Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Eksploitasi Microsoft Exchange ProxyShell yang digunakan untuk menyebarkan ransomware Babuk

by

Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.

Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.

Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.

Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.

Dimulai dengan Exchange

Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’

Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.

Infection chain diagram
Source: Cisco

Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.

Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:

  • Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
  • Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
  • Upaya eksekusi kode jarak jauh Apache Struts
  • Akses wp-config.php WordPress melalui upaya traversal direktori
  • Upaya bypass otentikasi SolarWinds Orion
  • Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
  • Upaya deserialisasi objek Java sewenang-wenang Liferay

Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.

Menggunakan Babuk dalam serangan baru

Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.

Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.

Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.

Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.

Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.

Tortilla’s ransom note
Source: Cisco

Menargetkan AS

Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.

I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.

Victim heatmap
Source: Cisco

Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.

Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.

SUMBER : Bleeping Computer

Pembaharuan Windows KB5006670 Tidak Cocok dengan Printer

by

Pelanggan Windows mengalami masalah dengan pencetakan jaringan setelah menginstal pembaruan Windows 11 KB5006674 dan Windows 10 KB5006670 yang dikeluarkan dengan Patch bulan ini Selasa, pada 12 Oktober.

Pengguna yang mencoba menyambung ke printer yang dibagikan di server cetak Windows mungkin mengalami beberapa kesalahan yang mencegah mereka mencetak melalui jaringan.

Kesalahan yang akan dihadapi klien cetak Windows setelah menggunakan KB5006674 meliputi:

0x000006e4 (RPC_S_CANNOT_DUKUNGAN)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Daftar lengkap platform Windows yang terpengaruh oleh masalah ini meliputi:

Klien: Windows 11, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10, versi 2004; Windows 10, versi 1909; Windows 10, versi 1809; Windows 10 Perusahaan LTSC 2019; Windows 10, versi 1607; Windows 8.1; Windows 7 SP1
Server: Windows Server 2022; Windows Server, versi 20H2; Windows Server, versi 2004; Windows Server, versi 1909; Windows Server, versi 1809; Windows Server 2008 SP2
Seperti yang dijelaskan Redmond, masalah umum yang memengaruhi pencetakan pada platform Windows klien dan server khusus untuk server printer yang lebih umum ditemukan di lingkungan perusahaan.

Microsoft mengatakan sedang berupaya menemukan solusi untuk memungkinkan klien cetak membuat koneksi privasi paket RPC ke server cetak Windows menggunakan RPC melalui SMB.

Pengguna terganggu oleh masalah pencetakan dalam dua minggu terakhir
Admin dan pengguna Windows 10 telah melaporkan masalah pencetakan jaringan skala luas dalam topik forum 14 halaman di BleepingComputer selama dua minggu terakhir sejak pembaruan Oktober Patch Tuesday dirilis.

Saat menceritakan rasa frustrasi dan upaya mereka untuk mengatasi bug pencetakan, mereka sampai pada kesimpulan yang sama: menghapus pembaruan kumulatif Oktober menyelesaikan masalah pencetakan.

Sejak itu, masalah menjadi sangat buruk sehingga admin Windows terpaksa mengganti Windows DLL dengan versi yang lebih lama untuk mengaktifkan kembali pencetakan.

DLL yang diganti oleh admin untuk memperbaiki pencetakan adalah localspl.dll, win32spl.dll, dan spoolsv.exe.

Meskipun pendekatan ini menghapus perbaikan untuk kerentanan Print Spooler, pendekatan ini menghindari penghapusan pembaruan kumulatif, yang akan menghilangkan semua pembaruan keamanan Oktober dalam prosesnya.

Microsoft Menyediakan Solusi
Pelanggan yang terkena dampak masalah pencetakan ini sekarang dapat menggunakan solusi resmi yang disediakan oleh Microsoft untuk memperbaiki masalah tersebut.

Langkah-langkah HANYA harus diambil pada server cetak yang terpengaruh yang memenuhi prasyarat berikut: “klien cetak harus telah menginstal pembaruan Windows yang dirilis pada atau setelah Januari 2021 sebelum server cetak telah menginstal” pembaruan Oktober 2021.

Jika persyaratan solusi terpenuhi, Microsoft meminta pelanggan untuk “memastikan bahwa keamanan jaringan dan solusi VPN memungkinkan klien cetak untuk membuat RPC melalui koneksi TCP ke server cetak melalui rentang port berikut:”

Port awal default: 49152
Port akhir default: 65535
Rentang Port: 16384 port

sumber: BLEEPING COMPUTER

Microsoft mengumumkan solusi keamanan titik akhir baru untuk UKM

by

Microsoft hari ini mengumumkan solusi keamanan titik akhir baru yang dijuluki Microsoft Defender for Business, yang dibuat khusus untuk bisnis kecil dan menengah.

Microsoft Defender for Business adalah solusi keamanan titik akhir yang membantu bisnis dengan hingga 300 karyawan melindungi dari ancaman keamanan siber, termasuk malware dan ransomware, dalam paket hemat biaya yang mudah digunakan.

Solusi perlindungan titik akhir ini dirilis sebagai tanggapan atas peningkatan 300% serangan ransomware pada tahun lalu, dengan lebih dari 50% di antaranya berdampak pada UKM, menurut Sekretaris Keamanan Dalam Negeri Alejandro Mayorkas. Defender for Business membantu UKM melindungi dari ancaman keamanan siber, termasuk namun tidak terbatas pada malware dan ransomware di perangkat Windows, macOS, iOS, dan Android.

Dilengkapi dengan konfigurasi klien yang disederhanakan melalui pengaturan yang digerakkan oleh wizard dan kebijakan keamanan yang direkomendasikan yang diaktifkan langsung untuk memudahkan pengelolaan bahkan untuk bisnis tanpa tim keamanan khusus.

“Microsoft Defender for Business dibuat khusus untuk menghadirkan keamanan titik akhir tingkat perusahaan untuk bisnis dengan hingga 300 karyawan, dalam solusi yang mudah digunakan dan hemat biaya.”

Fitur utama yang dibundel pada Defender for Business meliputi:

  • Penerapan dan manajemen yang disederhanakan untuk administrator TI yang mungkin tidak memiliki keahlian untuk menangani lanskap ancaman yang berkembang saat ini.
  • Perlindungan antivirus generasi berikutnya serta deteksi dan respons titik akhir untuk mendeteksi dan merespons serangan canggih dengan pemantauan perilaku.
  • Penyelidikan dan perbaikan otomatis untuk membantu pelanggan bereaksi dengan cepat terhadap ancaman.
  • Manajemen ancaman dan kerentanan secara proaktif memperingatkan pengguna tentang kelemahan dan kesalahan konfigurasi dalam perangkat lunak.
  • Integrasi Microsoft 365 Lighthouse dengan Microsoft Defender for Business untuk penyedia layanan TI untuk melihat peristiwa keamanan di seluruh pelanggan, dengan kemampuan tambahan yang akan datang.

“Usaha kecil dan menengah akan diberdayakan untuk meningkatkan keamanan mereka dengan beralih dari antivirus tradisional ke perlindungan generasi berikutnya, deteksi dan respons titik akhir, serta manajemen ancaman dan kerentanan semuanya sambil memanfaatkan penyiapan dan manajemen yang disederhanakan,” tambah Vasu Jakkal, Corporate Wakil Presiden, Keamanan, Kepatuhan, dan Identitas di Microsoft.

“Selain itu, Defender for Business juga bekerja dengan Microsoft 365 Lighthouse—sehingga, penyedia layanan TI dapat menambahkan perlindungan titik akhir yang kuat ini ke tampilan multipelanggan mereka tentang peristiwa keamanan.”

Microsoft mengatakan solusi keamanan titik akhir baru akan segera hadir untuk pratinjau bagi pelanggan dan mitra TI.

Setelah mencapai ketersediaan umum, Anda akan dapat membeli Defender for Business langsung dari Microsoft dan melalui saluran Penyedia Solusi Cloud (CSP) Mitra Microsoft sebagai penawaran mandiri, dengan harga $3 per pengguna per bulan, atau disertakan sebagai bagian dari Microsoft 365 Business Premium.

Sumber : Bleeping Computer

Microsoft memperingatkan peningkatan serangan “Penyemprotan Kata Sandi”

by

Baru-baru ini, Microsoft mengamati kelompok peretasan Iran yang muncul menggunakan penyemprotan kata sandi terhadap target infrastruktur penting Israel dan AS yang beroperasi di Teluk Persia.

Microsoft memperkirakan bahwa lebih dari sepertiga dari kompromi akun adalah serangan penyemprotan kata sandi, meskipun serangan tersebut memiliki tingkat keberhasilan 1% untuk akun, kecuali organisasi menggunakan ‘perlindungan kata sandi’ Microsoft untuk menghindari kata sandi yang buruk.

“Alih-alih mencoba banyak kata sandi terhadap satu pengguna, mereka mencoba mengalahkan penguncian dan deteksi dengan mencoba banyak pengguna terhadap satu kata sandi,” Microsoft menjelaskan tahun lalu. Pendekatan itu membantu menghindari pembatasan kecepatan, di mana terlalu banyak upaya kata sandi yang gagal menghasilkan penguncian.

Tim Deteksi dan Respons Microsoft (DART) telah menguraikan dua teknik penyemprotan kata sandi utama, yang pertama disebut ‘rendah dan lambat’. Di sini, penyerang yang gigih menyebarkan semprotan kata sandi yang canggih menggunakan “beberapa alamat IP individu untuk menyerang beberapa akun secara bersamaan dengan sejumlah tebakan kata sandi yang dikuratori.”

Teknik lainnya, ‘ketersediaan dan penggunaan kembali’, mengeksploitasi kredensial yang sebelumnya dikompromikan yang diposting dan dijual di web gelap. “Penyerang dapat menggunakan taktik ini, yang juga disebut ‘penjejalan kredensial’, untuk mendapatkan entri dengan mudah karena taktik ini bergantung pada orang yang menggunakan kembali kata sandi dan nama pengguna di seluruh situs,” Microsoft menjelaskan.

Selengkapnya: ZDNet

11 Pengaturan Keamanan di Windows 11 yang Harus Diketahui

by

Microsoft telah meluncurkan sistem operasinya yang paling aman. Inilah cara memanfaatkannya sebaik mungkin.

1. Tetap Perbarui Windows 11
Keamanan yang baik dimulai dengan memperbarui perangkat lunak Anda, dan jika Anda memilih Pembaruan Windows dari Pengaturan, Anda dapat memeriksa apakah semua tambalan dan perbaikan bug terbaru telah diterapkan ke sistem operasi. Klik Opsi lanjutan dan Jam aktif untuk memastikan Windows tidak akan memulai ulang dan menerapkan pembaruan di tengah hari kerja Anda.

2. Periksa Opsi Masuk Anda
Pilih nama Anda di kiri atas panel Pengaturan lalu opsi Masuk untuk melihat berbagai cara Anda dapat masuk ke komputer. Jika pengenalan wajah (menggunakan webcam Anda) atau pengenalan sidik jari (menggunakan sensor sidik jari) tersedia, ini lebih aman daripada kata sandi, dan sebagian besar komputer modern harus mendukungnya.

3. Sign Out Saat Anda Pergi
Dari layar opsi Masuk yang sama, manfaatkan opsi If you’ve been away, when should Windows require you to sign in again? untuk memastikan log in selalu diperlukan. Anda juga dapat menggunakan opsi kunci Dinamis untuk memberi tahu Windows untuk mengunci perangkat Anda saat Anda menjauh darinya (seperti yang ditunjukkan oleh lokasi ponsel cerdas yang terhubung)

4. Aktifkan Built-in Security Tools
Jika Anda memilih Privasi & keamanan dan kemudian Keamanan Windows dari Pengaturan, Anda dapat memastikan perangkat lunak keamanan yang disertakan dengan Windows diaktifkan. Ini adalah kebutuhan mutlak jika Anda tidak menginstal alternatif pihak ketiga. Masalah keamanan apa pun yang memerlukan perhatian Anda akan ditandai dengan tanda seru berwarna kuning—klik salah satu untuk detail selengkapnya.

5. Jalankan Pemindaian Malware
Dari layar Keamanan Windows yang sama, Anda dapat mengklik Buka Keamanan Windows untuk membuka pusat keamanan Windows 11 bawaan. Sebagian besar fitur di sini harus berjalan secara otomatis di latar belakang, termasuk memindai malware berbahaya, tetapi Anda dapat menjalankan pemindaian secara manual dengan mengeklik Perlindungan virus & ancaman dan memilih Pemindaian cepat.

6. Lihat Keamanan Perangkat
Masalah perangkat keras apa pun dengan komputer Windows 11 Anda—termasuk masalah dengan TPM dan proses boot aman—akan dicantumkan di halaman Keamanan perangkat setelah Anda membuka alat Keamanan Windows.

7. Tetap Aman Saat Anda Online
Jika Anda memilih Kontrol aplikasi & browser dari utilitas Keamanan Windows, Anda akan melihat ada dua pengaturan yang dapat Anda aktifkan: Perlindungan berbasis reputasi (yang berarti Windows 11 selalu mencari aplikasi yang mencurigakan atau berkinerja buruk) dan Perlindungan Eksploitasi ( yang membantu mengurangi dampak dari berbagai serangan peretasan jarak jauh).

8. Periksa Alat Keamanan yang Anda Miliki
Buka Pengaturan dari dalam Keamanan Windows untuk melihat perangkat lunak yang melindungi komputer Windows 11 Anda di bawah Penyedia keamanan—ini mungkin perangkat lunak keamanan yang disertakan dengan Windows atau alternatif pihak ketiga. Anda juga dapat mengatur pengaturan pemberitahuan keamanan dari sini untuk memastikan Anda selalu mendapat informasi.

9. Kelola Izin Aplikasi
Seperti pada ponsel cerdas Anda, Anda dapat memutuskan aplikasi izin mana yang diizinkan untuk digunakan di Windows 11. Buka halaman Privasi & keamanan dari layar Pengaturan utama, lalu gulir ke bawah untuk melihat izin. Klik izin apa pun, seperti Lokasi, Kamera, atau Mikrofon, untuk mengelola program mana yang saat ini memiliki akses ke sana.

10. Pastikan Perangkat Anda Dapat Ditemukan Jika Hilang
Dari Privasi & keamanan di bawah Pengaturan, pilih Temukan perangkat saya agar lokasinya direkam secara berkala. Ini memungkinkan Anda untuk masuk ke akun Microsoft Anda di perangkat lain dan mencari tahu di mana komputer Windows 11 Anda pergi—sangat berguna jika Anda meninggalkannya di kereta atau tidak ingat apakah itu di kantor atau di suatu tempat di rumah.

11. Enkripsi Data di Perangkat Anda
Mengenkripsi data pada hard drive Anda mempersulit orang lain untuk membaca informasi (jika mereka dapat mengekstrak drive dari komputer Anda, misalnya). Tidak semua komputer memberi Anda opsi, tetapi jika komputer Anda melakukannya, Anda dapat mengaktifkannya dengan memilih Privasi & keamanan lalu Enkripsi perangkat dari layar Pengaturan Windows 11.

source: WIRED

Serangan siber Rusia terbaru menargetkan ratusan jaringan AS Lapor Microsoft

by

Badan yang berbasis di Rusia di balik serangan siber besar-besaran SolarWinds tahun lalu telah menargetkan ratusan lebih banyak perusahaan dan organisasi dalam gelombang serangan terbarunya terhadap sistem komputer yang berbasis di AS, kata Microsoft dalam sebuah posting blog.

Microsoft, dalam sebuah posting blog tertanggal 24 Oktober, mengatakan gelombang terbaru Nobelium menargetkan “pengecer dan penyedia layanan teknologi lainnya” dari layanan cloud.

Serangan-serangan itu adalah bagian dari kampanye yang lebih luas selama musim panas, kata Microsoft, seraya menambahkan bahwa pihaknya telah memberi tahu 609 pelanggan antara 1 Juli dan 19 Oktober bahwa mereka telah diserang.

Hanya sebagian kecil dari upaya terbaru yang berhasil, Microsoft mengatakan kepada New York Times, yang pertama kali melaporkan pelanggaran tersebut, tetapi tidak memberikan rincian lebih lanjut.

Pejabat keamanan siber AS tidak dapat segera dihubungi untuk mengkonfirmasi laporan tersebut.

Pejabat A.S. mengkonfirmasi kepada Times bahwa operasi itu sedang berlangsung, dengan seorang pejabat administrasi senior yang tidak disebutkan namanya menyebutnya “operasi run-of-the-mill yang tidak canggih yang dapat dicegah jika penyedia layanan cloud telah menerapkan praktik keamanan siber dasar.”

“Kegiatan baru-baru ini adalah indikator lain bahwa Rusia sedang mencoba untuk mendapatkan akses sistematis jangka panjang ke berbagai titik dalam rantai pasokan teknologi dan membangun mekanisme untuk mengawasi – sekarang atau di masa depan – target yang menarik bagi pemerintah Rusia, “tulis Microsoft.

Selengkapnya: Reuters

Driver FiveSys Yang Ditandatangani Microsoft WHQL Sebenarnya Adalah Malware Yang Menyamar

by

Peneliti keamanan di Bitdefender menemukan bahwa malware baru ini, yang merupakan rootkit, sebenarnya ditandatangani secara digital oleh Microsoft sendiri.

Driver jahat FiveSys membawa sertifikasi Windows Hardware Quality Labs (WHQL) yang disediakan oleh Microsoft setelah verifikasi cermat terhadap paket driver yang dikirim oleh berbagai vendor mitranya melalui Program Kompatibilitas Perangkat Keras Windows (WHCP).

Telah diamati bahwa penyebaran FiveSys sejauh ini terbatas hanya di China yang mungkin menunjukkan bahwa pelaku ancaman terutama tertarik pada bagian wilayah tersebut.

Dalam hal karakteristik kunci lainnya, whitepaper terkait juga menyebutkan bahwa rootkit memblokir modifikasi registri dan juga mencoba memblokir akses pesaingnya ke sistem yang terinfeksi.

Bitdefender mengatakan bahwa setelah memperingatkan Microsoft tentang rootkit berbahaya ini, perusahaan Redmond telah menghapus tanda tangannya dari FiveSys.

Menariknya, ini bukan pertama kalinya hal seperti itu terjadi dalam ingatan baru-baru ini. Malware serupa yang disebut “Netfilter” juga divalidasi oleh Microsoft pada bulan Juni kemungkinan dengan cara yang sama.

Selengkapnya: Neowin

AMD dan Microsoft memperbaiki masalah untuk kelambatan pada CPU Ryzen di Windows 11

by

Tak lama setelah Microsoft merilis Windows 11, AMD memperingatkan bahwa OS dapat memperlambat aplikasi pada sistem dengan prosesor Ryzen. Saat ini AMD dan Microsoft telah mengeluarkan tambalan untuk hal tersebut

Driver chipset terbaru (versi 3.10.08.506) harus menangani masalah UEFI CPPC2, yang dalam beberapa kasus tidak “lebih suka menjadwalkan utas pada inti prosesor tercepat,” kata AMD. Itu bisa memperlambat aplikasi yang sensitif terhadap kinerja utas CPU. AMD mencatat bahwa masalahnya mungkin lebih terlihat pada prosesor yang lebih kuat dengan lebih dari delapan core dan Thermal Design Power (TDP) 65W atau lebih tinggi.

Sementara itu, Microsoft meluncurkan pembaruan perangkat lunak untuk mengatasi bug yang meningkatkan latensi cache L3. Masalah ini berdampak pada aplikasi yang membutuhkan akses memori cepat, yang pada gilirannya menyebabkan CPU melambat hingga 15 persen. Patch, pembaruan Windows 11 KB5006746, akan tersedia mulai hari ini, tetapi halaman yang berisi instruksi untuk menginstalnya belum aktif. Anda harus dapat menginstalnya melalui Pembaruan Windows juga.