Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Eksploitasi zero-day Microsoft Outlook RCE sekarang dijual seharga $400.000

by

Broker eksploitasi Zerodium telah mengumumkan kenaikan gaji menjadi 400.000 untuk kerentanan zero-day yang memungkinkan eksekusi kode jarak jauh (RCE) di klien email Microsoft Outlook.

Hadiah reguler Zerodium untuk kerentanan RCE di Microsoft Outlook untuk windows adalah $ 250.000, diharapkan “disertai dengan eksploitasi yang berfungsi penuh dan andal.”

Untuk $400.000, Zerodium sedang menunggu eksploitasi yang mencapai eksekusi kode jarak jauh tanpa interaksi apa pun, yang disebut ‘zero-klik’, ketika klien email Microsoft menerima atau mengunduh pesan.

Perusahaan tidak mengesampingkan hadiah untuk eksploitasi yang memerlukan email untuk dibuka atau dibaca, meskipun pengirimnya akan mendapatkan pembayaran yang lebih rendah dan tidak diungkapkan.

Zerodium juga mengingatkan bahwa saat ini ia menawarkan hingga $200.000 untuk eksploitasi yang mengarah ke eksekusi kode jarak jauh di Mozilla Thunderbird, jumlah yang sama yang ditawarkan sejak 2019.

Kondisi yang sama berlaku untuk pembayaran eksploitasi untuk Mozilla Thunderbird seperti dalam kasus Microsoft Outlook. RCE di klien email akan memberi penyerang akses ke semua akun yang tersedia.

Meskipun perusahaan tidak menentukan tanggal akhir untuk mengirimkan eksploitasi Microsoft Outlook tanpa klik, periodenya mungkin cukup lama.

Pembayaran reguler untuk eksploitasi dalam sistem manajemen konten sumber terbuka (CMS) paling populer adalah $100.000.

Saat ini, hanya WordPress, Mozilla Thunderbird, dan Microsoft Outlook yang terdaftar sebagai aktif di halaman dengan peningkatan hadiah sementara.

Penawaran sementara yang baru-baru ini kedaluwarsa adalah untuk RCE dan sandbox escape di Google Chrome (keduanya hingga $400.000), dan RCE di server VMware vCenter (hingga $150.000).

Sumber : Bleeping Computer

Microsoft: Windows membutuhkan setidaknya 8 jam online untuk pembaharuan yang berhasil

by

Microsoft mengatakan bahwa perangkat Windows harus online setidaknya selama delapan jam untuk mendapatkan pembaruan terbaru dan memasangnya dengan benar setelah dirilis melalui Pembaruan Windows.

Jumlah waktu perangkat yang menjalankan Windows dihidupkan dan terhubung ke Pembaruan Windows dilacak oleh Microsoft sebagai ‘Konektivitas Pembaruan.’

Pengukuran ini mengkorelasikan kurangnya waktu terhubung yang cukup pada sistem dengan mengapa mereka tidak up-to-date sementara juga membuatnya lebih mudah untuk memahami mengapa beberapa perangkat tidak mungkin mendapatkan pembaruan yang dirilis baru-baru ini dengan sukses.

Menurut David Guyer, Manajer Program Microsoft untuk Pembaruan Windows di MEM, perangkat Windows memerlukan setidaknya 8 jam online untuk mendapatkan pembaruan terbaru dan berhasil menginstalnya.

“Salah satu hal paling berdampak yang kami jelajahi adalah berapa lama waktu yang dibutuhkan perangkat untuk dihidupkan dan terhubung ke Pembaruan Windows agar dapat berhasil menginstal pembaruan kualitas dan fitur,” kata Guyer.

“Apa yang kami temukan adalah bahwa perangkat yang tidak memenuhi jumlah waktu tertentu yang terhubung sangat kecil kemungkinannya untuk berhasil diperbarui. Secara khusus, data menunjukkan bahwa perangkat memerlukan minimal dua jam terhubung terus menerus, dan enam total jam terhubung setelah pembaruan dirilis. untuk memperbarui dengan andal.

“Ini memungkinkan pengunduhan yang berhasil dan penginstalan latar belakang yang dapat dimulai ulang atau dilanjutkan setelah perangkat aktif dan terhubung.”

Selengkapnya: Bleeping Computer

Microsoft Mengurangi Rekor Serangan DDoS 3,47 Tbps pada Pengguna Azure

by

Microsoft mengatakan platform perlindungan Azure DDoS-nya mengurangi serangan penolakan terdistribusi 3,47 terabit per detik (Tbps) yang menargetkan pelanggan Azure dari Asia pada bulan November.

Dua serangan ukuran besar lainnya mengikuti ini pada bulan Desember, juga menargetkan pelanggan Asia Azure, serangan UDP 3,25 Tbps di pelabuhan 80 dan 443 dan banjir UDP 2,55 Tbps di pelabuhan 443.

Pada bulan November, Microsoft mengurangi serangan DDoS dengan throughput 3,47 Tbps dan tingkat paket 340 juta paket per detik (pps), menargetkan pelanggan Azure di Asia. Kami percaya ini adalah serangan terbesar yang pernah dilaporkan dalam sejarah,” kata Alethea Toh, manajer produk Jaringan Azure.

“Ini adalah serangan terdistribusi yang berasal dari sekitar 10.000 sumber dan dari berbagai negara di seluruh dunia, termasuk Amerika Serikat, China, Korea Selatan, Rusia, Thailand, India, Vietnam, Iran, Indonesia, dan Taiwan.”

Serangan 15 menit menggunakan beberapa vektor serangan untuk refleksi UDP pada port 80, termasuk:

  • Protokol Penemuan Layanan Sederhana (SSDP),
  • Connection-less Lightweight Directory Access Protocol (CLDAP),
  • Sistem Nama Domain (DNS),
  • Protokol Waktu Jaringan (NTP)

Serangan DDoS yang dilaporkan secara publik sebelumnya adalah serangan lapisan aplikasi 21,8 juta permintaan per detik (rrps) yang menghantam raksasa internet Rusia Yandex pada bulan Agustus dan serangan volumetrik 2,3 Tbps yang terdeteksi oleh Amazon Web Services Shield selama Q1 2020.

Insinyur Keandalan Keamanan Google Damian Menscher juga mengungkapkan dua tahun lalu bahwa Google mengurangi DDoS 2,54 Tbps pada tahun 2017.

“Serangan terbesar yang pernah dilaporkan dalam sejarah”

Serangan 3,47 Tbps November adalah yang terbesar yang harus dihadapi perusahaan hingga saat ini (dan kemungkinan pernah tercatat), setelah sebelumnya melaporkan bahwa mereka mengurangi rekor serangan 2,4 Tbps lainnya yang menargetkan pelanggan Azure Eropa selama akhir Agustus.

Microsoft melihat peningkatan serangan yang berlangsung lebih dari satu jam pada paruh kedua tahun 2021, sementara serangan multi-vektor seperti rekor yang dikurangi pada bulan November lazim terjadi.

Serangan DDoS yang lebih lama ini biasanya datang sebagai urutan serangan ledakan yang berumur pendek dan berulang dengan cepat meningkat (dalam hitungan detik) ke volume terabit.

“Game terus menjadi industri yang paling terpukul. Industri game selalu penuh dengan serangan DDoS karena pemain sering berusaha keras untuk menang,” tambah Toh.

“Konsentrasi serangan di Asia sebagian besar dapat dijelaskan oleh jejak permainan yang sangat besar, terutama di China, Jepang, Korea Selatan, Hong Kong, dan India, yang akan terus tumbuh karena penetrasi smartphone yang meningkat mendorong popularitas game mobile di Asia.”

Microsoft juga membela pelanggan terhadap serangan banjir TCP PUSH-ACK baru (dominan di kawasan Asia Timur) selama musim liburan 2021.

“Kami mengamati teknik manipulasi opsi TCP baru yang digunakan oleh penyerang untuk membuang muatan besar, dimana dalam variasi serangan ini, panjang opsi TCP lebih panjang dari header opsi itu sendiri,” kata Toh.

Sumber: Bleepingcomputer

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

by

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer

DHL Melengserkan Microsoft Sebagai Merek yang Paling Ditiru dalam Serangan Phishing

by

DHL adalah merek yang paling ditiru dalam kampanye phishing sepanjang Q4 2021, mendorong Microsoft ke tempat kedua, dan Google ke posisi keempat.

Ini tidak mengherankan mengingat bahwa kuartal terakhir setiap tahun termasuk Black Friday, Cyber Monday, dan musim belanja Natal, sehingga umpan phishing berdasarkan pengiriman paket secara alami meningkat.

DHL adalah layanan pengiriman paket dan surat ekspres internasional, mengirimkan lebih dari 1,6 miliar paket per tahun.

Dengan demikian, kampanye phishing yang meniru merek memiliki peluang bagus untuk menjangkau orang-orang yang menunggu paket DHL tiba selama musim liburan.

Umpan spesifik berkisar dari paket yang terjebak di bea cukai dan memerlukan tindakan untuk izin ke nomor pelacakan yang seharusnya bersembunyi di dalam lampiran dokumen atau tautan tertanam.

Menurut sebuah laporan oleh perusahaan intelijen ancaman Check Point, sepuluh merek teratas yang ditiru oleh aktor phishing pada Q4 2021 adalah sebagai berikut:

    1. DHL (related to 23% of all phishing attacks globally)
    2. Microsoft (20%)
    3. WhatsApp (11%)
    4. Google (10%)
    5. LinkedIn (8%)
    6. Amazon (4%)
    7. FedEx (3%)
    8. Roblox (3%)
    9. Paypal (2%)
    10. Apple (2%)

Dalam contoh yang disajikan pada laporan Check Point, kampanye phishing menggunakan alamat email dukungan pelanggan DHL palsu untuk mengirim pesan “pemberitahuan pengiriman”, seperti yang ditunjukkan di bawah ini.

Dalam hal ini, email meminta pengguna untuk memverifikasi identitas mereka, yang terjadi pada halaman phishing yang dibuat agar terlihat persis seperti situs DHL yang sebenarnya.

Dalam umpan FedEx yang diambil sampelnya oleh CheckPoint, para aktor mengklaim tidak dapat mengirimkan paket ke penerima, meminta korban untuk memasukkan rincian mereka di situs phishing.

Akhirnya, ada spesimen phishing PayPal yang tidak menyenangkan yang meminta target untuk “mengkonfirmasi informasi akun mereka” untuk mencabut status penangguhan sementara.

Tetap tenang dan tetap waspada

Cara terbaik untuk menangani email masuk yang membuat klaim berani dan meminta tindakan-segera adalah berhati-hati.

Sebagai gantinya, Anda harus membuka tab browser baru, mengunjungi situs web resmi pengirim yang diduga, mengkonfirmasi validitas URL tempat Anda berada, dan baru kemudian masuk ke akun Anda. Jika ada tindakan yang diperlukan dari Anda, Anda akan melihat peringatan yang relevan di sana.

Jangan pernah mengklik tombol tertanam pada email dan hindari mengunduh dan membuka dokumen yang tiba melalui komunikasi yang tidak diminta.

Phishing bergantung pada menciptakan rasa urgensi, jadi setiap kali Anda berurusan dengan email yang menyebabkan Anda tertekan, pertimbangkan kemungkinan itu sebagai upaya untuk menipu Anda agar memberikan informasi sensitif.

Sumber: Bleepingcomputer

Microsoft merilis pembaruan darurat untuk masalah pembaruan Windows Januari

by

Microsoft telah merilis pembaruan darurat out-of-band (OOB) untuk mengatasi beberapa masalah yang disebabkan oleh Pembaruan Windows yang dikeluarkan selama Patch Tuesday Januari 2021.

Semua pembaruan OOB yang dirilis hari ini tersedia untuk diunduh di Microsoft Update Catalog, dan beberapa di antaranya juga dapat diinstal langsung melalui Windows Update sebagai pembaruan opsional.

Anda harus memeriksa pembaruan secara manual jika Anda ingin menginstal perbaikan darurat melalui Windows Update karena itu adalah pembaruan opsional dan tidak akan diinstal secara otomatis.

Seperti yang dilaporkan BleepingComputer setelah Patch Tuesday bulan ini, pembaruan Windows Server terbaru menyebabkan serangkaian masalah parah bagi administrator.

Menurut laporan admin, Windows domain controllers diganggu oleh reboot yang spontan, Hyper-V tidak lagi dimulai di server Windows, dan volume Windows Resilient File System (ReFS) tidak lagi dapat diakses setelah menerapkan pembaruan Januari 2021.

Pengguna dan administrator Windows 10 juga melaporkan masalah dengan koneksi VPN L2TP setelah menginstal pembaruan kumulatif Windows 10 dan Windows 11 terbaru dan melihat error “Tidak dapat terhubung ke VPN”.

Mereka yang tidak dapat segera menginstal pembaruan out-of-band hari ini dapat menghapus pembaruan KB5009624, KB5009557, KB5009555, KB5009566, dan KB5009543 yang menyebabkan masalah ini dari Command Prompt dengan perintah berikut:

Windows Server 2012 R2: wusa /uninstall /kb:KB5009624
Windows Server 2019: wusa /uninstall /kb:KB5009557
Windows Server 2022: wusa /uninstall /kb:KB5009555
Windows 10: wusa /uninstall /kb:5009543
Windows 11: wusa /uninstall /kb:5009566

Selengkapnya: Bleeping Computer

Microsoft: Kerentanan HTTP Windows kritis baru dapat di-worm

by

Microsoft telah menambal kelemahan kritis yang ditandai sebagai wormable dan ditemukan berdampak pada desktop dan server versi Windows terbaru, termasuk Windows 11 dan Windows Server 2022.

Bug, dilacak sebagai CVE-2022-21907 dan ditambal selama Patch Tuesday bulan ini, ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan sebagai pendengar protokol untuk memproses permintaan HTTP oleh server web Windows Internet Information Services (IIS). .

Eksploitasi yang berhasil memerlukan pelaku ancaman untuk mengirim paket yang dibuat dengan jahat ke server Windows yang ditargetkan, yang menggunakan HTTP Protocol Stack yang rentan untuk memproses paket.

Microsoft merekomendasikan pengguna untuk memprioritaskan penambalan kelemahan ini pada semua server yang terpengaruh karena ini dapat memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode arbitrer dari jarak jauh dalam serangan dengan kompleksitas rendah dan “dalam kebanyakan situasi,” tanpa memerlukan interaksi pengguna.

Pada beberapa versi Windows (yaitu, Windows Server 2019 dan Windows 10 versi 1809), fitur Dukungan Trailer HTTP yang berisi bug tidak diaktifkan secara default.

Menurut Microsoft, kunci registri Windows berikut harus dikonfigurasi pada dua versi Windows ini untuk memperkenalkan kerentanan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

“EnableTrailerSupport”=dword:00000001

Menonaktifkan fitur Dukungan Trailer HTTP akan melindungi sistem yang menjalankan dua versi, tetapi mitigasi ini tidak berlaku untuk rilis Windows lain yang terpengaruh.

Dalam dua tahun terakhir, Microsoft telah menambal beberapa bug wormable lainnya, berdampak pada Windows DNS Server (juga dikenal sebagai SIGRed), platform Remote Desktop Services (RDS) (alias BlueKeep), dan protokol Server Message Block v3 (alias SMBGhost) .

Redmond juga mengatasi kerentanan Windows HTTP RCE lainnya pada Mei 2021 (dilacak sebagai CVE-2021-31166 dan juga ditandai sebagai wormable), di mana peneliti keamanan merilis kode eksploitasi demo yang dapat memicu layar biru kematian.

Namun, pelaku ancaman belum mengeksploitasinya untuk membuat malware yang dapat menginfeksi yang mampu menyebar di antara sistem rentan yang menjalankan perangkat lunak Windows yang rentan.

Sumber : Bleeping Computer