Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Zero Day

Zero Day

Mitigasi server zero-day Microsoft Exchange dapat dilewati

by

Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

  • Buka Manajer IIS.
  • Pilih Situs Web Default.
  • Di** Feature View**, klik URL Rewrite.
  • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
  • Pilih** Permintaan Pemblokiran** dan klik OK.
  • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
  • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
  • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

.*autodiscover\.json.*Powershell.*

Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

Selengkapnya: Bleeping Computer

Microsoft Exchange baru zero-day secara aktif dieksploitasi dalam serangan

by

Peneliti keamanan siber Vietnam GTSC telah menemukan pelaku ancaman mengeksploitasi bug zero-day Microsoft Exchange yang belum diungkapkan yang memungkinkan eksekusi kode jarak jauh.

Penyerang merantai sepasang zero-days untuk menyebarkan web shell China Chopper di server yang disusupi untuk kegigihan dan pencurian data, serta pindah secara lateral ke sistem lain di jaringan korban.

GTSC mencurigai bahwa kelompok ancaman China bertanggung jawab atas serangan berdasarkan halaman kode web shell, pengkodean karakter Microsoft untuk bahasa China yang disederhanakan.

Agen pengguna yang digunakan untuk menginstal web shell juga milik Antsword, alat admin situs web open-source berbasis Cina dengan dukungan manajemen web shell.

Kerentanan tersebut dilaporkan ke Microsoft secara pribadi tiga minggu lalu melalui Zero Day Initiative, yang melacak mereka sebagai ZDI-CAN-18333 dan ZDI-CAN-18802 setelah analis memvalidasi masalah tersebut.

Trend Micro merilis penasihat keamanan pada kamis malam dan mengonfirmasi bahwa mereka menyerahkan dua kerentanan zero-day Microsoft Exchange baru yang ditemukan oleh GTSC ke Microsoft.

Perusahaan telah menambahkan deteksi untuk zero-days ini ke produk IPS N-Platform, NX-Platform, atau TPS.

GTSC telah merilis sangat sedikit detail mengenai bug zero-day ini. Namun, para penelitinya mengungkapkan bahwa permintaan yang digunakan dalam rantai eksploitasi ini mirip dengan yang digunakan dalam serangan yang menargetkan kerentanan ProxyShell.

Eksploitasi bekerja dalam dua tahap:

  • Permintaan dengan format yang mirip dengan kerentanan ProxyShell: autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.
  • Penggunaan tautan di atas untuk mengakses komponen di backend tempat RCE dapat diimplementasikan.

GTSC membagikan mitigasi sementara yang akan memblokir upaya serangan dengan menambahkan aturan server IIS baru menggunakan modul Aturan Penulisan Ulang URL:

  • Di Autodiscover di FrontEnd, pilih tab URL Rewrite, lalu Request Blocking.
  • Tambahkan string “.*autodiscover\.json.*\@.*Powershell.*“ ke Jalur URL.
  • Condition input: Pilih {REQUEST_URI}

Admin yang ingin memeriksa apakah server Exchange mereka telah disusupi menggunakan eksploitasi ini dapat menjalankan perintah PowerShell berikut untuk memindai file log IIS untuk indikator kompromi:

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Sumber: Bleeping Computer

Lebih dari 280.000 Situs WordPress Diserang Menggunakan Plugin WPGateway Kerentanan Zero-Day

by

Cacat zero-day dalam versi terbaru dari plugin premium WordPress yang dikenal sebagai WPGateway sedang dieksploitasi secara aktif di alam liar, berpotensi memungkinkan aktor jahat untuk sepenuhnya mengambil alih situs yang terpengaruh.

Dilacak sebagai CVE-2022-3180 (skor CVSS: 9,8), masalah ini dipersenjatai untuk menambahkan pengguna administrator jahat ke situs yang menjalankan plugin WPGateway, kata perusahaan keamanan WordPress Wordfence.

WPGateway ditagih sebagai sarana bagi administrator situs untuk menginstal, mencadangkan, dan mengkloning plugin dan tema WordPress dari dasbor terpadu.

Indikator paling umum bahwa situs web yang menjalankan plugin telah disusupi adalah adanya administrator dengan nama pengguna “rangex.”

Selain itu, munculnya permintaan ke “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” di log akses adalah tanda bahwa situs WordPress telah ditargetkan menggunakan cacat, meskipun itu tidak selalu menyiratkan pelanggaran yang berhasil.

Wordfence mengatakan telah memblokir lebih dari 4,6 juta serangan yang mencoba memanfaatkan kerentanan terhadap lebih dari 280.000 situs dalam 30 hari terakhir.

Rincian lebih lanjut tentang kerentanan telah dirahasiakan karena eksploitasi aktif dan untuk mencegah aktor lain mengambil keuntungan dari kekurangan tersebut. Dengan tidak adanya tambalan, pengguna disarankan untuk menghapus plugin dari instalasi WordPress mereka hingga perbaikan tersedia.

Perkembangan ini terjadi beberapa hari setelah Wordfence memperingatkan penyalahgunaan di alam liar dari cacat zero-day lainnya di plugin WordPress yang disebut BackupBuddy.

Pengungkapan juga tiba saat Sansec mengungkapkan bahwa aktor ancaman masuk ke sistem lisensi ekstensi FishPig, vendor integrasi Magento-WordPress yang populer, untuk menyuntikkan kode berbahaya yang dirancang untuk menginstal trojan akses jarak jauh yang disebut Rekoobe.

Sumber: The Hackernews

Pembaruan Keamanan Terbaru Microsoft Memperbaiki 64 Kelemahan Baru, Termasuk Zero-Day

by

Microsoft telah merilis perbaikan keamanan untuk kerentanan zero-day yang memengaruhi semua versi Windows yang didukung yang telah dieksploitasi dalam serangan di dunia nyata.

Bug zero-day, dilacak sebagai CVE-2022-37969, digambarkan sebagai peningkatan cacat hak istimewa di Windows Common Log File System Driver, subsistem yang digunakan untuk data dan pencatatan peristiwa. Bug memungkinkan penyerang untuk mendapatkan tingkat akses tertinggi, yang dikenal sebagai hak istimewa sistem, ke perangkat yang rentan.

Microsoft mengatakan pengguna yang menjalankan Windows 11 dan sebelumnya, dan Windows Server 2008 dan Windows Server 2012, terpengaruh. Windows 7 juga akan menerima patch keamanan, meskipun tidak lagi didukung pada tahun 2020.

Microsoft mengatakan cacat tersebut mengharuskan penyerang sudah memiliki akses ke perangkat yang disusupi, atau kemampuan untuk menjalankan kode pada sistem target.

Microsoft memuji empat kelompok peneliti yang berbeda dari CrowdStrike, DBAPPSecurity, Mandiant, dan Zscaler karena melaporkan kesalahan tersebut, yang mungkin merupakan eksploitasi yang meluas di alam pembohong.

Dhanesh Kizhakkinan, kerentanan bagian utama senior di Mandiant, mengatakan kepada TechCrunch bahwa perusahaan menemukan bug “selama misi pencarian eksploitasi Offensive Task Force proaktif,” menambahkan bahwa eksploitasi mandiri dan bukan dari rantai serangan.

Microsoft tidak membagikan detail tentang serangan yang mengeksploitasi kerentanan ini dan tidak menanggapi permintaan komentar kami.

Perbaikan tersebut masuk kebagian dari rilis bulanan perbaikan keamanan Microsoft Patch Tuesday, yang mencakup total 63 kerentanan di berbagai produk Microsoft, termasuk Microsoft Edge, Office, dan Windows Defender.

Microsoft juga merilis patch untuk cacat zero-day kedua, dilacak sebagai CVE-2022-23960, yang diprediksi sebagai kerentanan cache yang dikenal sebagai “Spectre-BHB” yang memengaruhi Windows 11 untuk sistem berbasis ARM. Spectre-BHB adalah varian dari kerentanan Spectre v2, yang memungkinkan penyerang mencuri data dari memori.

Sumber: TechCrunch

Apple memperbaiki zero-day kedelapan yang digunakan untuk meretas iPhone dan Mac tahun ini

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day kedelapan yang digunakan dalam serangan terhadap iPhone dan Mac sejak awal tahun.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan yang mengatakan kelemahan keamanan ini “mungkin telah dieksploitasi secara aktif.”

Bug (dilacak sebagai CVE-2022-32917) dapat memungkinkan aplikasi yang dibuat dengan jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Dilaporkan ke Apple oleh peneliti anonim, masalah ini ditangani di iOS 15.7 dan iPadOS 15.7, macOS Monterey 12.6, dan macOS Big Sur 11.7 dengan pemeriksaan batas yang ditingkatkan.

Daftar lengkap perangkat yang terkena dampak meliputi:

  • iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
  • Mac yang menjalankan macOS Big Sur 11.7 dan macOS Monterey 12.6

Apple juga mem-backport patch untuk zero-day lainnya (CVE-2022-32894) ke Mac yang menjalankan macOS Big Sur 11.7 setelah merilis pembaruan keamanan tambahan pada 31 Agustus untuk mengatasi bug yang sama pada versi iOS yang berjalan di iPhone dan iPad lama.

Meskipun Apple mengungkapkan eksploitasi aktif kerentanan ini di alam liar, perusahaan belum merilis informasi apa pun mengenai serangan ini.

Dengan menolak untuk merilis info ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pelanggan untuk menambal perangkat mereka sebelum penyerang lain mengembangkan eksploitasi mereka sendiri dan mulai menyebarkannya dalam serangan yang menargetkan iPhone dan Mac yang rentan.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang sangat bertarget, menginstal pembaruan keamanan sesegera mungkin masih sangat disarankan untuk memblokir upaya serangan.

Sumber: Bleeping Computer

QNAP menambal zero-day yang digunakan dalam serangan ransomware Deadbolt baru

by

QNAP memperingatkan pelanggan tentang serangan ransomware DeadBolt yang sedang berlangsung yang dimulai pada hari Sabtu dengan mengeksploitasi kerentanan zero-day di Photo Station.

Serangan tersebar luas, dengan layanan ID Ransomware melihat lonjakan pengiriman pada hari Sabtu dan Minggu.

QNAP merilis pembaruan keamanan Photo Station 12 jam setelah DeadBolt mulai menggunakan kerentanan zero-day dalam serangan, mendesak pelanggan NAS untuk segera memperbarui Photo Station ke versi terbaru.

Pembaruan keamanan berikut memperbaiki kerentanan:

QTS 5.0.1: Stasiun Foto 6.1.2 dan yang lebih baru
QTS 5.0.0/4.5.x: Photo Station 6.0.22 dan yang lebih baru
QTS 4.3.6: Stasiun Foto 5.7.18 dan yang lebih baru
QTS 4.3.3: Stasiun Foto 5.4.15 dan yang lebih baru
QTS 4.2.6: Stasiun Foto 5.2.14 dan yang lebih baru

Atau, QNAP menyarankan pengguna mengganti Photo Station dengan QuMagie, alat manajemen penyimpanan foto yang lebih aman untuk perangkat QNAP NAS.

Menerapkan pembaruan keamanan akan mencegah ransomware DeadBolt dan pelaku ancaman lainnya mengeksploitasi kerentanan dan mengenkripsi perangkat. Namun, perangkat NAS tidak boleh diekspos secara publik ke Internet dan sebagai gantinya ditempatkan di belakang firewall.

Pelanggan QNAP dapat menemukan petunjuk terperinci tentang penerapan pembaruan yang tersedia dan pengaturan myQNAPcloud di penasihat keamanan.

Terakhir, disarankan untuk menggunakan kata sandi yang kuat pada semua akun pengguna NAS dan mengambil snapshot secara teratur untuk mencegah kehilangan data jika terjadi serangan.

Geng ransomware DeadBolt telah menargetkan perangkat NAS sejak Januari 2022, menggunakan dugaan kerentanan zero-day pada perangkat NAS yang terpapar Internet.

Operasi ransomware melakukan serangan lebih lanjut pada perangkat QNAP pada Mei dan Juni 2022.

Catatan tebusan DeadBolt
Sumber: BleepingComputer

Sebelumnya pada bulan Februari, DeadBolt mulai menargetkan perangkat ASUSTOR NAS menggunakan kerentanan zero-day yang mereka coba jual ke vendor seharga 7,5 Bitcoin.

Dalam sebagian besar serangan ini, DeadBolt menuntut pembayaran lebih dari seribu USD dari pengguna yang terkena dampak sebagai ganti decryptor yang berfungsi.

Namun, kelompok ransomware NAS lainnya menuntut jumlah yang lebih signifikan dari korban mereka.

Ransomware Checkmate menargetkan produk QNAP NAS pada bulan Juli, menuntut korban membayar $15.000.

Sumber: Bleeping Computer

Microsoft menambal Windows DogWalk zero-day yang dieksploitasi dalam serangan

by

Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day Windows dengan tingkat keparahan tinggi dengan kode eksploitasi yang tersedia untuk umum dan disalahgunakan dalam serangan.

Diperbaiki sebagai bagian dari Patch Agustus 2022 Selasa, kelemahan keamanan ini sekarang dilacak CVE-2022-34713 dan bercanda bernama DogWalk.

Hal ini karena kelemahan jalur traversal di Windows Support Diagnostic Tool (MSDT) yang dapat dimanfaatkan penyerang untuk mendapatkan eksekusi kode jarak jauh pada sistem yang disusupi.

Mereka dapat melakukannya dengan menambahkan executable yang dibuat dengan jahat ke Startup Windows ketika target membuka file .diagcab yang dibuat dengan jahat (diterima melalui email atau diunduh dari web).

Eksekusi yang ditanam kemudian akan secara otomatis dieksekusi pada saat korban me-restart perangkat Windows mereka untuk melakukan berbagai tugas seperti mengunduh muatan malware tambahan.

DogWalk diungkapkan secara terbuka oleh peneliti keamanan Imre Rad lebih dari dua tahun lalu, pada Januari 2020, setelah Microsoft menjawab laporannya dengan mengatakan itu tidak akan memberikan perbaikan karena ini bukan masalah keamanan.

Namun, bug Alat Diagnostik Dukungan Microsoft baru-baru ini ditemukan kembali dan dibawa kembali ke perhatian publik oleh peneliti keamanan j00sean.

Sementara penyerang yang tidak diautentikasi dapat mengeksploitasi kerentanan dalam serangan dengan kompleksitas rendah, eksploitasi yang berhasil memang memerlukan interaksi pengguna (menipu target untuk membuka lampiran email berbahaya atau mengklik tautan untuk mengunduh dan menjalankan file berbahaya).

Menurut Microsoft, DogWalk memengaruhi semua versi Windows yang didukung, termasuk rilis klien dan server terbaru, Windows 11 dan Windows Server 2022.

Bulan lalu, Microsoft terpaksa menerbitkan nasihat keamanan resmi mengenai Windows MSDT zero-day lainnya (dikenal sebagai Follina) setelah menolak laporan awal dan menandainya sebagai bukan “masalah terkait keamanan.”

Hari ini, perusahaan juga merilis pembaruan keamanan untuk mengatasi zero-day yang diungkapkan secara publik yang dilacak sebagai ‘CVE-2022-30134 – Kerentanan Pengungkapan Informasi Microsoft Exchange,’ yang memungkinkan penyerang membaca pesan email yang ditargetkan.

Secara keseluruhan, Microsoft menambal 112 kerentanan sebagai bagian dari Patch Selasa 2022 Agustus, termasuk 17 kerentanan kritis yang memungkinkan eksekusi kode jarak jauh dan eskalasi hak istimewa.

Sumber: Bleeping Computer

Microsoft: Windows, Adobe zero-days digunakan untuk menyebarkan malware Subzero

by

Microsoft telah menghubungkan kelompok ancaman yang dikenal sebagai Knotweed ke vendor spyware Austria yang juga beroperasi sebagai tentara bayaran cyber bernama DSIRF yang menargetkan entitas Eropa dan Amerika Tengah menggunakan perangkat malware yang dijuluki Subzero.

Di situs webnya, DSIRF mempromosikan dirinya sebagai perusahaan yang menyediakan penelitian informasi, forensik, dan layanan intelijen berbasis data kepada perusahaan.

Namun, itu telah dikaitkan dengan pengembangan malware Subzero yang dapat digunakan pelanggannya untuk meretas ponsel, komputer, dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020 terkait dengan DSIRF, termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mementaskan malware Subzero.

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

Beberapa serangan Knotweed yang diamati oleh Microsoft telah menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris, dan Panama.

Pada perangkat yang disusupi, penyerang menyebarkan Corelump, muatan utama yang berjalan dari memori untuk menghindari deteksi, dan Jumplump, pemuat malware yang sangat disamarkan yang mengunduh dan memuat Corelump ke dalam memori.

Payload Subzero utama memiliki banyak kemampuan, termasuk keylogging, menangkap tangkapan layar, mengekstrak data, dan menjalankan shell jarak jauh dan plugin arbitrer yang diunduh dari server perintah-dan-kontrolnya.

Pada sistem di mana Knotweed menyebarkan malware-nya, Microsoft telah mengamati berbagai tindakan pasca-kompromi, termasuk:

  • Pengaturan UseLogonCredential ke “1” untuk mengaktifkan kredensial teks biasa
  • Pembuangan kredensial melalui comsvcs.dll
  • Mencoba mengakses email dengan kredensial yang dibuang dari alamat IP KNOTWEED
  • Menggunakan Curl untuk mengunduh perkakas KNOTWEED dari berbagi file publik seperti vultrobjects[.]com
  • Menjalankan skrip PowerShell langsung dari inti GitHub yang dibuat oleh akun yang terkait dengan DSIRF
  • Di antara zero-days yang digunakan dalam kampanye Knotweed, Microsoft menyoroti CVE-2022-22047 yang baru-baru ini ditambal, yang membantu penyerang meningkatkan hak istimewa, keluar dari kotak pasir, dan mendapatkan eksekusi kode tingkat sistem.

Tahun lalu, Knotweed juga menggunakan rantai eksploitasi yang terbuat dari dua eksploitasi eskalasi hak istimewa Windows (CVE-2021-31199 dan CVE-2021-31201) bersama dengan eksploitasi Adobe Reader (CVE-2021-28550), semuanya ditambal pada bulan Juni 2021.

Pada tahun 2021, kelompok cybermercenary juga dikaitkan dengan eksploitasi zero-day keempat, cacat eskalasi hak istimewa Windows di Layanan Medis Pembaruan Windows (CVE-2021-36948) yang digunakan untuk memaksa layanan memuat DLL yang ditandatangani secara sewenang-wenang.

Untuk mempertahankan diri dari serangan tersebut, Microsoft menyarankan pelanggan untuk:

  • Prioritaskan patching CVE-2022-22047.
  • Konfirmasikan bahwa Microsoft Defender Antivirus diperbarui ke pembaruan intelijen keamanan 1.371.503.0 atau lebih baru untuk mendeteksi indikator terkait.
  • Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
  • Ubah pengaturan keamanan makro Excel untuk mengontrol makro mana yang dijalankan dan dalam situasi apa saat Anda membuka buku kerja. Pelanggan juga dapat menghentikan makro XLM atau VBA berbahaya dengan memastikan pemindaian makro runtime oleh Antimalware Scan Interface (AMSI) aktif.
  • Aktifkan autentikasi multifaktor (MFA) untuk mengurangi kredensial yang berpotensi disusupi dan memastikan bahwa MFA diterapkan untuk semua konektivitas jarak jauh.
  • Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus pada akun yang dikonfigurasi dengan otentikasi satu faktor, untuk mengonfirmasi keaslian dan menyelidiki aktivitas abnormal apa pun.

Selengkapnya : Bleeping Computer