Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Microsoft Patch Tuesday Bulan Maret 2022 Memperbaiki 71 Kelemahan, 3 Zero Day

by

Microsoft telah merilis Patch Tuesday bulan MAret 2022, dan dengan itu datang perbaikan untuk 3 kerentanan zero-day dan total 71 kelemahan keamanan.

Microsoft telah memperbaiki 71 kerentanan (tidak termasuk 21 kerentanan Microsoft Edge ) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis karena memungkinkan eksekusi kode jarak jauh.

Patch Tuesday bulan ini juga mencakup perbaikan untuk tiga kerentanan zero-day yang diungkapkan secara publik. Kabar baiknya adalah bahwa tidak satu pun dari kerentanan ini yang dieksploitasi secara aktif dalam serangan.

Kerentanan yang diungkapkan kepada publik yang diperbaiki sebagai bagian dari Patch Tuesday Maret 2022 adalah:

  • CVE-2022-21990 – Remote Desktop Client Remote Code Execution Vulnerability
  • CVE-2022-24459 – Windows Fax and Scan Service Elevation of Privilege Vulnerability
  • CVE-2022-24512 – .NET and Visual Studio Remote Code Execution Vulnerability

Meskipun tidak satu pun dari kerentanan ini telah digunakan dalam serangan, Microsoft menyatakan bahwa ada eksploit proof-of-concept untuk CVE-2022-21990 dan CVE-2022-24459.

Kerentanan lain yang menarik bulan ini yang diyakini Microsoft lebih mungkin menjadi sasaran pelaku ancaman adalah:

  • CVE-2022-24508 – Windows SMBv3 Client/Server Remote Code Execution Vulnerability
  • CVE-2022-23277 – Microsoft Exchange Server Remote Code Execution Vulnerability

Pengguna disarankan untuk menerapkan pembaruan yang telah tersedia sesegera mungkin.

Selengkapnya: Bleeping Computer

Microsoft: Ukraina terkena malware FoxBlade baru beberapa jam sebelum invasi

by

Microsoft mengatakan bahwa jaringan Ukraina ditargetkan dengan malware yang baru ditemukan beberapa jam sebelum invasi Rusia ke Ukraina pada 24 Februari.

Para peneliti dari Microsoft Threat Intelligence Center (MSTIC) mengamati serangan destruktif yang menargetkan Ukraina dan menemukan jenis malware baru yang mereka namakan FoxBlade.

“Kami segera memberi tahu pemerintah Ukraina tentang situasinya, termasuk identifikasi kami tentang penggunaan paket malware baru (yang kami denominasikan FoxBlade), dan memberikan saran teknis tentang langkah-langkah untuk mencegah keberhasilan malware.”

Smith juga mengatakan bahwa perusahaan memperbarui platform keamanan Defender dengan tanda tangan baru untuk memblokir malware FoxBlade dalam waktu tiga jam setelah menemukan alat berbahaya yang digunakan di alam liar.

Microsoft menggambarkan malware dalam penasehat Intelijen Keamanan yang diterbitkan pada 23 Februari sebagai trojan yang dapat menggunakan komputer “untuk serangan penolakan layanan (DDoS) terdistribusi” tanpa sepengetahuan pemiliknya.

Serangan siber yang baru-baru ini terlihat dan masih aktif ini “telah ditargetkan dengan tepat,” Smith juga mengungkapkan.

Ini kontras dengan serangan malware tanpa pandang bulu yang berdampak pada ekonomi Ukraina dan negara lain selama serangan NotPetya di seluruh dunia tahun 2017 yang terkait dengan grup peretasan Direktorat Intelijen Utama GRU Rusia yang dikenal sebagai Sandworm.

Jaringan Ukraina diserang dengan malware yang merusak
Serangan siber ofensif yang terdeteksi oleh peneliti MSTIC tepat sebelum invasi Rusia mengikuti beberapa rangkaian serangan malware lainnya sejak awal tahun 2021.

Awal bulan ini, malware HermeticWiper yang baru ditemukan digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware untuk menghapus data dan membuat perangkat tidak dapat di-boot.

Pada bulan Januari, negara itu dilanda serangkaian serangan malware lainnya yang menggunakan wiper WhisperGate yang disamarkan sebagai muatan ransomware.

Selama akhir pekan, CISA dan FBI memperingatkan organisasi AS bahwa data yang menghapus serangan terhadap Ukraina dapat menyebar ke negara lain, mendesak organisasi AS untuk “meningkatkan kewaspadaan” dan memperkuat pertahanan mereka.

Pada hari yang sama, Wakil Perdana Menteri Ukraina Mykhailo Fedorov juga mengungkapkan pembentukan “tentara TI” untuk membantu negara “bertarung di front cyber.”

Tepat sebelum perang dimulai, Layanan Keamanan Ukraina (SSU) melaporkan bahwa Ukraina menjadi sasaran “gelombang besar perang hibrida”.

Sumber : Bleeping Computer

Pemasang pemutakhiran Windows 11 palsu menginfeksi Anda dengan malware RedLine

by

Pelaku ancaman telah mulai mendistribusikan penginstal pemutakhiran Windows 11 palsu kepada pengguna Windows 10, menipu mereka agar mengunduh dan menjalankan malware pencuri RedLine.

Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase penyebaran luas Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi mereka.

Pelaku mencuri kata sandi, cookie browser, kartu kredit, dan pengambil info dompet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.

Menurut peneliti di HP, para pelaku menggunakan domain “windows-upgraded.com” yang tampaknya sah untuk bagian distribusi malware dari kampanye mereka.

Situs tersebut tampak seperti situs Microsoft asli dan, jika pengunjung mengeklik tombol ‘Unduh Sekarang’, mereka menerima arsip ZIP 1,5 MB bernama “Windows11InstallationAssistant.zip,” diambil langsung dari CDN Discord.

Situs web palsu yang digunakan untuk penyebaran malware (HP)

Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.

Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai.

Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.

Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server perintah-dan-kontrol melalui TCP untuk mendapatkan instruksi tentang tugas jahat apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.

Eksekusi RedLine dan rantai pemuatan (HP)

Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.

Pelaku ancaman juga memanfaatkan klien pembaruan Windows yang sah untuk mengeksekusi kode berbahaya pada sistem Windows yang disusupi, sehingga taktik yang dilaporkan oleh HP hampir tidak mengejutkan saat ini.

Sumber : Bleeping Computer

Pembaruan Windows 11 KB5010386 dirilis dengan perbaikan kinerja

by

Microsoft telah merilis pembaruan kumulatif Windows 11 KB5010386 dengan pembaruan keamanan, peningkatan kinerja, dan perbaikan untuk bug LDAP.

KB5010386 adalah pembaruan kumulatif wajib karena berisi pembaruan keamanan Patch Tuesday Februari 2022 untuk kerentanan yang ditemukan di bulan-bulan sebelumnya.

Pengguna Windows 11 dapat menginstal pembaruan hari ini dengan membuka Mulai > Pengaturan > Pembaruan Windows dan mengeklik ‘Periksa Pembaruan’.

Pembaruan KB5010386 ditawarkan di Pembaruan Windows

Pengguna Windows 11 juga dapat mengunduh dan menginstal pembaruan KB5010386 dari Katalog Pembaruan Microsoft.

Setelah menginstal pembaruan KB5010386, Windows 11 akan mengubah nomor build menjadi 22000.493.

Selama beberapa bulan terakhir, log perubahan pembaruan kumulatif Microsoft belum memberikan informasi terperinci tentang apa yang telah diperbaiki.

Microsoft menyatakan bahwa satu-satunya perbaikan non-keamanan dalam pembaruan KB5010386 adalah untuk masalah LDAP, yang menyebabkan operasi gagal.

“Pesan kesalahannya adalah, “Kesalahan: 0x20EF. Layanan direktori mengalami kegagalan yang tidak diketahui”.

Minggu lalu, Microsoft merilis pembaruan pratinjau Windows 11 yang menyelesaikan masalah kinerja Windows 11 File Explorer saat beralih di antara, menelusuri, atau memilih file. Meskipun Microsoft tidak mencantumkannya di changelog, perbaikan ini juga disertakan dengan pembaruan kumulatif Windows 11 hari ini.

Terakhir, Microsoft memperbarui tumpukan layanan untuk mengatasi bug atau masalah yang mencegah Pembaruan Windows menginstal pembaruan di masa mendatang dengan benar.

Sumber : Bleeping Computer

Microsoft memblokir makro Office VBA secara default

by

Microsoft akhirnya berencana untuk memblokir makro Visual Basic for Applications (VBA) secara default di berbagai aplikasi Office. Perubahan akan berlaku untuk file Office yang diunduh dari internet dan menyertakan makro, sehingga pengguna Office tidak lagi dapat mengaktifkan konten tertentu hanya dengan mengklik tombol.

Peretas telah menargetkan dokumen Office dengan makro berbahaya selama bertahun-tahun, dan meskipun Office telah lama meminta pengguna untuk mengklik untuk mengaktifkan makro berjalan, tombol sederhana ini dapat menyebabkan “termasuk malware yang parah, identitas yang disusupi, kehilangan data, dan akses jarak jauh.” Alih-alih tombol, spanduk risiko keamanan akan muncul dengan tautan ke artikel dukungan Microsoft, tetapi tidak ada cara mudah untuk mengaktifkan makro.

Microsoft berencana untuk melihat pratinjau perubahan dengan pengguna Saluran Saat Ini (Pratinjau) pada awal April, sebelum diluncurkan ke pelanggan reguler Microsoft 365. Perubahan untuk memblokir makro VBA dari web akan memengaruhi Access, Excel, PowerPoint, Visio, dan Word di Windows. Microsoft juga berencana untuk memperbarui Office LTSC, Office 2021, Office 2019, Office 2016, dan bahkan Office 2013 untuk memblokir makro VBA internet.

Ini adalah perubahan besar yang dapat memengaruhi banyak kasus penggunaan asli untuk makro VBA, dan itu berarti bahwa pengguna Office hanya akan dapat mengaktifkan makro dengan secara khusus mencentang opsi buka blokir pada properti file. Itu lebih banyak langkah dari biasanya, dan yang diharapkan Microsoft akan membantu mencegah masalah keamanan di masa mendatang.

“Makro menyumbang sekitar 25 persen dari semua entri ransomware,” jelas peneliti keamanan dan mantan karyawan Microsoft Kevin Beaumont. “Terus mengabaikan fungsi makro dan makro. Ini sangat penting. Terima kasih semua orang di belakang layar yang melakukan ini.” Marcus Hutchins, seorang peneliti keamanan yang terkenal karena menghentikan serangan malware WannaCry global, juga merayakan perubahan Microsoft tetapi mencatat bahwa perusahaan telah “memutuskan untuk melakukan yang minimal” setelah bertahun-tahun terinfeksi malware.

Sumber : The Verge

CISA Memerintahkan Agen Federal untuk Memperbaiki Bug Windows yang Dieksploitasi Secara Aktif

by

CISA menempatkan thumbscrews pada agen federal untuk membuat mereka menambal kerentanan Windows yang dieksploitasi secara aktif.

Pada hari Jumat, Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) mengumumkan bahwa mereka menambahkan kerentanan dilacak sebagai CVE-2022-21882 dan dengan peringkat kekritisan CVSS 7.0 – ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Langkah ini berarti bahwa lembaga Federal Civilian Executive Branch (FCEB) memiliki waktu hingga 18 Februari 2022 untuk memulihkan kerentanan, yang memengaruhi semua versi Windows 10 yang belum ditambal.

CVE-2022-21882 adalah bug eskalasi hak istimewa di Windows 10 yang tidak memerlukan banyak hak istimewa untuk dieksploitasi: skenario buruk, terutama mengingat eksploitasi tidak memerlukan interaksi pengguna.

Microsoft mengatasi bug tersebut sebagai bagian dari pembaruan Patch Tuesday Januari 2022: serangkaian patch luas yang menangani 97 kerentanan keamanan, sembilan di antaranya adalah CVE kritis, termasuk self-propagator dengan skor 9,8 CVSS.

Sayangnya, terlepas dari kenyataan bahwa itu adalah Patch Tuesday yang gemuk yang diisi penuh dengan patch-patch kritis, itu juga Patch Tuesday yang gemuk yang kemungkinan besar mengembangkan reaksi alergi oleh banyak organisasi.

Itu karena, setidaknya untuk beberapa pelanggan, pembaruan segera meledak, merusak Windows, menyebabkan loop boot spontan pada server pengontrol domain Windows, merusak Hyper-V dan membuat sistem volume ReFS tidak tersedia.

Dalam dua hari setelah rilis 11 Januari, Microsoft telah mencabut pembaruan kumulatif Windows Server Januari, membuatnya tidak tersedia melalui Pembaruan Windows.

Eksploitasi proof-of-concept (PoC) untuk CVE-2022-21882, yang telah ditangani Microsoft sebagai bagian dari pembaruan Patch Tuesday Januari 2022, telah tersedia di alam liar selama beberapa minggu. PoC dirilis oleh Gil Dabah, pendiri dan CEO Privacy Piiano, yang menawarkan “PII by design.”

Seperti yang di-tweet Dabah pada 28 Januari, dia menemukan bug itu dua tahun lalu tetapi memutuskan untuk tidak melaporkannya pada saat itu, mengingat bahwa Microsoft masih berutang uang kepadanya untuk “hal-hal lain,” seperti yang dia klaim. Selain itu, dia tidak senang dengan penghargaan hadiah bug Microsoft yang menyusut, yang “mengurangi penghargaan menjadi hampir tidak ada,” kata Dabah.

Pada hari Jumat, CISA mengatakan bahwa mereka menambahkan bug ke database kerentanan yang diketahui dieksploitasi berdasarkan bukti bahwa aktor ancaman secara aktif mengeksploitasinya. Meskipun tenggat waktu perbaikan CISA hanya berlaku untuk agensi FCEB, CISA bergoyang, dan berharap dapat menggunakannya untuk meyakinkan pakaian non-federal untuk menambal.

Sumber : Threat Post

Microsoft menambahkan fitur ‘kritis’ untuk keamanan GitHub

by

Integrasi yang lebih dalam antara Microsoft Sentinel dan GitHub adalah kemenangan untuk keamanan aplikasi, menandai langkah besar untuk membantu perusahaan mengatasi tantangan keamanan dalam rantai pasokan perangkat lunak.

Integrasi ini memungkinkan pemantauan ancaman berkelanjutan untuk GitHub platform hosting kode yang banyak digunakan yang dimiliki oleh Microsoft. Itu dilakukan dengan mengikat repositori GitHub berlisensi perusahaan ke platform informasi keamanan dan manajemen acara (SIEM) Microsoft, Sentinel, menurut perusahaan.

Hal ini memungkinkan Microsoft Sentinel untuk menyerap log audit GitHub, menyediakan kemampuan seperti pelacakan untuk acara – termasuk pembuatan atau penghapusan repositori baru – dan menghitung jumlah klon repositori, kata Microsoft dalam sebuah posting hari ini.

Pada hari Senin, Open Source Security Foundation mengumumkan proyek baru yang dirancang untuk mengamankan rantai pasokan perangkat lunak, yang didukung oleh $ 5 juta dari Microsoft dan Google.

Integrasi yang diperluas antara GitHub dan SIEM Microsoft “memberikan visibilitas kritis ke dalam risiko keamanan rantai pasokan perangkat lunak termasuk komitmen yang melanggar kebijakan kode aman atau upaya pengguna untuk menimpa kode,” kata Jasmine Hex, direktur keamanan lapangan di vendor platform manajemen aset cyber JupiterOne, dalam email.

Prakash Linga, salah satu pendiri dan CEO di vendor platform keamanan kode BluBracket, mengatakan bahwa langkah oleh Microsoft “mewakili pengakuan arus utama yang lebih luas bahwa kode dan repositori kode adalah permukaan risiko yang berkembang dan sebagian besar tidak terlindungi.”

Jelas, pelacakan peristiwa dan mengidentifikasi aktivitas mencurigakan di GitHub sangat penting untuk mengurangi risiko pemalsuan data dan kebocoran data, kata Adam Gavish, salah satu pendiri dan CEO di vendor keamanan software-as-a-service (SaaS) DoControl.

Tetapi penting juga untuk diingat bahwa banyak ancaman “orang dalam” tidak disengaja, tanpa niat jahat, kata Gavish dalam email. “Ini murni masalah kesalahan manusia.”

Misalnya, mengunggah kode sumber yang salah ke repo publik di GitHub — yang dimaksudkan untuk pribadi — kemungkinan disebabkan oleh pengembang yang tidak cukup memperhatikan, katanya. Jadi, bersama dengan pelacakan peristiwa, tindakan pencegahan untuk menghilangkan kesalahan manusia harus dipertimbangkan juga, kata Gavish.

Microsoft Sentinel kini memiliki 15.000 pelanggan, naik 70% dari tahun lalu, ungkap CEO Microsoft Satya Nadella pekan lalu. Secara keseluruhan, Microsoft melaporkan memiliki 715.000 pelanggan keamanan. Pendapatan untuk bisnis keamanannya tumbuh 45% dari tahun ke tahun, melampaui $15 miliar, selama 12 bulan terakhir, kata Nadella.

Dalam perkembangan GitHub lainnya, platform hari ini mengumumkan bahwa mereka telah meluncurkan fitur baru yang memungkinkan perusahaan dan pengembang untuk menawarkan sponsor proyek akses khusus ke repositori pribadi. Sponsor GitHub pertama kali diperkenalkan pada tahun 2019, memungkinkan siapa saja untuk menyumbang ke proyek sumber terbuka dan pengelola yang mendedikasikan waktu mereka untuk mendukung perangkat lunak penting.

Sementara itu, GitHub juga mengalami pemadaman hari ini, yang berlangsung sekitar 20 menit dan menyebabkan “penurunan kinerja” untuk GitHub Actions, Issues, Pull Requests, dan Codespaces, kata perusahaan tersebut.

Sumber : Venture Beat

Hacker Menggunakan Trik Pendaftaran Perangkat untuk Menyerang Perusahaan dengan Phishing Lateral

by

Microsoft telah mengungkapkan rincian kampanye phishing multi-fase berskala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat di jaringan korban untuk menyebarkan email spam lebih lanjut dan memperluas kolam infeksi.

Raksasa teknologi itu mengatakan serangan itu dimanifestasikan melalui akun yang tidak diamankan menggunakan otentikasi multi-faktor (MFA), sehingga memungkinkan musuh untuk mengambil keuntungan dari kebijakan bring-your-own-device (BYOD) target dan memperkenalkan perangkat nakal mereka sendiri menggunakan kredensial yang dicuri.

Serangan itu terjadi dalam dua tahap. “Fase kampanye pertama melibatkan pencurian kredensial di organisasi target yang berlokasi terutama di Australia, Singapura, Indonesia, dan Thailand,” kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah laporan teknis yang diterbitkan minggu ini.

Kredensial yang dicuri kemudian dimanfaatkan pada tahap kedua, di mana penyerang menggunakan akun yang dikompromikan untuk memperluas pijakan mereka dalam organisasi melalui phishing lateral serta di luar jaringan melalui spam keluar.

Kampanye dimulai dengan pengguna yang menerima umpan phishing bermerek DocuSign yang berisi tautan, yang, setelah mengklik, mengarahkan penerima ke situs web nakal yang menyamar sebagai halaman login untuk Office 365 untuk mencuri kredensial.

Pencurian kredensial tidak hanya mengakibatkan kompromi lebih dari 100 kotak surat di berbagai perusahaan, tetapi juga memungkinkan penyerang untuk menerapkan aturan kotak masuk untuk menggagalkan deteksi. Ini kemudian diikuti oleh gelombang serangan kedua yang menyalahgunakan kurangnya perlindungan MFA untuk mendaftarkan perangkat Windows yang tidak dikelola ke instans Azure Active Directory (AD) perusahaan dan menyebarkan pesan berbahaya.

Dengan menghubungkan perangkat yang dikendalikan penyerang ke jaringan, teknik baru membuatnya layak untuk memperluas pijakan penyerang, diam-diam memperbanyak serangan, dan bergerak lateral di seluruh jaringan yang ditargetkan.

“Untuk meluncurkan gelombang kedua, para penyerang memanfaatkan kotak surat yang dikompromikan pengguna yang ditargetkan untuk mengirim pesan berbahaya ke lebih dari 8.500 pengguna, baik di dalam maupun di luar organisasi korban,” kata Microsoft. Email menggunakan umpan undangan berbagi SharePoint sebagai badan pesan dalam upaya untuk meyakinkan penerima bahwa file ‘Pembayaran.pdf’ yang dibagikan adalah sah.”

Perkembangan ini terjadi ketika serangan rekayasa sosial berbasis email terus menjadi cara paling dominan untuk menyerang perusahaan untuk mendapatkan entri awal dan menjatuhkan malware pada sistem yang dikompromikan.

Awal bulan ini, Netskope Threat Labs mengungkapkan kampanye jahat yang dikaitkan dengan grup OceanLotus yang melewati deteksi berbasis tanda tangan dengan menggunakan jenis file non-standar seperti file arsip web (. MHT) lampiran untuk menyebarkan informasi-mencuri malware.

Selain mengaktifkan MFA, menerapkan praktik terbaik seperti kebersihan kredensial yang baik dan segmentasi jaringan dapat “meningkatkan ‘biaya’ bagi penyerang yang mencoba menyebar melalui jaringan.”

“Praktik terbaik ini dapat membatasi kemampuan penyerang untuk bergerak secara lateral dan membahayakan aset setelah intrusi awal dan harus dilengkapi dengan solusi keamanan canggih yang memberikan visibilitas di seluruh domain dan mengkoordinasikan data ancaman di seluruh komponen perlindungan,” tambah Microsoft.

Sumber: The Hacker News