Microsoft Exchange

Bug Y2k22 menyebabkan Microsoft Exchange Server gagal di seluruh dunia: FIP-FS Scan Engine gagal memuat

January 2, 2022 by Søren

Admin perusahaan merayakan Tahun Baru mereka terganggu oleh laporan bahwa Server Exchange mereka gagal dengan kesalahan “Mesin Pemindai FIP-FS gagal memuat – Tidak Dapat Mengonversi “2201010001” menjadi panjang (2022/01/01 00:00 UTC) “.

Masalah ini tampaknya disebabkan oleh Microsoft yang menggunakan dua angka pertama dari versi pembaruan untuk menunjukkan tahun pembaruan, yang menyebabkan versi tanggal yang “panjang” meluap.

Saat ini, tampaknya solusi utama adalah menonaktifkan pemindai anti-malware di Exchange Server dengan menggunakan Set-MalwareFilteringServer -BypassFiltering $True -identity dan memulai ulang layanan Microsoft Exchange Transport.

Microsoft sekarang telah mengakui masalah ini dan sedang memperbaikinya. Mereka menulis “Kami menyadari dan bekerja pada masalah yang menyebabkan pesan terjebak dalam antrian transportasi di Exchange Server 2016 dan Exchange Server 2019. Masalah tersebut berkaitan dengan kegagalan pemeriksaan tanggal dengan perubahan tahun baru dan itu bukan kegagalan mesin AV diri. Ini bukan masalah dengan pemindaian malware atau mesin malware, dan ini bukan masalah terkait keamanan. Pemeriksaan versi yang dilakukan terhadap file tanda tangan menyebabkan mesin malware mogok, mengakibatkan pesan terjebak dalam antrian transportasi.”

Pada perbaikan yang akan datang mereka berkata, “Teknisi kami bekerja sepanjang waktu pada perbaikan yang akan menghilangkan kebutuhan akan tindakan pelanggan, tetapi kami memutuskan bahwa setiap perubahan yang tidak melibatkan tindakan pelanggan akan memerlukan beberapa hari untuk dikembangkan dan diterapkan. Kami sedang mengerjakan pembaruan lain yang sedang dalam validasi tes akhir. Pembaruan memerlukan tindakan pelanggan, tetapi akan memberikan waktu tercepat untuk penyelesaian”

Selengkapnya: MS Power User

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

November 23, 2021 by Eevee

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Microsoft Autodiscover disalahgunakan untuk mengumpulkan kredensial

September 27, 2021 by Winnie the Pooh

Para peneliti menemukan sebuah “kesalahan desain” dalam protokol Microsoft Autodiscover yang dapat memanen kredensial domain.

Pada hari Rabu, AVP Riset Keamanan Guardicore Labs Amit Serper menerbitkan hasil analisis Autodiscover, protokol yang digunakan untuk mengautentikasi ke server Microsoft Exchange dan untuk mengonfigurasi akses klien.

Ada iterasi berbeda dari protokol yang tersedia untuk digunakan. Guardicore menjelajahi implementasi Autodiscover berdasarkan POX XML dan menemukan “kesalahan desain” yang dapat dieksploitasi untuk ‘membocorkan’ permintaan web ke domain Autodiscover di luar domain pengguna, selama mereka berada di top-level (TLD) domain yang sama.

Untuk menguji protokol, tim terlebih dahulu mendaftarkan dan membeli sejumlah domain dengan akhiran TLD, termasuk Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, dan Autodiscover.com.uk, dan seterusnya.

Domain-domain ini kemudian ditugaskan ke server web Guardicore, dan para peneliti mengatakan bahwa mereka “hanya menunggu permintaan web untuk berbagai endpoint Autodiscover tiba.”

Secara total, Guardicore mampu menangkap 372.072 kredensial domain Windows dan 96.671 set kredensial unik dari sumber termasuk Microsoft Outlook dan klien email antara 16 April dan 25 Agustus 2021. Beberapa set dikirim melalui otentikasi dasar HTTP.

Untuk memitigasi masalah ini, Guardicore mengatakan bahwa domain TLD Autodiscover harus diblokir oleh firewall, dan ketika setup Exchange sedang dikonfigurasi, dukungan untuk otentikasi dasar harus dinonaktifkan — karena ini “sama seperti mengirim kata sandi dalam teks yang jelas melalui wire.”

Sumber: ZDNet

Peretasan Microsoft China Mungkin Memiliki Tujuan Lebih Besar Dari Sekedar Memata-matai

August 27, 2021 by Winnie the Pooh

Steven Adair berburu peretas untuk mencari nafkah. Kembali pada bulan Januari, di sudut matanya, cara periferal, dia pikir dia melihat satu di jaringan pelanggannya — kehadiran bayangan yang mengunduh email.

Adair adalah pendiri perusahaan keamanan siber bernama Volexity, dan dia selalu menjebak penyusup. Jadi, dia melihat sekilas server yang digunakan kliennya untuk menjalankan Microsoft Exchange dan terkejut “melihat permintaan yang tidak kami harapkan,” katanya. Ada permintaan untuk akses ke akun email tertentu, permintaan untuk file rahasia.

Apa yang ditemukan Adair adalah peretasan besar-besaran ke Microsoft Exchange — salah satu program perangkat lunak email paling populer di dunia.

Selama hampir tiga bulan, penyusup membantu diri mereka sendiri dalam segala hal mulai dari email, kalender, hingga kontak. Kemudian mereka menjadi liar dan meluncurkan serangan gelombang kedua untuk menyapu data Exchange dari puluhan ribu korban yang tidak menaruh curiga.

Baik Gedung Putih dan Microsoft telah mengatakan dengan tegas bahwa peretas yang didukung pemerintah China adalah dalang dibalik peretasan ini.

Pemeriksaan NPR selama berbulan-bulan atas serangan itu — berdasarkan wawancara dengan lusinan pemain dari pejabat perusahaan hingga pakar forensik dunia maya hingga pejabat intelijen AS — menemukan bahwa mencuri email dan kekayaan intelektual mungkin baru permulaan. Para pejabat percaya bahwa pelanggaran itu bertujuan untuk sesuatu yang lebih besar: Ambisi kecerdasan buatan China. Kepemimpinan Beijing bertujuan untuk memimpin dunia dalam teknologi yang memungkinkan komputer melakukan tugas-tugas yang secara tradisional membutuhkan kecerdasan manusia — seperti menemukan pola dan mengenali ucapan atau wajah.

Selengkapnya dapat dibaca di: NPR

Botnet backdoors server Microsoft Exchange, menambang cryptocurrency

April 23, 2021 by Winnie the Pooh

Server Microsoft Exchange yang tidak ditambal sedang ditargetkan oleh botnet Prometei dan ditambahkan ke pasukan penambangan mata uang kripto Monero (XMR) operatornya.

Malware modular ini dapat menginfeksi sistem Windows dan Linux, dan pertama kali terlihat tahun lalu saat menggunakan eksploitasi EternalBlue untuk menyebar ke seluruh jaringan yang disusupi dan memperbudak komputer Windows yang rentan.

Tim Nocturnus Cybereason baru-baru ini menemukan bahwa botnet kemungkinan besar telah aktif selama hampir setengah dekade, menurut artefak Prometei yang dikirimkan ke VirusTotal pada Mei 2016.

Berdasarkan sampel malware baru yang baru-baru ini ditemukan oleh Cybereason selama respons insiden baru-baru ini, botnet juga telah diperbarui untuk mengeksploitasi kerentanan Exchange Server yang ditambal oleh Microsoft pada bulan Maret.

Fokus utama serangan Prometei pada server Exchange adalah untuk menyebarkan muatan cryptomining, mulai menghasilkan uang untuk operatornya, dan menyebar ke perangkat lain di jaringan menggunakan eksploitasi EternalBlue dan BlueKeep, mengambil kredensial, dan modul penyebar SSH atau SQL.

“Ketika penyerang mengendalikan mesin yang terinfeksi, mereka tidak hanya mampu menambang bitcoin dengan mencuri kekuatan pemrosesan, tetapi juga dapat mengekstraks informasi sensitif,” kata Assaf Dahan, direktur senior Cybereason dan kepala penelitian ancaman.

Selengkapnya: Bleeping Computer

FBI menghapus web shell dari Exchange Server yang diretas tanpa memberi tahu pemiliknya

April 14, 2021 by Winnie the Pooh

Operasi FBI yang disetujui pengadilan dilakukan untuk menghapus web shell dari server Microsoft Exchange berbasis di AS yang disusupi tanpa memberi tahu pemilik server terlebih dahulu.

Dalam siaran pers Departemen Kehakiman yang diterbitkan hari ini, FBI menyatakan bahwa mereka menggunakan surat perintah penggeledahan untuk mengakses server Exchange yang masih dikompromikan, menyalin web shell sebagai bukti, dan kemudian menghapus web shell dari server.

FBI meminta surat perintah ini karena mereka yakin bahwa pemilik server web yang masih terinfeksi tidak memiliki kemampuan teknis untuk menghapusnya sendiri dan bahwa shell tersebut menimbulkan risiko yang signifikan bagi korban.

Karena ada kekhawatiran bahwa memberi tahu pemilik server ini dapat membahayakan operasi, FBI meminta agar surat perintah ditutup dan pemberitahuan surat perintah ditunda sampai operasi selesai.

Untuk membersihkan server Microsoft Exchange yang teridentifikasi, FBI mengakses web shell menggunakan sandi yang diketahui digunakan oleh pelaku ancaman, menyalin web shell sebagai bukti, dan kemudian menjalankan perintah untuk menghapus web shell dari server yang disusupi.

Selengkapnya: Bleeping Computer

NSA menemukan kerentanan Exchange Server yang kritis, tambal sekarang!

April 14, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk Exchange Server yang menangani empat kerentanan dengan skor tingkat keparahan mulai dari tinggi hingga kritis.

Semua kekurangan mengarah pada eksekusi kode jarak jauh pada mesin yang rentan dan ditemukan serta dilaporkan ke Microsoft oleh Badan Keamanan Nasional AS (NSA). Microsoft juga menemukan beberapa di antaranya secara internal.

Mengingat tingkat keparahan mereka dan pesta peretasan Microsoft Exchange yang dimulai pada awal tahun, organisasi sangat disarankan untuk memprioritaskan pemasangan tambalan terbaru.

Cacat tersebut memengaruhi Exchange Server versi 2013 hingga 2019 dan meskipun tidak ada bukti yang dieksploitasi di alam liar, Microsoft menilai bahwa pelaku ancaman cenderung memanfaatkannya segera setelah mereka membuat eksploitasi.

Empat kerentanan menerima nomor pelacakan (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483). Yang paling parah dari mereka memiliki skor keparahan kritis 9,8 dari 10 dan dapat dieksploitasi sebelum otentikasi, menurut analis intelijen ancaman senior Microsoft Kevin Beaumont. Kritis lainnya adalah 9/10, dan 8,8 / 10.

Ada dua cara untuk menerapkan pembaruan Exchange Server:

Menerapkan pembaruan secara manual memerlukan penginstalan file patch .MSP Installer Windows dari command prompt.

Selengkapnya: Bleeping Computer

Microsoft April 2021 Patch Tuesday memperbaiki 108 kekurangan, 5 zero-day

April 14, 2021 by Winnie the Pooh

Microsoft Patch Tuesday bulan April 2021 telah dirilis dengan lima kerentanan zero-day dan kerentanan Microsoft Exchange yang lebih kritis.

Pada pembaruan kali ini, Microsoft telah memperbaiki 108 kerentanan, dengan 19 kerentanan diklasifikasikan sebagai Kritis dan 89 sebagai Penting. Angka-angka ini tidak termasuk 6 kerentanan Chromium Edge yang dirilis awal bulan ini.

Ada juga lima kerentanan zero-day yang ditambal pada pembaruan kali ini yang diungkapkan secara publik, dengan satu diketahui digunakan dalam beberapa serangan. Microsoft juga memperbaiki empat kerentanan Microsoft Exchange kritis yang ditemukan NSA.

Empat kerentanan tersebut adalah:

CVE-2021-27091 – Kerentanan Peningkatan Hak Istimewa pada Layanan Pemeta Endpoint RPC
CVE-2021-28312 – Kerentanan Penolakan Layanan NTFS Windows
CVE-2021-28437 – Kerentanan Pengungkapan Informasi Penginstal Windows – PolarBear
CVE-2021-28458 – Kerentanan Peningkatan Hak Istimewa pada Perpustakaan Azure ms-rest-nodeauth

Kerentanan berikut adalah kerentanan yang ditemukan oleh peneliti Kaspersky Boris Larin telah dieksploitasi di alam liar.

CVE-2021-28310 – Peningkatan Kerentanan Hak Istimewa Win32k

Kaspersky yakin CVE-2021-28310 yang dieksploitasi digunakan oleh BITTER APT group.

Untuk informasi tentang pembaruan Windows non-keamanan, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5001330 & KB5001337.

Microsoft menghimbau kepada seluruh pengguna untuk menerapkan patch sesegera mungkin.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft Exchange

Cookies Settings