• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Microsoft Exchange Server

Microsoft Exchange Server

Mitigasi server zero-day Microsoft Exchange dapat dilewati

October 4, 2022 by Eevee

Microsoft telah berbagi mitigasi untuk dua kerentanan zero-day Microsoft Exchange baru yang dilacak sebagai CVE-2022-41040 dan CVE-2022-41082, tetapi para peneliti memperingatkan bahwa mitigasi untuk server lokal masih jauh dari cukup.

Pelaku ancaman sudah merantai kedua bug zero-day ini dalam serangan aktif untuk menembus server Microsoft Exchange dan mencapai eksekusi kode jarak jauh.

Microsoft berbagi mitigasi untuk server lokal dan rekomendasi kuat bagi pelanggan Exchange Server untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna “non-admin” di organisasi.”

Untuk mengurangi risiko eksploitasi, Microsoft mengusulkan pemblokiran pola serangan yang diketahui melalui rule di Manajer IIS:

  • Buka Manajer IIS.
  • Pilih Situs Web Default.
  • Di** Feature View**, klik URL Rewrite.
  • Di panel Tindakan di sisi kanan, klik Tambahkan Rule….
  • Pilih** Permintaan Pemblokiran** dan klik OK.
  • Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk tanda kutip) lalu klik OK.
  • Perluas Rule dan pilih Rule dengan pola “autodiscover.json.*@.*Powershell.” dan klik Edit di bawah Ketentuan.
  • Ubah input kondisi dari {URL} menjadi {REQUEST_URI}

Administrator dapat mencapai hasil yang sama dengan menjalankan Alat Mitigasi Exchange di Tempat Microsoft yang diperbarui – skrip yang memerlukan PowerShell 3 atau lebih baru, perlu dijalankan dengan hak istimewa admin, dan berjalan di IIS 7.5 atau yang lebih baru.

Namun rule yang diusulkan Microsoft, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada mereka.

Peneliti keamanan Jang menunjukkan bahwa solusi sementara Microsoft untuk mencegah eksploitasi CVE-2022-41040 dan CVE-2022-41082 tidak efisien dan dapat dilewati dengan sedikit usaha.

Will Dormann, analis kerentanan senior di ANALYGENCE, juga setuju dengan temuan tersebut dan mengatakan bahwa ‘@’ di blok URL Microsoft “tampaknya tidak perlu tepat, dan karena itu tidak cukup.”

Alih-alih blok URL yang diajukan Microsoft, Jang memberikan alternatif yang kurang spesifik, yang dirancang untuk mencakup serangkaian serangan yang lebih luas:

.*autodiscover\.json.*Powershell.*

Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.

Namun, banyak organisasi memiliki penyimpanan hybrid yang menggabungkan lokal dengan penyebaran cloud Microsoft Exchange dan mereka harus memahami bahwa mereka juga rentan.

Peneliti keamanan Kevin Beaumont memperingatkan bahwa selama ada penyebaran Exchange Server di lokasi, organisasi dalam bahaya.

Mengacu pada rantai eksploitasi sebagai ProxyNotShell, Beaumont mengatakan bahwa pengaturan Exchange hybrid “sangat umum” di lingkungan perusahaan dan harus mempertimbangkan tingkat risiko yang mereka hadapi.

Lebih dari 1.200 organisasi ini juga mengekspos penerapan hybrid mereka di web publik. Di antara mereka adalah entitas di sektor keuangan, pendidikan, dan pemerintah, semua target yang sangat menarik bagi peretas yang menjalankan operasi spionase atau pemerasan.

Pada saat penerbitan, Microsoft belum merilis pembaruan untuk memperbaiki dua masalah tetapi menerbitkan nasihat keamanan dengan informasi tentang dampak dan kondisi yang diperlukan untuk eksploitasi.

Microsoft menjelaskan CVE-2022-41040 sebagai kerentanan berisiko tinggi (skor keparahan 8,8/10) yang dapat dimanfaatkan penyerang dengan mudah untuk meningkatkan hak istimewa mereka pada mesin yang terpengaruh tanpa interaksi pengguna apa pun.

Alasan mengapa masalah keamanan ini tidak memiliki skor keparahan yang lebih tinggi adalah karena aktor ancaman perlu diautentikasi.

CVE-2022-41082 memiliki skor tingkat keparahan yang sama tetapi dapat digunakan untuk eksekusi kode jarak jauh pada Server Microsoft Exchange lokal yang rentan oleh penyerang dengan “hak istimewa yang menyediakan kemampuan pengguna dasar” (pengaturan dan file yang dimiliki oleh pengguna) .

Selengkapnya: Bleeping Computer

Tagged With: Microsoft Exchange Server, PowerShell, Zero Day

AS, Inggris, dan Australia Peringatkan Peretas Iran yang Mengeksploitasi Microsoft, Kelemahan Fortinet

November 28, 2021 by Søren

Badan keamanan siber dari Australia, Inggris, dan AS pada hari Rabu (17/11/2021) merilis peringatan peringatan bersama tentang eksploitasi aktif kerentanan Fortinet dan Microsoft Exchange ProxyShell oleh aktor yang disponsori negara Iran untuk mendapatkan akses awal ke sistem yang rentan untuk kegiatan lanjutan, termasuk eksfiltrasi data dan ransomware.

Pelaku ancaman diyakini telah memanfaatkan beberapa kerentanan Fortinet FortiOS sejak Maret 2021 serta kelemahan eksekusi kode jarak jauh yang memengaruhi Microsoft Exchange Server setidaknya sejak Oktober 2021, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA), Federal Biro Investigasi (FBI), Pusat Keamanan Siber Australia (ACSC), dan Pusat Keamanan Siber Nasional Inggris (NCSC).

Badan-badan tersebut tidak mengaitkan kegiatan tersebut dengan aktor ancaman persisten lanjutan (APT) tertentu. Korban yang ditargetkan termasuk organisasi Australia dan berbagai entitas di berbagai sektor infrastruktur penting AS, seperti transportasi dan perawatan kesehatan. Daftar kelemahan yang dieksploitasi ada di bawah ini:

  • CVE-2021-34473 (skor CVSS: 9.1) – kerentanan eksekusi kode jarak jauh Microsoft Exchange Server (alias “ProxyShell”)
  • CVE-2020-12812 (skor CVSS: 9,8) – FortiOS SSL VPN 2FA bypass dengan mengubah kasus nama pengguna
  • CVE-2019-5591 (skor CVSS: 6,5) – Konfigurasi default FortiGate tidak memverifikasi identitas server LDAP
  • CVE-2018-13379 (skor CVSS: 9,8) – Kebocoran file sistem FortiOS melalui SSL VPN melalui permintaan sumber daya HTTP yang dibuat khusus

Sebagai mitigasi, agensi merekomendasikan organisasi untuk segera menambal perangkat lunak yang terpengaruh oleh kerentanan yang disebutkan di atas, menegakkan prosedur pencadangan dan pemulihan data, menerapkan segmentasi jaringan, mengamankan akun dengan otentikasi multi-faktor, dan menambal sistem operasi, perangkat lunak, dan firmware saat dan ketika pembaruan dilepaskan.

Selengkapnya: The Hacker News

Tagged With: Global, Microsoft Exchange Server, Vulnerabilities

Grup peretasan Lemon Duck mengadopsi kerentanan Microsoft Exchange Server dalam serangan baru

May 11, 2021 by Winnie the Pooh

Para peneliti telah menjelajahi aktivitas terbaru dari grup peretasan Lemon Duck, termasuk pemanfaatan kerentanan Microsoft Exchange Server dan penggunaan umpan domain tingkat atas.

Eksploitasi aktif dari kerentanan Server Microsoft Exchange zero-day di alam liar adalah bencana keamanan bagi ribuan organisasi.

Pada akhir Maret, Microsoft mengatakan botnet Lemon Duck telah diamati mengeksploitasi server yang rentan dan menggunakan sistem untuk menambang cryptocurrency.

Sekarang, para peneliti dari Cisco Talos telah mendalami taktik para penyerang dunia maya saat ini.

Operator Lemon Duck menggabungkan alat baru untuk “memaksimalkan efektivitas kampanye mereka” dengan menargetkan kerentanan tingkat tinggi di Microsoft Exchange Server dan data telemetri mengikuti kueri DNS ke domain Lemon Duck menunjukkan bahwa aktivitas kampanye melonjak pada bulan April.

Mayoritas kueri datang dari AS, diikuti oleh Eropa dan Asia Tenggara. Lonjakan besar dalam kueri ke satu domain Lemon Duck juga tercatat di India.

Lemon Duck juga telah membuat umpan domain tingkat atas (TLD) untuk China, Jepang, dan Korea Selatan untuk mencoba dan mengaburkan infrastruktur pusat perintah dan kontrol (C2).

Tumpang tindih antara botnet Lemon Duck dan malware cryptocurrency Beapy / Pcastle juga telah diamati.

Selengkapnya: ZDNet

Tagged With: Cybersecurity, Lemon Duck, Microsoft Exchange Server, Zero Day

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo