Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Geng Ransomware meningkatkan upaya untuk meminta orang dalam untuk menyerang

by

Sebuah survei terhadap 100 perusahaan IT Amerika Utara besar (lebih dari 5.000 karyawan) menunjukkan bahwa pelaku ransomware melakukan upaya yang lebih besar untuk merekrut orang dalam di perusahaan yang ditargetkan untuk membantu dalam serangan.

Dibandingkan dengan survei sebelumnya, terdapat peningkatan 17% dalam jumlah karyawan yang menawarkan uang untuk membantu serangan ransomware terhadap majikan mereka.

Persentase perusahaan yang didekati oleh pelaku ransomware
Sumber: Hitachi ID

Pelaku ancaman biasanya menggunakan email dan media sosial untuk menghubungi karyawan, tetapi 27% dari upaya pendekatan mereka dilakukan melalui panggilan telepon, cara kontak langsung dan berani.

Adapun uang yang ditawarkan kepada karyawan, sebagian besar menerima tawaran di bawah $500.000, tetapi beberapa proposal berada di utara satu juta USD.

Jumlah yang ditawarkan kepada karyawan nakal
Sumber: Hitachi ID

Sebagaimana tercermin dalam temuan survei Hitachi ID, ancaman orang dalam umumnya diabaikan, diremehkan, dan tidak diperhitungkan saat mengembangkan rencana keamanan siber.

Ketika eksekutif TI ditanyai tentang seberapa khawatir mereka tentang ancaman internal, 36% menjawab dengan lebih khawatir tentang ancaman eksternal, dengan 3% tidak khawatir tentang ancaman sama sekali.

Apa yang eksekutif TI pikirkan tentang ancaman orang dalam
Sumber: Hitachi ID

CISA merilis alat yang dapat membantu perusahaan menilai sikap mereka terhadap ancaman orang dalam pada September 2021, memperingatkan bahwa tren tertentu sedang meningkat.

Entitas yang memutuskan untuk meningkatkan pelatihan karyawan dan mengirim email palsu kepada karyawan di area kritis dengan laporan karyawan yang tidak puas atau indikator kinerja rendah. Namun, sebagian besar belum menerapkan langkah-langkah keamanan khusus untuk mengatasi masalah tersebut.

Fakta bahwa Amerika Serikat sedang mengalami lonjakan berhenti dari pekerjaan yang disebut “Pengunduran Diri Hebat” meningkatkan peluang keberhasilan bagi aktor ransomware dalam negosiasi yang aneh ini.

Banyak orang yang merasa stres berlebihan, dibayar rendah, dieksploitasi, kelelahan, atau merasa bahwa pekerjaan tidak lagi sepadan dengan waktu dan energi mereka.

Orang-orang ini terlihat sebagai kandidat ideal untuk geng ransomware yang membujuk mereka dengan bayaran besar untuk menjadi kaki tangan jangka pendek.

Sumber : Bleeping Computer

Singapura mendorong untuk memperkenalkan langkah-langkah keamanan di tengah penipuan perbankan online

by

Bank dan lembaga keuangan di Singapura menerapkan langkah-langkah keamanan baru yang telah diamanatkan menyusul serangkaian penipuan SMS phishing yang menghapus beberapa korban dari tabungan hidup mereka. Langkah-langkah ini termasuk penghapusan hyperlink dari email atau pesan SMS yang dikirim ke konsumen dan penundaan 12 jam dalam mengaktifkan token perangkat lunak seluler.

Otoritas Moneter Singapura (MAS) dan Asosiasi Bank di Singapura (ABS) mengatakan bahwa langkah-langkah tambahan bertujuan untuk memperkuat keamanan perbankan digital, mengingat penipuan baru-baru ini yang menargetkan pelanggan bank.

Penipuan SMS-phishing melibatkan setidaknya 469 pelanggan OCBC Bank dan mengakibatkan kerugian lebih dari SG$8,5 juta, dengan kerugian S$2,7 juta saja selama tiga hari akhir pekan Natal. Beberapa korban dilaporkan kehilangan tabungan hidup mereka, termasuk seorang pria berusia 43 tahun yang rekeningnya dihapus sebesar S$500.000, seorang insinyur perangkat lunak berusia 38 tahun yang kehilangan S$250.000, dan eksekutif keuangan berusia 33 tahun yang memilikinya. akun dikosongkan sebesar S$68.000.

Scammers memanipulasi detail ID Pengirim SMS yang tampaknya berasal dari OCBC. Pesan SMS ini mendorong para korban untuk menyelesaikan masalah dengan akun mereka, mengarahkan mereka ke situs web phishing dan menginstruksikan mereka untuk memasukkan detail login bank mereka, termasuk nama pengguna, PIN, dan One-Time Password (OTP).

Karena ID Pengirim OCBC yang sah berhasil dikloning, dan dipalsukan, pesan-pesan ini muncul di utas yang sama dengan peringatan atau pemberitahuan sebelumnya dari bank, membuat para korban percaya bahwa itu sah.

Pelanggan OCBC yang terkena dampak juga menyatakan frustrasi atas bagaimana mereka ditahan dalam upaya mereka untuk menghubungi hotline bank dan akun mereka dikunci, setelah mereka menerima pemberitahuan transfer pembayaran dan permintaan untuk meningkatkan batas transaksi mereka yang tidak pernah mereka lakukan.

Bank-bank lokal dengan berkonsultasi dengan MAS, akan berupaya menerapkan langkah-langkah yang lebih ketat dalam dua minggu ke depan. Ini akan mencakup pengaturan ambang default pemberitahuan transaksi transfer dana pada S$100 atau lebih rendah dan memicu pemberitahuan ke nomor ponsel atau email yang ada yang terdaftar di bank, setiap kali ada permintaan untuk mengubah nomor ponsel atau alamat email pelanggan.

Bank juga harus membentuk tim bantuan pelanggan yang berdedikasi dan “bersumber daya baik” untuk menangani umpan balik pelanggan tentang kasus penipuan potensial, kata MAS. Regulator menambahkan bahwa perlindungan lebih lanjut, seperti memberlakukan periode pendinginan sebelum permintaan untuk perubahan akun utama, termasuk detail kontak pelanggan, harus diterapkan.

Selain itu, bank akan bekerja sama dengan MAS, penegak hukum setempat, dan Otoritas Pengembangan Media Infokom (IMDA) untuk menangani “momok penipuan” saat ini. Ini akan termasuk bekerja pada langkah-langkah yang lebih permanen untuk memerangi spoofing SMS, termasuk adopsi registri ID Pengirim SMS oleh semua pemangku kepentingan terkait, kata MAS.

OCBC mengatakan semua pelanggan yang terkena penipuan SMS phishing akan menerima “pembayaran niat baik penuh” yang terdiri dari jumlah yang hilang. Ini terjadi setelah pernyataan bahwa mereka mulai melakukan “pembayaran niat baik” sejak 8 Januari, tetapi tidak menentukan apakah ini mencakup seluruh jumlah pelanggan yang hilang.

Sumber : ZDnet dan MAS

Google Mendeskripsikan Dua Bug Zero-Day yang Dilaporkan di Klien Zoom dan Server MMR

by

Eksplorasi permukaan serangan nol klik untuk solusi konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan, mengeksekusi kode berbahaya, dan bahkan membocorkan area sewenang-wenang dari memorinya.

Natalie Silvanovich dari Google Project Zero, yang menemukan dan melaporkan dua kekurangan tahun lalu, mengatakan masalah tersebut berdampak pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten audio dan video antara klien dalam penyebaran di tempat.

Kelemahan sejak itu telah ditangani oleh Zoom sebagai bagian dari pembaruan yang dikirim pada 24 November 2021.

Tujuan dari serangan nol-klik adalah untuk diam-diam mendapatkan kontrol atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna, seperti mengklik tautan.

Sementara spesifik dari eksploitasi akan bervariasi tergantung pada sifat kerentanan yang dieksploitasi, sifat kunci dari hacks nol-klik adalah kemampuan mereka untuk tidak meninggalkan jejak aktivitas berbahaya, membuat mereka sangat sulit untuk dideteksi.

Dua kelemahan yang diidentifikasi oleh Project Zero adalah sebagai berikut –

  • CVE-2021-34423 (skor CVSS: 9.8) – Kerentanan buffer overflow yang dapat dimanfaatkan untuk merusak layanan atau aplikasi, atau mengeksekusi kode sewenang-wenang.
  • CVE-2021-34424 (skor CVSS: 7.5) – Cacat paparan memori proses yang dapat digunakan untuk berpotensi mendapatkan wawasan tentang area sewenang-wenang dari memori produk.

Dengan menganalisis lalu lintas RTP (Real-time Transport Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP, Silvanovich menemukan bahwa adalah mungkin untuk memanipulasi isi buffer yang mendukung membaca berbagai jenis data dengan mengirim pesan obrolan yang cacat, menyebabkan klien dan server MMR macet.

Selain itu, kurangnya pemeriksaan NULL – yang digunakan untuk menentukan akhir string – memungkinkan untuk membocorkan data dari memori saat bergabung dengan rapat Zoom melalui browser web.

Peneliti juga mengaitkan cacat korupsi memori dengan fakta bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat, mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan serangan buffer overflow.

“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan risiko bahwa penyerang dapat membahayakannya,” kata Silvanovich. “ASLR bisa dibilang mitigasi yang paling penting dalam mencegah eksploitasi korupsi memori, dan sebagian besar mitigasi lainnya bergantung padanya pada tingkat tertentu agar efektif. Tidak ada alasan yang baik untuk itu untuk dinonaktifkan di sebagian besar perangkat lunak. ”

Sementara sebagian besar sistem konferensi video menggunakan perpustakaan open-source seperti WebRTC atau PJSIP untuk menerapkan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol berpemilik Zoom serta biaya lisensinya yang tinggi (hampir $ 1.500) sebagai hambatan untuk penelitian keamanan.

“Perangkat lunak sumber tertutup menghadirkan tantangan keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform mereka dapat diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata Silvanovich. “Sementara Tim Keamanan Zoom membantu saya mengakses dan mengkonfigurasi perangkat lunak server, tidak jelas bahwa dukungan tersedia untuk peneliti lain, dan lisensi perangkat lunak itu masih mahal.”

Sumber: The Hacker News

Lebih dari 90 Tema WordPress, Plugin Backdoored dalam Serangan Rantai Pasokan

by

Serangan rantai pasokan besar-besaran membahayakan 93 tema dan plugin WordPress berisi backdoor, memberikan aktor ancaman akses penuh ke situs web.

Secara total, aktor ancaman mengkompromikan 40 tema dan 53 plugin milik AccessPress, pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs web aktif.

Serangan itu ditemukan oleh para peneliti di Jetpack, pencipta alat keamanan dan pengoptimalan untuk situs WordPress, yang menemukan bahwa backdoor PHP telah ditambahkan ke tema dan plugin.

Jetpack percaya bahwa aktor ancaman eksternal melanggar situs web AccessPress untuk mengkompromikan perangkat lunak dan menginfeksi situs WordPress lebih lanjut.

Backdoor untuk memberikan kontrol penuh

Segera setelah admin menginstal produk AccessPress yang dikompromikan di situs mereka, para aktor menambahkan file “awal.php” baru ke dalam direktori tema utama dan memasukkannya ke dalam file “fungsi.php” utama.

File ini berisi muatan yang dikodekan base64 yang menulis webshell ke dalam file “./wp-includes/vars.php”.

Kode berbahaya menyelesaikan instalasi backdoor dengan decoding payload dan menyuntikkannya ke dalam file “vars.php”, pada dasarnya memberikan aktor ancaman remote control atas situs yang terinfeksi.

Satu-satunya cara untuk mendeteksi ancaman ini adalah dengan menggunakan solusi pemantauan integritas file inti, karena malware menghapus pipet file “awal.php” untuk menutupi jejaknya.

Menurut peneliti Sucuri yang menyelidiki kasus ini untuk mengetahui tujuan para aktor, aktor ancaman menggunakan backdoor untuk mengarahkan pengunjung ke situs malware-dropping dan scam. Oleh karena itu, kampanye tidak terlalu canggih.

Ada juga kemungkinan bahwa aktor menggunakan malware ini untuk menjual akses ke situs web backdoored di web gelap, yang akan menjadi cara yang efektif untuk memonetisasi infeksi skala besar seperti itu.

Apakah saya terpengaruh?

Jika Anda telah menginstal salah satu plugin atau tema yang dikompromikan di situs Anda, menghapus / mengganti / memperbaruinya tidak akan mencabut webshells apa pun yang mungkin telah ditanam melaluinya.

Dengan demikian, administrator situs web disarankan untuk memindai situs mereka untuk tanda-tanda kompromi dengan melakukan hal berikut:

  • Periksa file wp-includes/vars.php Anda di sekitar baris 146-158. Jika Anda melihat fungsi “wp_is_mobile_fix” di sana dengan beberapa kode yang dikaburkan, Anda telah dikompromikan.
  • Kueri sistem file Anda untuk “wp_is_mobile_fix” atau “wp-theme-connect” untuk melihat apakah ada file yang terpengaruh.
  • Ganti file WordPress inti Anda dengan salinan baru.
  • Upgrade plugin yang terpengaruh dan beralih ke tema yang berbeda.
  • Ubah kata sandi wp-admin dan database.

Jetpack telah menyediakan aturan YARA berikut yang dapat digunakan untuk memeriksa apakah sebuah situs telah terinfeksi dan mendeteksi dropper dan webshell yang diinstal.

rule accesspress_backdoor_infection
{
strings:

// IoC’s for the dropper
$inject0 = “$fc = str_replace(‘function wp_is_mobile()’,”
$inject1 = “$b64($b) . ‘function wp_is_mobile()’,”
$inject2 = “$fc);”
$inject3 = “@file_put_contents($f, $fc);”

// IoC’s for the dumped payload
$payload0 = “function wp_is_mobile_fix()”
$payload1 = “$is_wp_mobile = ($_SERVER[‘HTTP_USER_AGENT’] == ‘wp_is_mobile’);”
$payload2 = “$g = $_COOKIE;”
$payload3 = “(count($g) == 8 && $is_wp_mobile) ?”

$url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/

condition:

all of ( $inject* )
or all of ( $payload* )
or $url0
}

Jetpack pertama kali mendeteksi backdoor pada September 2021, dan segera setelah itu, para peneliti menemukan bahwa aktor ancaman telah mengkompromikan semua plugin dan tema gratis milik vendor.

Sebagian besar produk kemungkinan telah dikompromikan pada awal September.

Sumber: Bleepingcomputer

FBI Memperingatkan Kode QR Berbahaya yang Digunakan untuk Mencuri Uang Anda

by

Biro Investigasi Federal (FBI) memperingatkan orang Amerika minggu ini bahwa penjahat dunia maya menggunakan kode Quick Response (QR) yang dibuat dengan jahat untuk mencuri kredensial dan info keuangan mereka.

Peringatan itu dikeluarkan sebagai pengumuman layanan publik (PSA) yang diterbitkan di Pusat Pengaduan Kejahatan Internet Biro (IC3) awal pekan ini.

“Penjahat dunia maya merusak kode QR untuk mengarahkan korban ke situs berbahaya yang mencuri informasi login dan keuangan,” kata lembaga penegak hukum federal.

FBI mengatakan penjahat beralih kode QR yang sah yang digunakan oleh bisnis untuk tujuan pembayaran untuk mengarahkan korban potensial ke situs web berbahaya yang dirancang untuk mencuri informasi pribadi dan keuangan mereka, menginstal malware di perangkat mereka, atau mengalihkan pembayaran mereka ke akun di bawah kendali mereka.

Setelah para korban memindai apa yang tampak seperti kode yang sah, mereka dikirim ke situs phishing penyerang, di mana mereka diminta untuk memasukkan info login dan keuangan mereka. Setelah masuk, itu akan dikirim ke penjahat cyber yang dapat menggunakannya untuk mencuri uang menggunakan rekening perbankan yang dibajak.

“Sementara kode QR tidak berbahaya, penting untuk berhati-hati ketika memasukkan informasi keuangan serta memberikan pembayaran melalui situs yang dinavigasi melalui kode QR,” tambah FBI. “Penegakan hukum tidak dapat menjamin pemulihan dana yang hilang setelah transfer.”

Perhatikan saat memindai kode QR

FBI menyarankan orang Amerika untuk memperhatikan URL yang mereka kirim setelah memindai kode QR, selalu berhati-hati saat memasukkan data mereka setelah memindai kode QR, dan memastikan bahwa kode QR fisik belum tercakup dengan yang berbahaya.

Anda juga harus menghindari menginstal aplikasi melalui kode QR atau menginstal pemindai kode QR (sebagai gantinya, gunakan yang disertakan dengan OS ponsel Anda).

Last but not least, selalu masukkan URL dengan tangan saat melakukan pembayaran alih-alih memindai kode QR yang dapat diatur untuk mengarahkan Anda ke situs berbahaya.

Sumber: Bleepingcomputer

Target Internet Paling Menggoda

by

Jumlah aset yang terpapar terus meningkat, tetapi strategi keamanan yang ada tidak mengikuti. Permukaan serangan semakin kompleks, dan bagian yang sangat sulit adalah mencari tahu di mana harus fokus. Untuk setiap 1.000 aset di permukaan serangan, seringkali hanya ada satu yang benar-benar menarik bagi penyerang. Tapi bagaimana seorang bek bisa tahu yang mana itu?

Randori meneliti perangkat lunak yang terpapar internet apa yang paling menggoda bagi penyerang dengan menggunakan enam atribut yaitu: enumerabilitas, eksploitabilitas, kekritisan, penerapan, potensi pasca-eksploitasi, dan potensi penelitian.

Log4j
Tim penyerang kami melakukan eksploitasi dalam waktu satu jam, dan dapat menggunakannya di lingkungan VMware langsung pada hari yang sama. Meskipun komunitas keamanan secepat mungkin menerapkan tambalan dan strategi perbaikan, kemungkinan ada beberapa layanan yang masih menjalankan kode yang rentan. Karena sangat mudah untuk dieksploitasi dan variasi baru dari kerentanan Log4Shell kemungkinan besar akan muncul, itu akan menempati peringkat tinggi dalam daftar penyerang mana pun.

VPN
VPN sering kali tidak ditambal, salah konfigurasi, dan tidak terlindungi dengan baik. Jika penyerang mengeksploitasi perangkat yang satu ini, mereka dapat menjangkau perangkat tambahan yang dilindunginya. Mereka juga dikenal sebagai target eksploitasi; sebenarnya kami menemukan 9,8 CVE pada produk Global Protect Palo Alto.

Solarwinds versi lama
Penyerang kemungkinan menempatkannya di urutan teratas daftar mereka karena 1) ada eksploitasi yang diketahui; 2) Solarwinds biasanya merupakan teknologi mission-critical untuk bisnis yang dapat memberikan akses istimewa kepada penyerang; dan 3) banyak digunakan. Satu eksploitasi dapat digunakan untuk melawan banyak orang.

Versi lama Microsoft IIS 6
Microsoft IIS 6 TIDAK didukung selama lebih dari setengah dekade. Penyerang menyukai perangkat lunak lama yang terbuka yang tidak lagi didukung. Pada tahun 2015 Dengan banyak kelemahan publik yang diketahui dan penerapan yang tinggi, IIS 6 adalah sesuatu yang mungkin diasumsikan oleh beberapa orang sebagai honeypot, tetapi penyerang lebih tahu—ini adalah target yang menarik.

Versi Microsoft OWA yang lebih lama
Ingat pelanggaran Windows Exchange dari tahun lalu yang berdampak pada 30.000 perusahaan? Terlepas dari risikonya, banyak perusahaan terus mengekspos OWA ke internet. Beberapa kerentanan yang diketahui dapat memberikan akses jarak jauh kepada penyerang dan diketahui dieksploitasi secara aktif.

Semakin banyak penyerang tahu tentang suatu sistem, semakin menggoda. Salah satu aspek yang sering menaikkan skor godaan OWA misalnya adalah penggunaan pengaturan default yang mengekspos informasi versi rinci. Layanan yang mengekspos nama, versi, dan lebih baik lagi, informasi konfigurasi, memudahkan penyerang untuk memeriksa silang untuk melihat apakah ada kerentanan publik yang diketahui atau eksploitasi yang dipersenjatai terhadap versi spesifik itu dan untuk mengonfirmasi apakah eksploitasi akan mendarat.

Tidak ada sistem yang akan sepenuhnya aman, tetapi membatasi informasi yang dapat dilakukan penyerang dari gerbang akan sangat membantu untuk menghilangkan angin dari layar mereka.

Ini bisa berarti menambahkan pencatatan/pemantauan, firewall aplikasi web, atau segmentasi ke aset penting di permukaan serangan — atau bahkan membuat sistem offline sepenuhnya jika mereka tidak perlu berkomunikasi dengan internet.

Selengkapnya : Threat Post

Bug Agen McAfee memungkinkan peretas menjalankan kode dengan hak istimewa SISTEM Windows

by

McAfee Enterprise telah menambal kerentanan keamanan yang ditemukan dalam perangkat lunak Agen McAfee perusahaan untuk Windows yang memungkinkan penyerang meningkatkan hak istimewa dan mengeksekusi kode arbitrer dengan hak istimewa SISTEM.

Perusahaan telah memperbaiki kelemahan eskalasi hak istimewa lokal (LPE) tingkat keparahan tinggi yang dilacak sebagai CVE-2022-0166 dan ditemukan oleh analis kerentanan CERT/CC Will Dormann mengeluarkan pembaruan keamanan dengan merilis McAfee Agent 5.7.5 pada 18 Januari.

Semua versi Agen McAfee sebelum 5.7.5 rentan dan memungkinkan penyerang yang tidak memiliki hak untuk menjalankan kode menggunakan hak akun NT AUTHORITY\SYSTEM, tingkat hak istimewa tertinggi pada sistem Windows, yang digunakan oleh OS dan layanan OS.

“Agen McAfee berisi layanan istimewa yang menggunakan komponen OpenSSL ini. Seorang pengguna yang dapat menempatkan file openssl.cnf yang dibuat khusus pada jalur yang sesuai mungkin dapat mencapai eksekusi kode arbitrer dengan hak istimewa SISTEM.”

Setelah eksploitasi yang berhasil, pelaku ancaman dapat terus-menerus mengeksekusi muatan berbahaya dan berpotensi menghindari deteksi selama serangan.

Meskipun hanya dapat dieksploitasi secara lokal, pelaku ancaman biasanya mengeksploitasi jenis kelemahan keamanan ini selama tahap serangan selanjutnya, setelah menyusup ke mesin target untuk meningkatkan izin guna mendapatkan kegigihan dan lebih lanjut membahayakan sistem.

Ini bukan pertama kalinya peneliti keamanan menemukan kerentanan saat menganalisis produk keamanan Windows McAfee.

Misalnya, pada September 2021, perusahaan menambal bug eskalasi hak istimewa Agen McAfee lainnya (CVE-2020-7315) yang ditemukan oleh peneliti keamanan Tenable Clément Notin yang memungkinkan pengguna lokal untuk mengeksekusi kode arbitrer dan mematikan antivirus.

Dua tahun sebelumnya, McAfee memperbaiki kerentanan keamanan yang memengaruhi semua edisi perangkat lunak Antivirus untuk Windows (yaitu, Perlindungan Total, Anti-Virus Plus, dan Keamanan Internet) dan memungkinkan penyerang potensial untuk meningkatkan hak istimewa dan mengeksekusi kode dengan otoritas akun SISTEM.

Sumber : Bleeping Computer

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

by

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer