Microosft

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

March 19, 2023 by Coffee Bean

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

Pemerintah
Militer
Energi
Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

CVE ID: CVE-2023-23397
Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
Dampak: Peningkatan Hak Istimewa
Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
Keparahan: Kritis
Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

November 15, 2022 by Coffee Bean

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer

Microsoft menambahkan opsi untuk menonaktifkan JAVAScript di Internet Explorer

October 21, 2020 by Winnie the Pooh

Sebagai bagian dari pembaruan keamanan Patch Tuesday Oktober 2020, Microsoft telah menambahkan opsi baru ke Windows untuk mengizinkan administrator sistem menonaktifkan komponen JScript di dalam Internet Explorer.

Mesin skrip JScript adalah komponen lama yang awalnya disertakan dengan Internet Explorer 3.0 pada tahun 1996 dan merupakan dialek Microsoft sendiri dari standar ECMAScript (bahasa JavaScript).

Pengembangan mesin JScript berakhir, dan komponen tidak digunakan lagi dengan dirilisnya Internet Explorer 8.0 pada tahun 2009, tetapi mesin tersebut tetap ada di semua versi OS Windows sebagai komponen warisan di dalam IE.

Selama bertahun-tahun, pelaku ancaman menyadari bahwa mereka dapat menyerang mesin JScript, karena Microsoft tidak mengembangkannya secara aktif dan jarang mengirimkan pembaruan keamanan, biasanya hanya ketika diserang oleh pelaku ancaman.

Sekarang, 11 tahun setelah menghentikan komponen tersebut, Microsoft akhirnya memberi administrator sistem cara untuk menonaktifkan eksekusi JScript secara default.

Rincian tentang bagaimana ini dapat dilakukan tersedia di bawah, diambil dari dokumentasi Microsoft:

Klik Start, Klik Run, ketik regedt32 atau regedit, lalu klik Ok.
Untuk menonaktifkan eksekusi JScript di Internet Zone, temukan registry subkey berikut ini di Registry Editor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\140D

Untuk menonaktifkan eksekusi JScript di Zona Situs Terbatas, temukan registry subkey berikut ini di Registry Editor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\140D
Klik kanan registry subkey yang sesuai, dan kemudian klik Modify.
Pada Edit DWORD (32-bit) Value, ketik 3 di Value data.
Klik OK, dan kemudian restart Internet Explorer.

Source: ZDNet

Ancaman Peretasan Jarak Jauh Windows 10 Baru Dikonfirmasi — Perbarui Sekarang

October 21, 2020 by Winnie the Pooh

Departemen Keamanan Dalam Negeri, Keamanan Siber, dan Badan Keamanan Infrastruktur (CISA) A.S. tidak asing lagi merekomendasikan agar pengguna Windows menerapkan pembaruan keamanan sebagai masalah yang mendesak.

Tepat satu bulan yang lalu, pada 18 September, CISA merilis Petunjuk Darurat langka yang memaksa pengguna Windows Server agen federal untuk memperbarui satu pembaruan tersebut dalam waktu tiga hari. Saat ini tidak ada persyaratan untuk dipatuhi, juga tidak ada bukti bahwa celah ini dieksploitasi di alam liar.

Tidak lama setelah peluncuran perbaikan keamanan Patch Tuesday bulanan, yang mencakup 87 kerentanan di mana 11 di antaranya dianggap kritis, Microsoft mengonfirmasi dua pembaruan keamanan out-of-band lainnya pada hari Kamis, 15 Oktober.

Meskipun dinilai “penting” daripada kritis oleh Microsoft, keduanya dapat memungkinkan penyerang untuk mengambil kendali sistem Windows Anda melalui eksploitasi eksekusi kode jarak jauh.

Satu, CVE-2020-17023, adalah kerentanan di editor Kode Visual Studio. Yang lainnya, CVE-2020-17022, menyangkut kerentanan eksekusi kode jarak jauh di Perpustakaan Codec Microsoft Windows, khususnya cara menangani objek di memori.

Perbaikan untuk kerentanan ini tidak datang melalui proses Pembaruan Windows biasa, seperti biasanya. Sebaliknya, itu disajikan secara otomatis oleh Microsoft Store. Dengan asumsi, pengguna memiliki pembaruan aplikasi Microsoft Store yang dikonfigurasi untuk memperbarui secara otomatis. Sangat disarankan untuk memeriksa pengaturan Microsoft Store Anda untuk memastikannya; dengan begitu, Anda akan mendapatkan perlindungan yang Anda butuhkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Eksploitasi Kritis Pada Windows 10 Telah Dikonfirmasi, Beberapa Bulan Setelah Pembaruan Darurat Microsoft

June 8, 2020 by Winnie the Pooh

Badan keamanan siber pemerintah AS memperingatkan para actor cyber sedang menargetkan sistem Windows 10 yang masih rentan terhadap celah keamanan kritis yang telah 3 bulan diungkapkan.

CVE-2020-0796, yang lebih dikenal hari ini sebagai SMBGhost, dianggap sangat berbahaya jika digunakan sebagai senjata untuk menyerang, sehingga layak mendapat peringkat sistem penilaian kerentanan (CVSS) “sempurna” (10). Microsoft cepat bertindak. Mereka mengeluarkan pemberitahuan darurat dalam beberapa hari.

SMBGhost adalah sebuah kerentanan wormable yang dapat mengaktifkan eksekusi sembarang kode dari jarak jauh, kemudian pada akhirnya, mengendalikan sistem yang ditargetkan jika serangan berhasil diluncurkan.

Serangan seperti itu akan membutuhkan mesin Windows 10 atau Windows Server Core yang tidak ditambal dan rentan serta, yang terpenting, kode eksploit yang berfungsi dan tersedia.

Dalam sebuah pemberitahuan, CISA baru saja mengkonfirmasi bahwa mereka mengetahui kode proof of concept (PoC) yang tersedia untuk umum dan fungsional. Selain itu, CISA juga memperingatkan, “pelaku cyber jahat menargetkan sistem yang belum ditambal dengan PoC baru, menurut laporan sumber terbuka baru-baru ini.”

CISA telah mengatakan bahwa “sangat merekomendasikan menggunakan firewall untuk memblokir port SMB dari internet,” dan bahwa aplikasi tambalan dan pembaruan untuk kerentanan kritis tersebut harus diterapkan sesegera mungkin.

Pembaruan keamanan Microsoft yang menangani SMBGhost di Windows 10 versi 1909 dan 1903 dan Server Core untuk versi yang sama, dapat ditemukan di sini.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Patch bulan February 2020 dari Microsoft adalah Perbaikan Terbesar Yang Pernah Dilakukan Oleh Microsoft.

February 12, 2020 by Winnie the Pooh

Pembaruan yang dilakukan oleh microsoft pada bulan ini, mencakup perbaikan 99 celah keamanan yang ditemukan dan tercatat sebagai perbaikan terbesar selama sejarah Microsoft. Ini adalah puncak dari rentetan perbaikan yang dilakukan untuk CVE-2020-0674, kerentanan Zero Day di Internet Explorer.

Pada 17 Januari, Microsoft mengungkapkan bahwa telah terjadi serangan oleh hacker menggunakan IE Zero-day, namun belum dapat diperbaiki hingga disertakan pada update terbaru ini.

Sebagian besar dari celah keamanan yang ditemukan berada pada kode eksekusi jarak jauh, dan kerentanan memori seperti IE Scripting Engine, Remote Desktop Protocol, File LNK, dan komponen Media Foundation.

Lebih dari itu, tidak ada yang spesial dari pembaharuan ini, perbaikan yang dilakukan oleh Microsoft hanya lebih besar dari yang dilakukan pada bulan sebelumnya, mungkin mereka beranggapan bahwa celah keamanan yang ditemukan tidak perlu untuk segera diperbaiki. Sehingga update perbaikan harus dikirimkan secara bersamaan dalam jumlah yang sangat besar; 99 perbaikan celah keamanan.

Klik link dibawah ini untuk membaca berita selengkapnya!

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microosft

Cookies Settings