Microsoft

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

January 22, 2021 by Winnie the Pooh

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

Microsoft: Bagaimana ‘zero trust’ dapat melindungi dari serangan peretasan yang canggih

January 22, 2021 by Winnie the Pooh

Berbagai teknik yang digunakan oleh peretas SolarWinds sangat canggih namun dalam banyak hal juga biasa dan dapat dicegah, menurut Microsoft.

Untuk mencegah serangan di masa mendatang dengan tingkat kecanggihan yang serupa, Microsoft merekomendasikan organisasi untuk mengadopsi “mentalitas zero trust”, yang menyangkal asumsi bahwa segala sesuatu di dalam jaringan TI aman. Artinya, organisasi harus menganggap pelanggaran dan secara eksplisit memverifikasi keamanan akun pengguna, perangkat endpoint, jaringan, dan sumber daya lainnya.

Seperti yang dicatat oleh direktur keamanan identitas Microsoft, Alex Weinert dalam sebuah posting blog, tiga vektor serangan utama adalah akun pengguna yang disusupi, akun vendor yang disusupi, dan perangkat lunak vendor yang disusupi.

Ribuan perusahaan terkena dampak pelanggaran SolarWinds yang diungkapkan pada pertengahan Desember. Vendor keamanan AS Malwarebytes kemarin mengatakan bahwa mereka juga dilanggar oleh peretas yang sama tetapi tidak melalui pembaruan Orion yang tercemar.

Menurut Weinert, para penyerang mengeksploitasi celah dalam “verifikasi eksplisit” di setiap vektor serangan utama.

“Saat akun pengguna disusupi, teknik yang dikenal seperti password spray, phishing, atau malware digunakan untuk membobol kredensial pengguna dan memberi penyerang akses kritis ke jaringan pelanggan,” tulis Weinert.

Dalam kasus di mana aktor berhasil, Weinert mencatat bahwa akun vendor dengan hak istimewa tidak memiliki perlindungan tambahan seperti otentikasi multi-faktor (MFA), pembatasan rentang IP, kepatuhan perangkat, atau tinjauan akses.

MFA adalah kontrol penting, karena akun dengan hak istimewa tinggi yang disusupi dapat digunakan untuk memalsukan token SAML guna mengakses sumber daya cloud.

“Prinsip pertama Zero Trust adalah memverifikasi secara eksplisit – pastikan Anda memperluas verifikasi ini ke semua permintaan akses, bahkan dari vendor dan terutama yang berasal dari lingkungan lokal.”

Sumber: ZDNet

Microsoft memperbaiki zero-day di Defender nya pada Januari 2021 Patch Tuesday

January 13, 2021 by Winnie the Pooh

Microsoft telah mulai meluncurkan set patch keamanan bulanan yang dikenal di industri sebagai Patch Tuesday.

Dalam pembaruan bulan ini, perusahaan yang berbasis di Redmond tersebut telah menambal total 83 kerentanan di berbagai produk, termasuk sistem operasi Windows, produk berbasis cloud, alat pengembang, dan enterprise servers.

Tetapi dari semua bug yang ditambal, yang paling penting adalah kerentanan zero-day di antivirus Microsoft Defender, yang menurut Microsoft telah dieksploitasi sebelum patch ini dirilis.

Dilacak sebagai CVE-2021-1647, kerentanan ini dideskripsikan sebagai bug eksekusi kode jarak jauh (RCE) yang memungkinkan pelaku ancaman untuk mengeksekusi kode pada perangkat yang rentan dengan menipu pengguna agar membuka dokumen berbahaya pada sistem tempat Defender diinstal.

Microsoft mengatakan bahwa meskipun eksploitasi terdeteksi di alam liar, teknik ini tidak berfungsi di semua situasi, dan masih dianggap berada pada tingkat proof-of-concept.

Selain zero-day Defender, Microsoft juga telah memperbaiki cacat keamanan di layanan splwow64 Windows yang dapat disalahgunakan untuk meningkatkan hak istimewa kode penyerang.

Detail tentang bug ini, dilacak sebagai CVE-2021-1648, dipublikasikan bulan lalu, pada 15 Desember, oleh proyek Zero-Day Initiative dari Trend Micro.

Administrator sistem disarankan untuk meninjau kembali dan menerapkan tambalan hari ini sesegera mungkin.

Sumber: ZDNet

Microsoft Sysmon sekarang mendeteksi upaya malware merusak suatu proses

January 13, 2021 by Winnie the Pooh

Microsoft telah merilis Sysmon 13 dengan fitur keamanan baru yang mendeteksi jika suatu proses telah dirusak menggunakan proses hollowing atau teknik proses herpaderping.

Proses hollowing adalah ketika malware meluncurkan proses yang sah dalam keadaan ditangguhkan dan mengganti kode yang sah dalam proses dengan kode berbahaya. Kode berbahaya ini kemudian dijalankan oleh proses, dengan izin apa pun yang ditetapkan untuk proses tersebut.

Proses herpaderping adalah teknik yang lebih canggih di mana malware mengubah image nya di disk agar terlihat seperti perangkat lunak yang sah setelah malware dimuat. Ketika perangkat lunak keamanan memindai file pada disk, itu akan melihat file yang tidak berbahaya sementara kode berbahaya berjalan di memori.

Jika Anda tidak terbiasa dengan Sysmon, atau System Monitor, itu adalah alat Sysinternals yang dirancang untuk memantau sistem untuk aktivitas berbahaya dan mencatat event tersebut ke event log Windows.

Anda dapat mengunduh Sysmon dari halaman Sysinternal khusus atau http://live.sysinternals.com/sysmon.exe.

Untuk mengaktifkan fitur deteksi gangguan proses, administrator perlu menambahkan opsi konfigurasi ‘ProcessTampering’ ke file konfigurasi. Sysmon hanya akan memantau kejadian dasar seperti pembuatan proses dan perubahan waktu file tanpa file konfigurasi.

Dengan mengaktifkan fitur ProcessTampering, saat proses hollowing atau proses herpaderping terdeteksi, Sysmon akan membuat entri ‘Event 25 – Process Tampering’ di Event Viewer.

Bagi Anda yang ingin mempelajari lebih lanjut tentang Sysmon, sangat disarankan agar Anda membaca dokumentasi di situs Sysinternals dan bermain-main dengan berbagai opsi konfigurasi.

Sumber: Bleeping Computer

Peretas SolarWinds mengakses source code Microsoft, kata perusahaan itu

January 1, 2021 by Winnie the Pooh

WASHINGTON (Reuters) -Kelompok peretas di balik kompromi SolarWinds mampu membobol Microsoft Corp dan mengakses beberapa source code-nya, kata Microsoft pada Kamis, sesuatu yang dikatakan para ahli mengirimkan sinyal mengkhawatirkan tentang ambisi mata-mata.

source code – sekumpulan instruksi mendasar yang menjalankan perangkat lunak atau sistem operasi – biasanya merupakan salah satu rahasia perusahaan teknologi yang paling dijaga ketat dan Microsoft secara historis sangat berhati-hati dalam melindunginya.

Tidak jelas seberapa banyak atau bagian mana dari repositori source code Microsoft yang dapat diakses peretas, tetapi pengungkapan tersebut menunjukkan bahwa peretas yang menggunakan perusahaan perangkat lunak SolarWinds sebagai batu loncatan untuk masuk ke jaringan sensitif pemerintah AS juga memiliki kepentingan untuk menemukan cara kerja internal produk Microsoft juga.

Memodifikasi source code – yang menurut Microsoft tidak dilakukan oleh peretas – dapat menimbulkan konsekuensi yang berpotensi bencana mengingat produk Microsoft ada di mana-mana, yang mencakup rangkaian produktivitas Office dan sistem operasi Windows. Tetapi para ahli mengatakan bahwa bahkan hanya dengan dapat meninjau kode dapat menawarkan wawasan peretas yang dapat membantu mereka menumbangkan produk atau layanan Microsoft.

“source code adalah cetak biru arsitektural tentang bagaimana perangkat lunak itu dibuat,” kata Andrew Fife dari Cycode yang berbasis di Israel, sebuah perusahaan perlindungan source code.

“Jika Anda memiliki cetak birunya, jauh lebih mudah untuk merekayasa serangan.”

sumber : Reuters

Peringatan Adobe Flash mulai bermunculan di Windows 10

December 29, 2020 by Winnie the Pooh

Adobe akan menghentikan dukungan untuk Flash, sesuatu yang telah direncanakan bertahun-tahun, dan sekarang memastikan pengguna Windows 10 mengetahuinya sebelum waktu itu tiba.

Flash telah lama menjadi kekurangan terbesar dari keamanan di Internet dan sebagian besar Web telah menjauh darinya demi teknologi yang lebih modern dan lebih standar. Adobe pasti memainkan kartu keamanan cukup banyak mencoba untuk menakut-nakuti pengguna menggunakan Flash. Bukan berarti mereka punya banyak pilihan pada Januari tahun depan.

Setelah 31 Desember 2020, Adobe secara resmi akan berhenti mendukung Flash. Dan mulai 12 Januari 2021, pemutar Adobe Flash dan hampir semua plugin Flash tidak akan lagi memutar konten flash. Meskipun demikian, bukan berarti Flash player dan plugin secara otomatis menjadi tidak aktif dan aman, itulah sebabnya Adobe dan Microsoft mengambil langkah ekstra untuk tidak disalahkan atas kompromi komputer.

Adobe telah mulai memunculkan peringatan di Windows 10 yang memberi tahu pengguna tentang tenggat waktu dan menyarankan mereka untuk menghapus program Flash Player. Sekalipun tidak digunakan, perangkat lunak masih dapat dieksploitasi untuk mendapatkan akses jarak jauh ke PC, terutama jika tidak lagi mendapat pembaruan keamanan. Pengguna hanya diberikan dua opsi untuk mencopot pemasangan atau diingatkan nanti.

Microsoft juga telah merencanakan tindakan yang lebih drastis yang secara otomatis akan menghapus Flash untuk Anda. Mereka akan meluncurkan pembaruan Windows opsional tahun depan yang akan menghapus Flash pada komputer Windows Anda. Namun, hal itu hanya memengaruhi Flash yang dipasang Windows 10 itu sendiri dan pengguna masih harus mencopot pemasangan pemutar Flash lain secara manual, dengan anggapan pembuat browser juga tidak melakukannya untuk mereka.

Sumber: Slashgear

Microsoft juga mengalami Security Breach dalam peretasan rantai pasokan SolarWinds baru-baru ini, lapor

December 18, 2020 by Winnie the Pooh

Peretas yang disponsori negara yang melanggar penyedia perangkat lunak AS SolarWinds awal tahun ini memutar ke jaringan internal Microsoft, dan kemudian menggunakan salah satu produk Microsoft sendiri untuk meluncurkan serangan terhadap perusahaan lain, Reuters melaporkan hari ini mengutip sumber yang mengetahui penyelidikan tersebut.

Berita tersebut muncul setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan peringatan hari ini tentang serangan rantai pasokan SolarWinds dan dampaknya terhadap lembaga pemerintah, entitas infrastruktur penting, dan organisasi sektor swasta.

CISA mengatakan mereka memiliki “bukti vektor akses awal tambahan, selain platform SolarWinds Orion.” Dua laporan Reuters tentang dugaan peretasan Microsoft tidak mengatakan produk Microsoft apa yang disalahgunakan oleh peretas setelah melanggar Microsoft.

Seorang juru bicara Microsoft menerima telepon sebelumnya hari ini tetapi tidak memiliki apa pun untuk dibagikan sebelum artikel ini dipublikasikan. Microsoft sekarang bergabung dengan daftar entitas profil tinggi yang telah diretas melalui pembaruan backdoor untuk aplikasi pemantauan jaringan SolarWinds Orion.

Sebagian besar dari korban ini adalah lembaga pemerintah AS, seperti:

Departemen Keuangan AS
Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS
National Institutes of Health (NIH) Departemen Kesehatan
Badan Keamanan Siber dan Infrastruktur (CISA)
Departemen Keamanan Dalam Negeri (DHS)
Departemen Luar Negeri AS
Administrasi Keamanan Nuklir Nasional (NNSA) (juga diungkapkan hari ini)
Departemen Energi AS (DOE) (juga diungkapkan hari ini)
Tiga negara bagian AS (juga diungkapkan hari ini)
Kota Austin (juga diungkapkan hari ini)

sumber : ZDNET

Kunci akun Microsoft 365 Anda untuk mencegah mata-mata, begini caranya

December 15, 2020 by Winnie the Pooh

Berita tersiar akhir pekan lalu bahwa peretas asing selama berbulan-bulan secara diam-diam memantau akun dan pertukaran email antara Departemen Keuangan AS dan Administrasi Telekomunikasi dan Informasi Nasional, memperoleh akses melalui perangkat lunak Microsoft Office 365, menurut Reuters.

Serangan itu cukup canggih untuk mengelabui kontrol otentikasi Microsoft, kata laporan itu. Serangan itu juga mempertanyakan integritas perangkat lunak Microsoft tersebut.

Perusahaan kemudian merilis panduan tentang bagaimana organisasi dapat meningkatkan keamanan untuk mencoba menghindari serangan ini, dan mengatakan bahwa mereka belum mengidentifikasi kerentanan produk Microsoft.

Untuk email kantor atau pribadi Anda yang menggunakan Outlook di Microsoft 365, ada juga cara untuk dapat lebih mengamankan akun individu Anda untuk menghindari peretasan.

Gunakan otentikasi multifaktor

Untuk mengatur otentikasi multifaktor (juga disebut verifikasi dua langkah), masuk ke halaman Security, dan masuk dengan akun Microsoft Anda. Pilih opsi More security. Di bawah Two-step verification, pilih Set up two-step verification untuk mengaktifkannya dan ikuti instruksi yang diberikan.

Lindungi sandi Anda

Jangan pernah menggunakan kata sandi yang sama untuk banyak akun. Anda juga harus memilih kata sandi yang kuat – kata sandi yang menghindari penggunaan kata-kata umum dan setidaknya delapan karakter.

Hindari penipuan phishing

Jika Anda mendapatkan email tentang keamanan akun Microsoft Anda, mungkin itu adalah penipuan phishing. Email ini sering kali menyertakan tautan ke situs web berbahaya, yang tidak boleh Anda klik. Cara terbaik untuk menghindari email ini adalah dengan mengetahui bagaimana cara menemukannya, contohnya seperti menggunakan ejaan yang salah, berasal dari sumber yang sedikit salah eja (seperti microsoftsupport.ru atau micros0ft.com) atau menyertakan panggilan darurat untuk mengambil tindakan atau menghindari ancaman.

Lindungi aplikasi Anda

Di ponsel atau desktop Anda, hanya instal dan jalankan aplikasi dari sumber yang sah, seperti App Store untuk perangkat Anda. Anda juga harus memastikan semua aplikasi serta sistem operasi Anda sudah menerapkan pembaruan.

Permudah proses untuk memulihkan akun Anda

Anda dapat mengatur akun Anda untuk membuatnya mudah dipulihkan jika semuanya gagal dan Anda diretas. Untuk melakukannya, buka halaman keamanan Microsoft, dan tambahkan semua informasi, seperti alamat email dan nomor telepon Anda. Pastikan Anda selalu memperbarui informasi ini untuk menjaga akun Anda lebih aman.

Sumber: Cnet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft

Cookies Settings