak jelas seberapa banyak atau bagian mana dari repositori source code Microsoft yang dapat diakses peretas, tetapi pengungkapan tersebut menunjukkan bahwa peretas yang menggunakan perusahaan perangkat lunak SolarWinds sebagai batu loncatan untuk masuk ke jaringan sensitif pemerintah AS juga memiliki kepentingan untuk menemukan cara kerja internal produk Microsoft juga.

Memodifikasi source code – yang menurut Microsoft tidak dilakukan oleh peretas – dapat menimbulkan konsekuensi yang berpotensi bencana mengingat produk Microsoft ada di mana-mana, yang mencakup rangkaian produktivitas Office dan sistem operasi Windows. Tetapi para ahli mengatakan bahwa bahkan hanya dengan dapat meninjau kode dapat menawarkan wawasan peretas yang dapat membantu mereka menumbangkan produk atau layanan Microsoft.

source code adalah cetak biru arsitektural tentang bagaimana perangkat lunak itu dibuat,” kata Andrew Fife dari Cycode yang berbasis di Israel, sebuah perusahaan perlindungan source code.

“Jika Anda memiliki cetak birunya, jauh lebih mudah untuk merekayasa serangan.”

sumber : Reuters

Peretas Rusia yang dicurigai menggunakan vendor Microsoft untuk membobol pelanggan

by

WASHINGTON (Reuters) – Tersangka peretas Rusia di balik serangan dunia maya AS yang terburuk dalam beberapa tahun memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target yang tidak memiliki perangkat lunak jaringan yang dikompromikan dari SolarWinds Corp, kata penyelidik.

Sementara pembaruan pada perangkat lunak Orion SolarWinds sebelumnya adalah satu-satunya titik masuk yang diketahui, perusahaan keamanan CrowdStrike Holdings Inc mengatakan hari Kamis peretas telah memenangkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike. Itu tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang menyusupi SolarWinds, tetapi dua orang yang mengetahui penyelidikan CrowdStrike mengatakan mereka.

CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email. Upaya yang gagal, yang dilakukan beberapa bulan lalu, ditunjukkan ke CrowdStrike oleh Microsoft pada 15 Desember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan tidak menemukan dampak dari upaya intrusi dan menolak menyebutkan nama resellernya.

Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga, dan perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan. Microsoft mengatakan pada hari Kamis bahwa pelanggan tersebut perlu waspada.

Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia, yang mereka miliki.

sumber : Reuters

Ransomware menyamar sebagai versi seluler Cyberpunk 2077

by

Aktor ancaman mendistribusikan installer Windows dan Android palsu game Cyberpunk 2077 yang berisi ransomware CoderWare.

Untuk mengelabui pengguna agar memasang malware, pelaku ancaman biasanya mendistribusikannya sebagai gamer installer, cheats, dan crack untuk software copyright.

Minggu ini, analis malware Kaspersky Tatyana Shishkova menemukan ransomware Android yang menyamar sebagai versi seluler dari game Cyberpunk 2077. Game tersebut didistribusikan dari situs web palsu yang meniru Google Play Store yang sah.

Sumber: BleepingComputer

Shishkova menulis di akun Twitter nya bahwa ransomware CoderWare menggunakan kunci hardcode, yang berarti decryptor dapat dibuat jika perlu untuk memulihkan file secara gratis.

Ransomware ini sama dengan yang ditemukan oleh MalwareHunterTeam pada bulan November yang menyamar sebagai installer Windows Cyberpunk 2077. Seperti versi Android, ransomware ini menyebut dirinya CoderWare tetapi merupakan varian dari ransomware BlackKingdom.

Seperti yang Anda lihat, saat mencoba menginstal perangkat lunak berhak cipta secara gratis, Anda menghadapi risiko besar adanya infeksi malware. Risiko ini bahkan lebih signifikan ketika Anda mencoba memasang aplikasi Android dari toko aplikasi pihak ketiga.

Sumber: Bleeping Computer

Trojan Windows Baru Mencuri Kredensial Browser, Outlook Files

by

Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan sistem Microsoft Windows dengan kemampuan eksfiltrasi data yang hebat – mulai dari mengumpulkan kredensial browser hingga menargetkan file Outlook.

Trojan, yang disebut PyMicropsia (karena dibuat dengan Python) telah dikembangkan oleh kelompok ancaman AridViper, kata peneliti, yang dikenal sering menargetkan organisasi di Timur Tengah.

“AridViper adalah kelompok ancaman aktif yang terus mengembangkan alat baru sebagai bagian dari persenjataan mereka,” kata peneliti dari tim Unit42 Palo Alto dalam sebuah analisis.

Peneliti juga mengatakan bahwa ada beberapa bagian dari malware yang belum digunaka, menandakan bahwa malware masih dalam tahap pengembangan.

Kemampuan trojan info-stealer ini mencakup pengunggahan file, pengunduhan/eksekusi muatan, pencurian kredensial browser (dan kemampuan untuk menghapus riwayat dan profil penjelajahan), mengambil tangkapan layar dan keylogging.

Selain itu, malware juga dapat mengumpulkan informasi file listing, menghapus file, menyalakan ulang mesin, mengumpulkan informasi dari drive USB dan merekam audio; serta memanen file Outlook .OST dan mematikan/menonaktifkan proses Outlook. File OST mungkin berisi pesan email, kontak, tugas, data kalender, dan informasi akun lainnya.

Meskipun PyMicropsia dirancang untuk menargetkan sistem operasi Windows saja, peneliti menemukan cuplikan dalam kode yang memeriksa sistem operasi lain (seperti “posix” atau “darwin”). Posix, atau Portable Operating System Interface, adalah keluarga standar yang digunakan untuk menjaga kompatibilitas antara sistem operasi; dan Darwin sebuah sistem operasi mirip Unix.

Sumber: The Threat Post

Ransomware RegretLocker baru menargetkan mesin virtual Windows

by

Ransomware baru bernama RegretLocker menggunakan berbagai fitur canggih yang memungkinkannya mengenkripsi hard drive virtual dan menutup file yang terbuka untuk enkripsi. RegretLocker ditemukan pada bulan Oktober dan merupakan ransomware sederhana dalam hal tampilan karena tidak berisi catatan tebusan bertele-tele dan menggunakan email untuk komunikasi daripada situs pembayaran Tor. Saat mengenkripsi file, itu akan menambahkan ekstensi .mouse yang terdengar tidak berbahaya ke nama file yang dienkripsi.

Apa yang kurang dalam penampilannya, bagaimanapun, itu menggantikan fitur-fitur canggih yang biasanya tidak kita lihat dalam infeksi ransomware, seperti di bawah ini.

RegretLocker memasang hard disk virtual. Saat membuat mesin virtual Windows Hyper-V, hard disk virtual dibuat dan disimpan dalam file VHD atau VHDX. File hard disk virtual ini berisi image disk mentah, termasuk tabel partisi dan partisi drive, dan seperti drive disk biasa, ukurannya dapat berkisar dari beberapa gigabyte hingga terabyte. Ketika ransomware mengenkripsi file di komputer, tidak efisien untuk mengenkripsi file besar karena memperlambat kecepatan seluruh proses enkripsi.

Dalam sampel ransomware yang ditemukan oleh MalwareHunterTeam dan dianalisis oleh Vitali Kremez dari Intel Canggih, RegretLocker menggunakan teknik menarik untuk memasang file disk virtual sehingga setiap filenya dapat dienkripsi secara individual. Setelah drive virtual dipasang sebagai disk fisik di Windows, ransomware dapat mengenkripsi masing-masing satu per satu, yang meningkatkan kecepatan enkripsi. Selain menggunakan Virtual Storage API, RegretLocker juga menggunakan Windows Restart Manager API untuk menghentikan proses atau layanan Windows yang membuat file tetap terbuka selama enkripsi. Saat menggunakan API ini, Kremez memberi tahu BleepingComputer jika nama suatu proses berisi ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’, atau ‘svchost.exe’, ransomware tidak akan menghentikannya. Daftar pengecualian ini kemungkinan besar digunakan untuk mencegah penghentian program kritis atau yang digunakan oleh pelaku ancaman untuk mengakses sistem yang dikompromikan.

Fitur Windows Restart Manager hanya digunakan oleh beberapa ransomware seperti REvil (Sodinokibi), Ryuk, Conti, ThunderX / Ako, Medusa Locker, SamSam, dan LockerGoga. RegretLocker tidak terlalu aktif saat ini, tetapi ini adalah keluarga baru yang perlu kita awasi.

sumber : BleepingComputer

VMware Memberi Perbaikan untuk Bug Zero-Day yang Sebelumnya Kritis

by

VMware telah menambal bug zero-day yang terungkap pada akhir November – escalation-of-privileges yang memengaruhi Workspace One dan platform lainnya, untuk sistem operasi Windows dan Linux. VMware juga telah merevisi peringkat keparahan CVSS untuk bug menjadi “penting”, turun dari kritis.

Cybersecurity and Infrastructure Security Agency (CISA) A.S. awalnya menandai kerentanan keamanan yang belum ditambal pada 23 November, yang memengaruhi 12 versi VMware di seluruh portofolio Cloud Foundation, Identity Manager, vRealize Suite Lifecycle Manager, dan Workspace One. Itu dilaporkan ke perusahaan oleh National Security Agency (NSA).

Dilacak sebagai CVE-2020-4006, bug tersebut memungkinkan injeksi perintah, menurut nasihat perusahaan. Meskipun bug tersebut awalnya diberi nilai 9,1 dari 10 pada skala keparahan CVSS, penyelidikan lebih lanjut menunjukkan bahwa penyerang mana pun akan memerlukan kata sandi yang disebutkan dalam pembaruan, membuatnya jauh lebih sulit untuk dieksploitasi secara efektif. Peringkatnya sekarang 7,2, menjadikannya “penting” daripada “kritis”.

“Akun ini bersifat internal untuk produk yang terkena dampak dan kata sandi ditetapkan pada saat penerapan,” menurut penasehat. “Aktor jahat harus memiliki sandi ini untuk mencoba mengeksploitasi CVE-2020-4006.” Kata sandi perlu diperoleh melalui taktik seperti phishing atau brute forcing / credential stuffing, tambahnya.

Saat kerentanan terungkap pada bulan November, perusahaan mengeluarkan solusi “untuk solusi sementara guna mencegah eksploitasi CVE-2020-4006”, dengan konsekuensi bahwa perubahan pengaturan yang dikelola konfigurator dapat dilakukan saat solusi tersebut diterapkan.

sumber : ThreatPost

Microsoft akan menghadirkan aplikasi Android ke Windows dan Microsoft Store

by

Melalui Project Latte, Microsoft sedang mengerjakan solusi perangkat lunak yang akan memungkinkan pengembang aplikasi untuk membawa aplikasi Android mereka ke Windows 10 dengan sedikit atau tanpa perubahan kode dengan mengemasnya sebagai MSIX dan memungkinkan pengembang untuk mengirimkannya ke Microsoft Store.

Sebelumnya, Microsoft telah bermain-main dengan gagasan membawa aplikasi Android ke Windows 10 melalui proyek Astoria yang tidak pernah terwujud. Project Latte bertujuan untuk memberikan produk serupa, dan kemungkinan besar didukung oleh Subsistem Windows untuk Linux (WSL.) Microsoft perlu menyediakan subsistem Androidnya sendiri agar aplikasi Android benar-benar berjalan.

Project Latte tidak akan menyertakan dukungan untuk Layanan Play, karena Google tidak mengizinkan Layanan Play diinstal pada apa pun selain perangkat Android asli dan Chrome OS.

Microsoft telah menjelaskan dalam beberapa tahun terakhir bahwa mereka tidak lagi menganggap aplikasi Windows asli sebagai yang hal terpenting dalam pengembangan aplikasi pada platform. Microsoft sekarang menyambut banyak platform aplikasi, termasuk PWA, UWP, Win32, Linux (melalui WSL) dan segera, aplikasi Android.

Dengan asumsi Microsoft tidak membatalkan rencananya dengan Project Latte, membawa aplikasi Android ke platform akan membuat Windows 10 menjadi OS yang hampir universal dalam hal dukungan aplikasi.

Menurut Windows Central, Microsoft berharap untuk mengumumkan Project Latte tahun depan, dan dapat dikirimkan sebagai bagian dari rilis Windows 10 musim gugur 2021.

Sumber: Windows Central

Peneliti keamanan secara tidak sengaja menemukan zero-day Windows 7 dan Windows Server 2008

by

Seorang peneliti keamanan Prancis secara tidak sengaja menemukan kerentanan zero-day yang memengaruhi sistem operasi Windows 7 dan Windows Server 2008 R2 saat mengerjakan pemutakhiran alat keamanan Windows.

Kerentanan berada pada dua registry key yang salah dikonfigurasi untuk RPC Endpoint Mapper dan layanan DNSCache yang merupakan bagian dari semua penginstalan Windows.

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Peneliti keamanan Prancis Clément Labro, yang menemukan zero-day, mengatakan bahwa penyerang yang memiliki pijakan pada sistem yang rentan dapat memodifikasi registry key ini untuk mengaktifkan sub-key yang biasanya digunakan oleh mekanisme Windows Performance Monitoring.

Subkey “Performance” biasanya digunakan untuk memantau kinerja aplikasi, dan, karena perannya, subkey ini juga memungkinkan pengembang memuat file DLL mereka sendiri untuk melacak kinerja menggunakan alat khusus.

Sementara pada versi Windows terbaru, DLL ini biasanya dibatasi dan dimuat dengan hak istimewa terbatas, Labro mengatakan bahwa pada Windows 7 dan Windows Server 2008, masih mungkin untuk memuat DLL khusus yang berjalan dengan hak istimewa tingkat SISTEM.

Baik Windows 7 dan Windows Server 2008 R2 telah secara resmi mencapai end of life (EOL) dan Microsoft telah berhenti menyediakan pembaruan keamanan gratis. Beberapa pembaruan keamanan tersedia untuk pengguna Windows 7 melalui program dukungan berbayar ESU (Extended Support Updates) perusahaan, tetapi tambalan untuk masalah ini belum dirilis.

Sumber: ZDNet