Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Cacat Windows RPC CVE-2022-26809 yang kritis menimbulkan kekhawatiran — Perbarui sekarang

by

Microsoft telah memperbaiki kerentanan Windows RPC CVE-2022-26809 baru yang menimbulkan kekhawatiran di antara peneliti keamanan karena potensinya untuk serangan siber yang luas dan signifikan setelah eksploitasi dikembangkan. Oleh karena itu, semua organisasi perlu menerapkan pembaruan keamanan Windows sesegera mungkin.

Microsoft memperbaiki kerentanan ini sebagai bagian dari pembaruan Patch Tuesday April 2022 dan menilainya sebagai ‘Kritis,’ karena memungkinkan eksekusi kode jarak jauh yang tidak sah melalui bug dalam protokol komunikasi Microsoft Remote Procedure Call (RPC).

Jika dieksploitasi, perintah apa pun akan dieksekusi pada tingkat hak istimewa yang sama dengan server RPC, yang dalam banyak kasus memiliki izin tingkat SISTEM yang ditingkatkan atau, yang menyediakan akses administratif penuh ke perangkat yang dieksploitasi.

Protokol Microsoft Remote Procedure Call (RPC) adalah protokol komunikasi yang memungkinkan proses untuk berkomunikasi satu sama lain, bahkan jika program tersebut berjalan di perangkat lain.

RPC memungkinkan proses pada perangkat yang berbeda untuk berkomunikasi satu sama lain, dengan host RPC mendengarkan koneksi jarak jauh melalui port TCP, paling sering port 445 dan 135.

Para peneliti telah mulai menganalisis dan menerbitkan detail teknis tentang kerentanan, yang akan digunakan oleh peneliti lain dan aktor ancaman untuk disatukan menjadi eksploitasi yang bisa diterapkan.

Kecuali pembaruan keamanan diinstal, perangkat akan tetap rentan secara internal terhadap pelaku ancaman yang membahayakan jaringan.

Selengkapnya: Bleeping Computer

Microsoft mengganggu malware Zloader dalam operasi global

by

Operasi global selama berbulan-bulan yang dipimpin oleh Unit Kejahatan Digital (DCU) Microsoft telah menghapus lusinan domain yang digunakan sebagai server perintah-dan-kontrol (C2) oleh botnet ZLoader yang terkenal kejam.

Perintah pengadilan yang diperoleh Microsoft mengizinkannya untuk menenggelamkan 65 domain hardcode yang digunakan oleh geng kejahatan dunia maya ZLoader untuk mengontrol botnet dan 319 domain lainnya yang terdaftar menggunakan algoritme pembuatan domain yang digunakan untuk membuat saluran komunikasi cadangan dan cadangan.

“Selama penyelidikan kami, kami mengidentifikasi salah satu pelaku di balik pembuatan komponen yang digunakan dalam botnet ZLoader untuk mendistribusikan ransomware sebagai Denis Malikov, yang tinggal di kota Simferopol di Semenanjung Krimea,” jelas Amy Hogan-Burney, DCU Manajer umum.

Beberapa penyedia telekomunikasi dan perusahaan keamanan siber di seluruh dunia bermitra dengan intel ancaman dan peneliti keamanan Microsoft selama upaya investigasi, termasuk ESET, Black Lotus Labs (lengan intelijen ancaman Lumen), Unit 42 Jaringan Palo Alto, dan Avast.

Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC) dan Pusat Berbagi dan Analisis Informasi Kesehatan (H-ISAC) juga menyumbangkan data dan wawasan untuk membantu memperkuat kasus hukum.

ZLoader menyerang peta panas (Microsoft)

Zloader (alias Terdot dan DELoader) adalah trojan perbankan terkenal yang pertama kali terlihat pada Agustus 2015 ketika digunakan dalam serangan terhadap beberapa pelanggan perusahaan keuangan Inggris.

“Kemampuannya termasuk menangkap tangkapan layar, mengumpulkan cookie, mencuri kredensial dan data perbankan, melakukan pengintaian, meluncurkan mekanisme persistensi, menyalahgunakan alat keamanan yang sah, dan menyediakan akses jarak jauh ke penyerang,” kata Tim Intelijen Ancaman Pembela Microsoft 365 hari ini.

Seperti Zeus Panda dan Floki Bot, malware ini hampir seluruhnya didasarkan pada kode sumber trojan Zeus v2 yang bocor secara online lebih dari satu dekade lalu.

Malware telah digunakan untuk menargetkan bank di seluruh dunia, dari Australia dan Brasil hingga Amerika Utara, dengan tujuan akhir mengumpulkan data keuangan melalui injeksi web yang menggunakan rekayasa sosial untuk mengelabui pelanggan bank yang terinfeksi agar membagikan kode otentikasi dan kredensial.

Zloader juga memiliki fitur pintu belakang dan kemampuan akses jarak jauh, dan dapat digunakan sebagai pemuat malware untuk menjatuhkan muatan tambahan pada perangkat yang terinfeksi.

Baru-baru ini, operator dari beberapa geng ransomware juga telah menggunakannya untuk menyebarkan muatan berbahaya seperti Ryuk dan Egregor, serta DarkSide dan BlackMatter per Microsoft.

Sumber : Bleeping Computer

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

by

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata Microsoft Detection and Response Team (DART).

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Microsoft April 2022 Patch Tuesday memperbaiki 119 kelemahan, 2 zero days

by

Microsoft telah memperbaiki 119 kerentanan (tidak termasuk 26 kerentanan Microsoft Edge) dengan pembaruan hari ini, dengan sepuluh diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Jumlah bug di setiap kategori kerentanan tercantum di bawah ini:

  • 47 Peningkatan Kerentanan Hak Istimewa
  • 0 Kerentanan Bypass Fitur Keamanan
  • 47 Kerentanan Eksekusi Kode Jarak Jauh
  • 13 Kerentanan Pengungkapan Informasi
  • 9 Kerentanan Denial of Service
  • 3 Kerentanan Spoofing
  • 26 Edge – Kerentanan Chromium

Patch Tuesday bulan ini juga mencakup perbaikan untuk dua kerentanan zero-day, satu diungkapkan secara publik dan yang lainnya dieksploitasi secara aktif dalam serangan.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa perbaikan resmi yang tersedia.

Kerentanan zero-day yang yang diperbaiki hari ini adalah bug yang ditemukan oleh peneliti keamanan Abdelhamid Naceri yang sebelumnya berusaha diperbaiki oleh Microsoft dua kali setelah bypass patch baru ditemukan.

CVE-2022-26904 – Layanan Profil Pengguna Windows Peningkatan Kerentanan Hak Istimewa
Zero-day yang diekspos secara publik adalah bug elevasi hak istimewa yang ditemukan oleh CrowdStrike dan Badan Keamanan Nasional AS (NSA).

CVE-2022-24521 – Driver Sistem File Log Umum Windows Peningkatan Kerentanan Hak Istimewa
Sekarang Microsoft telah mengeluarkan tambalan untuk kerentanan ini, aktor ancaman diharapkan menganalisis kerentanan untuk mempelajari cara mengeksploitasinya.

Oleh karena itu, sangat disarankan untuk menginstal pembaruan keamanan hari ini sesegera mungkin.

Di bawah ini adalah daftar lengkap kerentanan yang diselesaikan dan saran yang dirilis dalam pembaruan Patch Tuesday April 2022. Anda dapat melihat laporan lengkapnya di sini.

Sumber : Bleeping Computer

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

by

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Microsoft Menyelidiki Klaim Pelanggaran oleh Geng Pemerasan

by

Microsoft sedang menyelidiki klaim bahwa kelompok peretasan yang berfokus pada pemerasan yang sebelumnya membahayakan perusahaan besar seperti Ubisoft dan Nvidia telah memperoleh akses ke sistem internal Microsoft, menurut sebuah pernyataan dari perusahaan.

Kelompok peretas, yang menggunakan nama sendiri LAPSUS$, telah berhasil menembus gelombang perusahaan baru-baru ini. LAPSUS$ terkadang membuat permintaan tebusan yang tidak biasa dari para korbannya, termasuk meminta Nvidia untuk membuka kunci aspek kartu grafisnya agar lebih cocok untuk menambang cryptocurrency. Kelompok tersebut sejauh ini tidak membuat tuntutan publik terhadap Microsoft.

Pada hari Minggu, LAPSUS$ memposting tangkapan layar yang tampaknya merupakan akun pengembang internal Microsoft ke saluran Telegram mereka. Tangkapan layar tampaknya berasal dari akun Azure DevOps, produk yang ditawarkan Microsoft yang memungkinkan pengembang berkolaborasi dalam proyek.

Proyek khusus yang ditampilkan di tangkapan layar termasuk “Bing_UX,” yang berpotensi merujuk pada pengalaman pengguna mesin pencari Bing Microsoft; “Bing-Source,” menunjukkan akses ke kode sumber mesin pencari; dan “Cortana,” asisten cerdas Microsoft. Bagian lain termasuk “mscomdev,” “microsoft,” dan “msblox,” menunjukkan siapa pun yang mengambil tangkapan layar mungkin memiliki akses ke repositori kode lain juga.

Apakah Anda tahu hal lain tentang pelanggaran ini atau yang lainnya? Kami akan senang mendengar dari Anda. Menggunakan telepon atau komputer non-kerja, Anda dapat menghubungi Joseph Cox dengan aman di Signal di +44 20 8133 5190, Wickr di josephcox, atau mengirim email ke joseph.cox@vice.com.

Tak lama setelah memposting tangkapan layar, administrator saluran Telegram LAPSUS$ menghapus gambar tersebut.

Awal bulan ini, grup tersebut mengatakan di saluran Telegramnya bahwa mereka sedang mencari karyawan di dalam perusahaan yang bersedia bekerja dengan mereka, termasuk Microsoft.

SCREENSHOT YANG DIUPLOAD OLEH LAPSUS$. GAMBAR: TELEGRAM.

Sejak Desember, kelompok tersebut telah melanggar Kementerian Kesehatan Brasil, sejumlah perusahaan Brasil dan Portugis, dan kemudian Nvidia dan Samsung masing-masing pada bulan Februari dan Maret, menurut garis waktu serangan LAPSUS yang diterbitkan oleh perusahaan keamanan siber Silent Push. Kelompok itu juga tampaknya mengambil pujian karena melanggar Ubisoft bulan ini.

Selama beberapa serangannya, kelompok tersebut meminta pembayaran sebagai imbalan untuk tidak membocorkan data internal yang telah dicuri dari para korban. Dalam kasus NVIDIA, para peretas menuntut agar perusahaan membuka sumber driver GPU-nya dan menghapus batasan pada kartu 30-seri di sekitar penambangan Ethereum, The Verge melaporkan pada saat itu. Di grup Telegramnya, LAPSUS$ juga mengklaim bahwa NVIDIA, atau seseorang yang bekerja atas namanya, meretas serangan dan mencoba mengenkripsi materi yang dicuri. Kelompok tersebut akhirnya membocorkan beberapa data NVIDIA serta data yang dicuri dari Samsung.

LAPSUS$ mungkin juga bertanggung jawab atas peretasan raksasa game Electronic Arts, meskipun peretas tidak menggunakan nama LUPSUS$ sampai setelah Motherboard mengungkapkan pelanggaran itu Juni lalu. Dalam posting selanjutnya di forum bawah tanah, seorang pengguna menulis “kredit sebenarnya adalah untuk LAPSUS$, kami akan membocorkan lebih banyak barang.”

Dalam email ke Motherboard, Stefano De Blasi, analis riset ancaman siber di perusahaan keamanan siber Digital Shadows, menunjukkan dua hal yang membuat LAPSUS$ berbeda dari geng pemerasan biasa. Pertama, kelompok tersebut tidak pernah benar-benar menyebarkan ransomware, melainkan mengekstrak data dan menggunakannya untuk memeras target. Ini memungkinkan grup untuk bergerak lebih diam-diam, kata De Blasi. De Blasi juga menunjuk pada kehadiran interaktif LAPSUS$ di Telegram, dan khususnya pesan grup dengan pengikutnya.

Sumber : Vice

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer