Microsoft

NSA menemukan kerentanan Exchange Server yang kritis, tambal sekarang!

April 14, 2021 by Winnie the Pooh

Microsoft telah merilis pembaruan keamanan untuk Exchange Server yang menangani empat kerentanan dengan skor tingkat keparahan mulai dari tinggi hingga kritis.

Semua kekurangan mengarah pada eksekusi kode jarak jauh pada mesin yang rentan dan ditemukan serta dilaporkan ke Microsoft oleh Badan Keamanan Nasional AS (NSA). Microsoft juga menemukan beberapa di antaranya secara internal.

Mengingat tingkat keparahan mereka dan pesta peretasan Microsoft Exchange yang dimulai pada awal tahun, organisasi sangat disarankan untuk memprioritaskan pemasangan tambalan terbaru.

Cacat tersebut memengaruhi Exchange Server versi 2013 hingga 2019 dan meskipun tidak ada bukti yang dieksploitasi di alam liar, Microsoft menilai bahwa pelaku ancaman cenderung memanfaatkannya segera setelah mereka membuat eksploitasi.

Empat kerentanan menerima nomor pelacakan (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483). Yang paling parah dari mereka memiliki skor keparahan kritis 9,8 dari 10 dan dapat dieksploitasi sebelum otentikasi, menurut analis intelijen ancaman senior Microsoft Kevin Beaumont. Kritis lainnya adalah 9/10, dan 8,8 / 10.

Ada dua cara untuk menerapkan pembaruan Exchange Server:

Menerapkan pembaruan secara manual memerlukan penginstalan file patch .MSP Installer Windows dari command prompt.

Selengkapnya: Bleeping Computer

Microsoft April 2021 Patch Tuesday memperbaiki 108 kekurangan, 5 zero-day

April 14, 2021 by Winnie the Pooh

Microsoft Patch Tuesday bulan April 2021 telah dirilis dengan lima kerentanan zero-day dan kerentanan Microsoft Exchange yang lebih kritis.

Pada pembaruan kali ini, Microsoft telah memperbaiki 108 kerentanan, dengan 19 kerentanan diklasifikasikan sebagai Kritis dan 89 sebagai Penting. Angka-angka ini tidak termasuk 6 kerentanan Chromium Edge yang dirilis awal bulan ini.

Ada juga lima kerentanan zero-day yang ditambal pada pembaruan kali ini yang diungkapkan secara publik, dengan satu diketahui digunakan dalam beberapa serangan. Microsoft juga memperbaiki empat kerentanan Microsoft Exchange kritis yang ditemukan NSA.

Empat kerentanan tersebut adalah:

CVE-2021-27091 – Kerentanan Peningkatan Hak Istimewa pada Layanan Pemeta Endpoint RPC
CVE-2021-28312 – Kerentanan Penolakan Layanan NTFS Windows
CVE-2021-28437 – Kerentanan Pengungkapan Informasi Penginstal Windows – PolarBear
CVE-2021-28458 – Kerentanan Peningkatan Hak Istimewa pada Perpustakaan Azure ms-rest-nodeauth

Kerentanan berikut adalah kerentanan yang ditemukan oleh peneliti Kaspersky Boris Larin telah dieksploitasi di alam liar.

CVE-2021-28310 – Peningkatan Kerentanan Hak Istimewa Win32k

Kaspersky yakin CVE-2021-28310 yang dieksploitasi digunakan oleh BITTER APT group.

Untuk informasi tentang pembaruan Windows non-keamanan, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5001330 & KB5001337.

Microsoft menghimbau kepada seluruh pengguna untuk menerapkan patch sesegera mungkin.

Selengkapnya: Bleeping Computer

Pemadaman Microsoft disebabkan oleh server Azure DNS yang kelebihan beban

April 4, 2021 by Winnie the Pooh

Microsoft telah mengungkapkan bahwa pemadaman di seluruh dunia pada hari Kamis disebabkan oleh cacat kode yang memungkinkan layanan Azure DNS menjadi kewalahan dan tidak menanggapi permintaan DNS.

Sekitar pukul 17:21 EST pada hari Kamis, Microsoft mengalami pemadaman global yang mencegah pengguna mengakses atau masuk ke berbagai layanan, termasuk Xbox Live, Microsoft Office, SharePoint Online, Microsoft Intune, Dynamics 365, Microsoft Teams, Skype, Exchange Online, OneDrive, Yammer, Power BI, Power Apps, OneNote, Microsoft Managed Desktop, dan Microsoft Streams.

Layanan ini tersebar luas dalam infrastruktur Microsoft sehingga bahkan halaman status Azure mereka, yang digunakan untuk memberikan info pemadaman, tidak dapat diakses.

Microsoft akhirnya menyelesaikan pemadaman sekitar pukul 18:30 EST, dengan beberapa layanan membutuhkan waktu sedikit lebih lama untuk berfungsi kembali dengan benar.

Pada saat itu, Microsoft menyatakan bahwa pemadaman tersebut disebabkan oleh masalah DNS tetapi tidak memberikan informasi lebih lanjut.

selengkapnya : www.bleepingcomputer.com

Pemadaman Microsoft membuat situs dan layanan menjadi offline

April 2, 2021 by Winnie the Pooh

Microsoft sedang mengalami gangguan listrik besar-besaran, itulah sebabnya Anda tidak dapat menyelesaikan pekerjaan apa pun.

Selain berandanya, layanan Microsoft sedang down, halaman login tidak dimuat, dan bahkan halaman status perusahaan rusak. Lebih buruk lagi, layanan cloud Microsoft Azure tampaknya juga offline, menyebabkan pemadaman pada situs dan layanan apa pun yang mengandalkannya.

Sepertinya masalah jaringan, menurut halaman status – saat dimuat. Microsoft juga men-tweet bahwa itu terkait dengan DNS, sistem internet yang menerjemahkan alamat web menjadi nomor internet yang dapat dibaca komputer. Itu adalah fungsi penting dari cara kerja internet, jadi tidak ideal ketika tiba-tiba rusak.

sumber : techcrunch.com

Microsoft berbagi intelijen tentang aktivitas pasca-kompromi Serangan Exchange Server

March 29, 2021 by Winnie the Pooh Leave a Comment

Awal pekan ini, Microsoft mengatakan bahwa 92% dari server Exchange yang rentan telah ditambal atau telah diterapkan mitigasi. Namun, firma keamanan siber F-Secure mengatakan “puluhan ribu” server Exchange telah dibobol. Dalam posting blog baru, Microsoft menegaskan kembali peringatannya bahwa “menambal sistem tidak serta merta menghapus akses penyerang”.

“Banyak dari sistem yang disusupi belum menerima tindakan sekunder, seperti serangan ransomware yang dioperasikan oleh manusia atau eksfiltrasi data, yang menunjukkan bahwa penyerang dapat menetapkan dan mempertahankan akses mereka untuk kemungkinan tindakan selanjutnya,” catat Microsoft 365 Defender Threat Intelligence Team.

Jika sistem telah disusupi, Microsoft mendesak admin untuk mempraktikkan prinsip hak istimewa paling rendah dan mengurangi pergerakan lateral pada jaringan.

Hak istimewa terkecil akan membantu mengatasi praktik umum di mana layanan Exchange atau tugas terjadwal telah dikonfigurasi dengan akun dengan hak istimewa tinggi untuk melakukan tugas-tugas seperti pencadangan.

Menggunakan ransomware DoejoCrypt, alias DearCry, sebagai contoh, Microsoft mencatat bahwa web shell yang digunakan oleh strain tersebut menulis file batch ke C: \ Windows \ Temp \ xx.bat. Ini ditemukan di semua sistem yang terkena DoejoCrypt dan mungkin menawarkan penyerang rute untuk mendapatkan kembali akses di mana infeksi telah terdeteksi dan dihapus.

“File batch ini melakukan backup database Security Account Manager (SAM) dan kumpulan registri Sistem dan Keamanan, yang memungkinkan penyerang nanti mengakses sandi pengguna lokal di sistem dan, yang lebih penting, di LSA [Otoritas Keamanan Lokal] Bagian rahasia dari registri, di mana kata sandi untuk layanan dan tugas terjadwal disimpan, “catatan Microsoft.

Meskipun korban belum mendapatkan tebusan, penggunaan file xx.bat oleh penyerang memungkinkan mereka menjelajahi jaringan melalui kerangka web yang meletakkan file tersebut pada awalnya. Shell web juga mengunduh kit pengujian penetrasi Cobalt Strike sebelum mengunduh muatan ransomware dan mengenkripsi file. Dengan kata lain, korban mungkin belum ditebus hari ini, tetapi penyerang telah meninggalkan alat di jaringan untuk melakukannya besok.

Ancaman kejahatan dunia maya lainnya ke server Exchange berasal dari penambang mata uang kripto yang berbahaya. Botnet cryptocurrency Lemon Duck diamati mengeksploitasi server Exchange yang rentan. Menariknya, operator Lemon Duck membersihkan server Exchange dengan file xx.bat dan web shell, memberinya akses eksklusif ke server Exchange. Microsoft juga menemukan bahwa itu digunakan untuk menginstal malware lain, bukan hanya menambang cryptocurrency.

Source : ZDnet

Microsoft memperingatkan serangan phishing yang melewati gateway email

March 24, 2021 by Winnie the Pooh

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Microsoft Mengeluarkan Alat Mitigasi Lokal Microsoft Exchange Sekali Klik

March 18, 2021 by Winnie the Pooh

Microsoft bekerja secara aktif dengan pelanggan melalui tim dukungan pelanggan, host pihak ketiga, dan jaringan mitra kami untuk membantu mereka mengamankan lingkungan mereka dan menanggapi ancaman terkait dari serangan di lokasi Exchange Server baru-baru ini. Berdasarkan keterlibatan ini, kami menyadari bahwa ada kebutuhan akan solusi otomatis yang sederhana, mudah digunakan, yang akan memenuhi kebutuhan pelanggan yang menggunakan versi Exchange Server lokal saat ini dan di luar dukungan.

Microsoft telah meluncurkan alat mitigasi satu klik yang baru, Alat Mitigasi Lokal Microsoft Exchange untuk membantu pelanggan yang tidak memiliki tim keamanan atau TI khusus untuk menerapkan pembaruan keamanan ini. Dengan mengunduh dan menjalankan alat ini, yang mencakup Pemindai Keamanan Microsoft terbaru, pelanggan akan secara otomatis mengurangi CVE-2021-26855 di server Exchange mana pun yang digunakan. Alat ini bukan pengganti untuk pembaruan keamanan Exchange tetapi merupakan cara tercepat dan termudah untuk mengurangi risiko tertinggi ke Server Exchange di tempat yang tersambung ke internet sebelum menambal.

Kami menyarankan bahwa semua pelanggan yang belum menerapkan pembaruan keamanan Exchange di tempat:

1. Unduh alat ini.
2. Jalankan di server Exchange Anda segera.
3. Kemudian, ikuti panduan yang lebih detail di sini untuk memastikan bahwa Exchange lokal Anda terlindungi.
4. Jika Anda sudah menggunakan Microsoft Safety Scanner, itu masih aktif dan kami menyarankan agar ini tetap berjalan karena dapat digunakan untuk membantu mitigasi tambahan.

Setelah dijalankan, alat Jalankan EOMT.ps1 akan melakukan tiga operasi:

1. Kurangi serangan yang diketahui saat ini menggunakan CVE-2021-26855 menggunakan konfigurasi Tulis Ulang URL.
2. Pindai Exchange Server menggunakan Microsoft Safety Scanner.
3. Mencoba membalikkan perubahan apa pun yang dibuat oleh ancaman yang teridentifikasi.

Sebelum menjalankan alat tersebut, Anda harus memahami:

Alat Mitigasi Exchange On-premises efektif melawan serangan yang telah kita lihat sejauh ini, tetapi tidak dijamin dapat mengurangi semua kemungkinan teknik serangan di masa mendatang. Alat ini hanya boleh digunakan sebagai mitigasi sementara sampai server Exchange Anda dapat diperbarui sepenuhnya seperti yang diuraikan dalam panduan kami sebelumnya.

Kami merekomendasikan skrip ini daripada skrip ExchangeMitigations.ps1 sebelumnya karena disetel berdasarkan kecerdasan ancaman terbaru. Jika Anda sudah memulai dengan skrip lain, tidak masalah untuk beralih ke skrip ini.

Untuk informasi teknis, contoh, dan panduan lebih lanjut, harap tinjau dokumentasi GitHub.

Source : Microsoft

Masalah Azure Active Directory mempengaruhi Teams, Office, Dynamics, dan lainnya untuk beberapa pengguna

March 16, 2021 by Winnie the Pooh

Masalah Azure Active Directory yang menyebabkan masalah autentikasi memengaruhi sebagian pelanggan Microsoft di seluruh dunia di banyak layanan Microsoft, termasuk Office, Dynamics, Teams, Xbox Live, dan Azure Portal.

Pelanggan mulai mengeluh sekitar pukul 3:15 pm ET pada 15 Maret tentang ketidakmampuan mereka untuk menggunakan layanan yang berjalan di atas Azure, dan mulai pukul 5:15 pm ET, masalah masih belum terselesaikan.

Saat ini, pesan di halaman Status Azure berbunyi: “STATUS SAAT INI: Tim teknisi telah mengidentifikasi penyebab yang mendasari potensial dan sedang menjajaki opsi mitigasi. Pembaruan berikutnya akan diberikan dalam 60 menit atau sesuai kebutuhan acara”.

Karena Portal Admin juga berjalan di Azure, sejumlah pengguna di Twitter mengeluh bahwa mereka tidak bisa mendapatkan pembaruan saat pemadaman.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft

Cookies Settings