Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Apakah Seseorang di Departemen Perdagangan Menemukan Pintu Belakang SolarWinds pada Agustus 2020?

by

Pada 13 Agustus 2020, seseorang mengunggah file yang dicurigai berbahaya ke VirusTotal, sebuah layanan yang memindai file yang dikirimkan terhadap lebih dari lima lusin produk antivirus dan keamanan. Bulan lalu, Microsoft dan FireEye mengidentifikasi file itu sebagai pintu belakang malware keempat yang baru ditemukan yang digunakan dalam supply chain hack SolarWinds yang luas. Analisis file berbahaya dan kiriman lainnya oleh pengguna VirusTotal yang sama menyarankan akun yang awalnya menandai backdoor sebagai mencurigakan milik personel TI di National Telecommunications and Information Administration (NTIA), sebuah divisi dari Departemen Perdagangan AS yang menangani telekomunikasi dan Kebijakan Internet.
Baik Microsoft dan FireEye menerbitkan posting blog pada 4 Maret tentang pintu belakang baru yang ditemukan pada target bernilai tinggi yang disusupi oleh penyerang SolarWinds. FireEye menyebut pintu belakang sebagai “Sunshuttle”, sedangkan Microsoft menyebutnya “GoldMax”.

Selengkapnya: krebsonsecurity

Microsoft memperbaiki bug Windows 10 yang dapat merusak drive NTFS

by

Microsoft telah memperbaiki bug yang memungkinkan pelaku ancaman membuat unduhan yang dibuat khusus yang merusak Windows 10 hanya dengan membuka folder tempat mereka diunduh.

Pada bulan Januari, kami melaporkan kerentanan Windows 10 baru yang ditemukan oleh Jonas Lykkegård yang memungkinkan pengguna atau program apa pun, bahkan mereka yang memiliki hak istimewa rendah, untuk menandai drive NTFS sebagai drive rusak hanya dengan mengakses folder khusus.

Yang paling memprihatinkan adalah betapa mudahnya memicu bug. Dengan hanya mengubah ke folder di command prompt, mengaksesnya dari kolom Run: membukanya dari File Explorer, Windows 10 akan menandai drive sebagai drive kotor dan meminta Anda untuk me-reboot komputer Anda dan menjalankan chkdsk, seperti yang ditunjukkan di bawah ini.

Sumber: Bleeping Computer

Untuk memperburuk keadaan, pelaku ancaman dan prankster mulai mendistribusikan alat palsu, pintasan jahat, atau malware [1, 2, 3, 4] di Discord dan media sosial yang, ketika dijalankan, akan mengakses folder dan memicu bug.

Pada bulan Februari, Microsoft diam-diam mulai menguji perbaikan dalam versi Windows Insider. Minggu lalu, sebagai bagian dari Patch April 2021, Microsoft akhirnya memperbaiki kerentanan di semua versi Windows 10 yang didukung.

Selengkapnya: Bleeping Computer

NSA menemukan kerentanan Exchange Server yang kritis, tambal sekarang!

by

Microsoft telah merilis pembaruan keamanan untuk Exchange Server yang menangani empat kerentanan dengan skor tingkat keparahan mulai dari tinggi hingga kritis.

Semua kekurangan mengarah pada eksekusi kode jarak jauh pada mesin yang rentan dan ditemukan serta dilaporkan ke Microsoft oleh Badan Keamanan Nasional AS (NSA). Microsoft juga menemukan beberapa di antaranya secara internal.

Mengingat tingkat keparahan mereka dan pesta peretasan Microsoft Exchange yang dimulai pada awal tahun, organisasi sangat disarankan untuk memprioritaskan pemasangan tambalan terbaru.

Cacat tersebut memengaruhi Exchange Server versi 2013 hingga 2019 dan meskipun tidak ada bukti yang dieksploitasi di alam liar, Microsoft menilai bahwa pelaku ancaman cenderung memanfaatkannya segera setelah mereka membuat eksploitasi.

Empat kerentanan menerima nomor pelacakan (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483). Yang paling parah dari mereka memiliki skor keparahan kritis 9,8 dari 10 dan dapat dieksploitasi sebelum otentikasi, menurut analis intelijen ancaman senior Microsoft Kevin Beaumont. Kritis lainnya adalah 9/10, dan 8,8 / 10.

Ada dua cara untuk menerapkan pembaruan Exchange Server:

Sumber: Bleeping Computer

Menerapkan pembaruan secara manual memerlukan penginstalan file patch .MSP Installer Windows dari command prompt.

Selengkapnya: Bleeping Computer

Microsoft April 2021 Patch Tuesday memperbaiki 108 kekurangan, 5 zero-day

by

Microsoft Patch Tuesday bulan April 2021 telah dirilis dengan lima kerentanan zero-day dan kerentanan Microsoft Exchange yang lebih kritis.

Pada pembaruan kali ini, Microsoft telah memperbaiki 108 kerentanan, dengan 19 kerentanan diklasifikasikan sebagai Kritis dan 89 sebagai Penting. Angka-angka ini tidak termasuk 6 kerentanan Chromium Edge yang dirilis awal bulan ini.

Ada juga lima kerentanan zero-day yang ditambal pada pembaruan kali ini yang diungkapkan secara publik, dengan satu diketahui digunakan dalam beberapa serangan. Microsoft juga memperbaiki empat kerentanan Microsoft Exchange kritis yang ditemukan NSA.

Empat kerentanan tersebut adalah:

  • CVE-2021-27091 – Kerentanan Peningkatan Hak Istimewa pada Layanan Pemeta Endpoint RPC
  • CVE-2021-28312 – Kerentanan Penolakan Layanan NTFS Windows
  • CVE-2021-28437 – Kerentanan Pengungkapan Informasi Penginstal Windows – PolarBear
  • CVE-2021-28458 – Kerentanan Peningkatan Hak Istimewa pada Perpustakaan Azure ms-rest-nodeauth

Kerentanan berikut adalah kerentanan yang ditemukan oleh peneliti Kaspersky Boris Larin telah dieksploitasi di alam liar.

Kaspersky yakin CVE-2021-28310 yang dieksploitasi digunakan oleh BITTER APT group.

Untuk informasi tentang pembaruan Windows non-keamanan, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5001330 & KB5001337.

Microsoft menghimbau kepada seluruh pengguna untuk menerapkan patch sesegera mungkin.

Selengkapnya: Bleeping Computer

Pemadaman Microsoft disebabkan oleh server Azure DNS yang kelebihan beban

by

Microsoft telah mengungkapkan bahwa pemadaman di seluruh dunia pada hari Kamis disebabkan oleh cacat kode yang memungkinkan layanan Azure DNS menjadi kewalahan dan tidak menanggapi permintaan DNS.

Sekitar pukul 17:21 EST pada hari Kamis, Microsoft mengalami pemadaman global yang mencegah pengguna mengakses atau masuk ke berbagai layanan, termasuk Xbox Live, Microsoft Office, SharePoint Online, Microsoft Intune, Dynamics 365, Microsoft Teams, Skype, Exchange Online, OneDrive, Yammer, Power BI, Power Apps, OneNote, Microsoft Managed Desktop, dan Microsoft Streams.

Layanan ini tersebar luas dalam infrastruktur Microsoft sehingga bahkan halaman status Azure mereka, yang digunakan untuk memberikan info pemadaman, tidak dapat diakses.

Microsoft akhirnya menyelesaikan pemadaman sekitar pukul 18:30 EST, dengan beberapa layanan membutuhkan waktu sedikit lebih lama untuk berfungsi kembali dengan benar.

Pada saat itu, Microsoft menyatakan bahwa pemadaman tersebut disebabkan oleh masalah DNS tetapi tidak memberikan informasi lebih lanjut.

selengkapnya : www.bleepingcomputer.com

Pemadaman Microsoft membuat situs dan layanan menjadi offline

by

Microsoft sedang mengalami gangguan listrik besar-besaran, itulah sebabnya Anda tidak dapat menyelesaikan pekerjaan apa pun.

Selain berandanya, layanan Microsoft sedang down, halaman login tidak dimuat, dan bahkan halaman status perusahaan rusak. Lebih buruk lagi, layanan cloud Microsoft Azure tampaknya juga offline, menyebabkan pemadaman pada situs dan layanan apa pun yang mengandalkannya.

Sepertinya masalah jaringan, menurut halaman status – saat dimuat. Microsoft juga men-tweet bahwa itu terkait dengan DNS, sistem internet yang menerjemahkan alamat web menjadi nomor internet yang dapat dibaca komputer. Itu adalah fungsi penting dari cara kerja internet, jadi tidak ideal ketika tiba-tiba rusak.

sumber : techcrunch.com

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

by Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Microsoft memperingatkan serangan phishing yang melewati gateway email

by

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Sumber: Microsoft

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer