Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Azure

Azure

Alat CISA baru mendeteksi aktivitas peretasan di layanan cloud Microsoft

by

Cybersecurity & Infrastructure Security Agency (CISA) A.S. telah merilis alat respons insiden sumber terbuka baru yang membantu mendeteksi tanda-tanda aktivitas berbahaya di lingkungan cloud Microsoft.

Dikenal sebagai ‘Untitled Goose Tooll’ dan dikembangkan bekerja sama dengan Sandia, laboratorium nasional Departemen Energi AS, utilitas berbasis Python ini dapat membuang informasi telemetri dari lingkungan Azure Active Directory, Microsoft Azure, dan Microsoft 365.

“Untitled Goose Tool adalah alat berburu dan respons insiden yang kuat dan fleksibel yang menambahkan metode otentikasi dan pengumpulan data baru untuk menjalankan penyelidikan penuh terhadap lingkungan Azure Active Directory (AzureAD), Azure, dan M365 pelanggan,” kata CISA.

Dengan bantuan alat analisis dan interogasi cloud Microsoft lintas platform milik CISA, pakar keamanan dan admin jaringan dapat:

  • Mengekspor dan meninjau log masuk dan audit AAD, log audit terpadu (UAL) M365, log aktivitas Azure, peringatan Pertahanan Microsoft untuk IoT (internet of things), dan data Pertahanan Microsoft untuk Titik Akhir (MDE) untuk aktivitas mencurigakan.
  • Kueri, ekspor, dan selidiki konfigurasi AAD, M365, dan Azure.
  • Ekstrak artefak cloud dari lingkungan AAD, Azure, dan M365 Microsoft tanpa melakukan analitik tambahan.
  • Lakukan pembatas waktu UAL.
  • Ekstrak data dalam batas waktu tersebut.
  • Kumpulkan dan tinjau data menggunakan kemampuan terikat waktu serupa untuk data MDE.

Selengkapnya: Bleeping Computer

Microsoft membagikan mitigasi untuk serangan Windows KrbRelayUp LPE

by

Microsoft telah berbagi panduan untuk membantu admin mempertahankan lingkungan perusahaan Windows mereka dari serangan KrbRelayUp yang memungkinkan penyerang mendapatkan hak istimewa SISTEM pada sistem Windows dengan konfigurasi default.

Penyerang dapat meluncurkan serangan ini menggunakan alat KrbRelayUp yang dikembangkan oleh peneliti keamanan Mor Davidovich sebagai pembungkus sumber terbuka untuk alat eskalasi hak istimewa Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn.

Sejak akhir April 2022, saat alat ini pertama kali dibagikan di GitHub, pelaku ancaman dapat meningkatkan izin mereka ke SISTEM di lingkungan domain Windows dengan pengaturan default (di mana penandatanganan LDAP tidak diterapkan).

Davidovich merilis versi terbaru dari KrbRelayUp pada hari Senin yang juga berfungsi saat penandatanganan LDAP diberlakukan dan akan memberikan hak istimewa SISTEM kepada penyerang jika Perlindungan Diperpanjang untuk Otentikasi (EPA) untuk Layanan Sertifikat Direktori Aktif (AD CS) tidak diaktifkan.

Microsoft mengatakan bahwa alat eskalasi hak istimewa ini tidak bekerja melawan organisasi dengan lingkungan Azure Active Directory berbasis cloud.

Namun, KrbRelayUp dapat membantu kompromi mesin virtual Azure di lingkungan AD hibrid di mana pengontrol domain disinkronkan dengan Azure AD.

“Meskipun serangan ini tidak akan berfungsi untuk perangkat yang bergabung dengan Azure Active Directory (Azure AD), perangkat gabungan hybrid dengan pengontrol domain lokal tetap rentan,” kata Zeev Rabinovich dan Ofir Shlomo dari Microsoft 365 Defender Research Team.

Microsoft kini telah membagikan panduan kepada publik tentang pemblokiran upaya semacam itu dan mempertahankan jaringan perusahaan dari serangan yang menggunakan pembungkus KrbRelayUp.

Namun, langkah-langkah mitigasi ini juga telah tersedia sebelumnya untuk pelanggan perusahaan dengan langganan Microsoft 365 E5.

Sesuai rekomendasi Redmond, admin harus mengamankan komunikasi antara klien LDAP dan pengontrol domain Active Directory (AD) dengan memberlakukan penandatanganan server LDAP dan mengaktifkan Extended Protection for Authentication (EPA).

Seperti yang dikatakan Microsoft, organisasi disarankan untuk menerapkan mitigasi berikut untuk “mengurangi dampak ancaman ini:”

Microsoft telah memberikan panduan untuk mengaktifkan pengikatan saluran LDAP dan penandatanganan LDAP. Microsoft menyarankan agar administrator mengonfigurasi penandatanganan LDAP dan pengikatan saluran LDAP seperti yang direkomendasikan dalam nasihat tersebut dan dijelaskan secara mendetail dalam pengikatan saluran LDAP 2020 dan persyaratan penandatanganan LDAP untuk Windows (KB4520412).

Organisasi juga harus mempertimbangkan untuk menyetel atribut ms-DS-MachineAccountQuota ke 0 untuk mempersulit penyerang memanfaatkan atribut untuk serangan. Menyetel atribut ke 0 akan menghentikan pengguna non-admin menambahkan perangkat baru ke domain, memblokir metode paling efektif untuk melakukan langkah pertama serangan, dan memaksa penyerang memilih metode yang lebih kompleks untuk memperoleh sumber daya yang sesuai.

Sumber: Bleeping Computer

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Empat tahun layanan Aplikasi Azure memiliki bug kebocoran kode sumber

by

Microsoft telah mengungkapkan kerentanan dalam Layanan Aplikasi Azure untuk Linux yang memungkinkan pengunduhan file yang hampir pasti tidak ingin dipublikasikan oleh pengguna.

Microsoft menagih Layanan Aplikasi Azure sebagai hal yang tepat jika Anda ingin “Membuat aplikasi web dan seluler yang siap untuk perusahaan dengan cepat dan mudah untuk platform atau perangkat apa pun, dan menerapkannya pada infrastruktur cloud yang dapat diskalakan dan andal.”

Perhatikan bahwa deskripsi tidak menyebutkan keamanan.

Kelalaian itu anehnya terlihat, karena pakaian keamanan cloud Wiz menyelidiki layanan dan menemukan apa yang digambarkan sebagai “perilaku default tidak aman di Layanan Aplikasi Azure yang mengekspos kode sumber aplikasi pelanggan yang ditulis dalam PHP, Python, Ruby, atau Node, yang dikerahkan menggunakan ‘Local Git’.”

Wiz telah menamai cacat itu “NotLegit” dan menegaskan itu sudah ada sejak September 2017 dan “mungkin telah dieksploitasi di alam liar.”

Inti dari kelemahannya adalah ketika pengguna Layanan Aplikasi Azure mengunggah repositori git mereka ke layanan, repositori tersebut mendarat di direktori /home/site/wwwroot direktori yang dapat diakses publik. Di antara unggahan itu adalah folder .git, yang berisi kode sumber dan info rahasia lainnya. Semuanya tergantung di web untuk dilihat semua orang.

Orang-orang sedang mencari. Postingan Wiz menyatakan bahwa ia membuat aplikasi Layanan Aplikasi Azure yang rentan dan dalam empat hari mendeteksi beberapa upaya untuk mencapai folder .gitnya.

Wiz telah menemukan bug Azure yang buruk, ia juga menemukan kelemahan ChaosDB yang memungkinkan akses baca dan tulis yang tidak sah ke Microsoft Azure Cosmos DB, dan keluarga kelemahan “OMIGOD” yang memungkinkan eksekusi kode tidak sah di server Azure.

Microsoft membayar hadiah $7.500 kepada Wiz untuk menemukan kelemahannya, yang diungkapkan secara bertanggung jawab pada bulan September, dan melihat Microsoft memberi tahu pelanggan tentang masalah tersebut sebelum mengungkapkannya dalam posting blog tertanggal 22 Desember.

Sumber : The Register

Peneliti keamanan di Wiz menemukan kerentanan lain di Azure

by

Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.

Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.

Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.

OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.

Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.

Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.

Selengkapnya: Ars Technica