Microsoft

Microsoft: Beberapa serangan ransomware membutuhkan waktu kurang dari 45 menit

September 30, 2020 by Mally

Microsoft telah merangkum ancaman terbesar yang dihadapi perusahaan saat ini dalam menghadapi kejahatan siber dan penyerang negara-bangsa dalam Microsoft Digital Defense Report barunya.

CYBERCRIME

Sementara beberapa kelompok kejahatan siber menggunakan tema COVID-19 untuk memikat dan menginfeksi pengguna, Microsoft mengatakan operasi ini hanya sebagian kecil dari ekosistem malware umum, dan pandemi tampaknya memainkan peran minimal dalam serangan malware tahun ini.

Email phishing di sektor enterprise juga terus berkembang dan menjadi vektor yang dominan. Kebanyakan umpan phishing berpusat di sekitar Microsoft dan penyedia SaaS lainnya, dan 5 brand yang paling sering dipalsukan adalah Microsoft, UPS, Amazon, Apple, dan Zoom.

Operasi phishing yang berhasil juga sering digunakan sebagai langkah pertama dalam penipuan Business Email Compromise (BEC). Microsoft mengatakan bahwa penjahat mendapatkan akses ke kotak masuk email eksekutif, melihat komunikasi email, dan kemudian masuk untuk mengelabui mitra bisnis pengguna yang diretas agar membayar faktur ke rekening bank yang salah.

Menurut Microsoft, akun yang paling ditargetkan dalam penipuan BEC adalah akun untuk C-suite dan karyawan akuntansi dan penggajian.

Tetapi Microsoft juga mengatakan bahwa phishing bukan satu-satunya cara peretas untuk masuk ke akun korban. Peretas juga mulai mengadopsi penggunaan ulang password dan serangan password spray terhadap protokol email lama seperti IMAP dan SMTP.

Serangan ini sangat populer dalam beberapa bulan terakhir karena memungkinkan penyerang untuk melewati solusi otentikasi multi-faktor (MFA), karena masuk melalui IMAP dan SMTP tidak mendukung fitur tersebut.

RANSOMWARE GROUPS

Namun, sejauh ini, ancaman kejahatan siber yang paling mengganggu beberapa tahun ini adalah geng ransomware. Microsoft mengatakan bahwa infeksi ransomware telah menjadi alasan paling umum di balik keterlibatan respons insiden (IR) perusahaan dari Oktober 2019 hingga Juli 2020.

Dan dari semua geng ransomware, kelompok yang dikenal sebagai “big game hunters” dan “ransomware yang dioperasikan oleh manusia” adalah yang paling membuat Microsoft pusing. Ini adalah grup yang secara khusus menargetkan jaringan tertentu milik perusahaan besar atau organisasi pemerintah, mengetahui bahwa mereka akan menerima pembayaran tebusan yang lebih besar.

Sebagian besar dari grup ini beroperasi baik dengan menggunakan infrastruktur malware yang disediakan oleh grup kejahatan siber lain atau dengan memindai internet secara masal untuk menemukan kerentanan yang baru diungkapkan.

“Para penyerang telah mengeksploitasi krisis COVID-19 untuk mengurangi dwell time mereka dalam sistem korban – mengkompromikan, mengeksfiltrasi data dan, dalam beberapa kasus, menebus dengan cepat – tampaknya percaya bahwa akan ada peningkatan kesediaan untuk membayar sebagai akibat dari wabah tersebut,” Kata Microsoft.

“Dalam beberapa kasus, hanya dibutuhkan waktu kurang dari 45 menit untuk penjahat siber masuk hingga menebus seluruh jaringan dalam.”

SUPPLY-CHAIN SECURITY

Tren utama lainnya yang dipilih Microsoft untuk menjadi sorotan adalah peningkatan penargetan rantai pasokan dalam beberapa bulan terakhir, daripada menyerang target secara langsung.

Hal ini memungkinkan pelaku ancaman untuk meretas satu target dan kemudian menggunakan infrastruktur target itu sendiri untuk menyerang semua pelanggannya, baik satu per satu, atau semuanya pada waktu yang sama.

NATION-STATE GROUPS

Mengenai grup peretasan negara-bangsa (juga dikenal sebagai APT, atau ancaman persisten tingkat lanjut), Microsoft mengatakan tahun ini cukup sibuk.

Microsoft mengatakan bahwa antara Juli 2019 dan Juni 2020, mereka mengirimkan lebih dari 13.000 nation-state notification (NSN) kepada pelanggannya melalui email.

Menurut Microsoft, sebagian besar dikirim untuk operasi peretasan yang berhubungan dengan grup yang disponsori negara Rusia, sementara sebagian besar korban berada di Amerika.

Temuan menarik lainnya dari Microsoft Digital Defense Report adalah bahwa target utama serangan APT adalah organisasi non-pemerintah dan industri layanan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Source Kode Windows 10 Diduga Bocor ke Dunia Maya

September 25, 2020 by Mally

Source Code pada Windows XP SP1 dan versi lainnya diduga telah bocor ke dunia maya pada hari ini.
Pelaku mengklaim telah menghabiskan dua bulan terakhir untuk mengumpulkan koleksi Source Code Microsoft yang bocor di dunia maya. Koleksi file sebesar 43 GB ini dirilis hari ini secara Torrent melalui forum 4chan.

Yang termasuk dalam torrent ini diduga source code Windows XP dan Windows Server 2003, juga bermacam-macam versi sistem operasi yang bahkan lebih lama.

Isi torrent tersebut meliputi:

MS DOS 3.30

MS DOS 6.0

Windows 2000

Windows CE 3

Windows CE 4

Windows CE 5

Windows Tertanam 7

CE Tertanam Windows

Windows NT 3.5

Windows NT 4

Torrent tersebut juga menyertakan folder media yang berisi kumpulan video teori konspirasi aneh tentang Bill Gates.
Selain torrent, file 2,9GB 7zip yang lebih kecil yang hanya berisi kode sumber untuk Windows XP dan Windows Server 2003 juga didistribusikan secara online.

Pelaku menyatakan bahwa source code Windows XP telah diedarkan secara pribadi di antara para peretas selama bertahun-tahun, tetapi dirilis untuk umum untuk pertama kalinya hari ini.
BleepingComputer berkata telah melihat sumbernya, tetapi tidak memiliki cara untuk memastikan apakah itu kode sumber sebenarnya untuk Windows XP atau Windows Server 2003.
Microsoft pun belum mengonfirmasi apakah sumber yang bocor itu valid atau tidak.

Apakah source code ini mengancam kemanana Windows?

Walaupun Windows XP sudah dirilis lebih dari 20 tahun yang lalu, jika ada kode yang masih digunakan dalam Windows 10, kebocoran ini berpotensi mengancam keamanan Windows 10.
Source Code adalah instruksi yang didesain agar mudah dipahami oleh manusia, dengan melihat source code ini seseorang bisa tahu bagaimana seharusnya program berjalan. Source code ini kemudian dicompile menjadi file yang dapat dieksekusi oleh komputer.

Memang kita bisa mereverse-engineering Windows untuk mencari celah ataupun bug, tetpai dengan adanya source code, menjadi lebih mudah untuk melihat detail sebuah sistem operasi bekerja.

Source : BleepingComputer

Microsoft mendeteksi kerentanan Zerologon telah terdeteksi dieksploitasi secara aktif

September 25, 2020 by Mally

Peretas secara aktif mengeksploitasi kerentanan Zerologon dalam serangan dunia nyata, kata tim intelijen keamanan Microsoft.

“Microsoft secara aktif melacak aktivitas aktor ancaman menggunakan eksploitasi untuk kerentanan CVE-2020-1472 Netlogon EoP, yang dijuluki Zerologon. Kami telah mengamati serangan di mana eksploitasi publik telah dimasukkan ke dalam buku pedoman penyerang,” tulis perusahaan tersebut dalam akun twitter mereka.

Serangan itu diperkirakan akan terjadi, menurut pakar industri keamanan.

Beberapa versi kode eksploitasi weaponized proof-of-concept telah diterbitkan secara online dalam bentuk yang dapat diunduh secara bebas sejak detail tentang kerentanan Zerologon diungkapkan pada 14 September oleh perusahaan keamanan Belanda Secura BV.

Meskipun Microsoft belum merilis rincian tentang serangan tersebut, namun mereka merilis file hash untuk eksploitasi yang digunakan dalam serangan tersebut.

Seperti yang direkomendasikan oleh beberapa pakar keamanan sejak Microsoft mengungkapkan serangan tersebut, perusahaan yang pengontrol domainnya terekspos di internet harus membuat sistem offline untuk menambalnya.

Server yang dapat dijangkau internet ini sangat rentan karena serangan dapat dipasang secara langsung, tanpa peretas terlebih dahulu membutuhkan pijakan pada sistem internal.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Samba Merilis Pembaruan Keamanan untuk CVE-2020-1472, Kerentanan ZeroLogon

September 22, 2020 by Mally

Tim Samba telah merilis pembaruan keamanan untuk mengatasi kerentanan kritis ZeroLogon — CVE-2020-1472 — di beberapa versi Samba. Kerentanan ini memungkinkan Penyerang dalam satu jaringan dapat memperoleh akses administrator dengan memanfaatkan cacat protokol netlogon.

Bug ini dilaporkan dan telah ditambal oleh Microsoft pada update bulan Agustus kemarin. Namun karena bug ini adalah kelemahan tingkat protokol, dan Samba mengimplementasikan protokol, Samba juga menjadi rentan akan bug ini.

Dalam pengunguman keamanan yang dirilis oleh tim Samba, mereka mengatakan kerentanan ini mempengaruhi versi Samba yang lebih lama dari 4.0, serta Samba yang hanya digunakan sebagai pengontrol domain.

Cybersecurity and Infrastructure Safety Agency (CISA) telah mendorong pengguna dan administrator untuk meninjau Pengumuman Keamanan Samba untuk CVE-2020-1472 dan menerapkan pembaruan atau solusi yang diperlukan.

Untuk pengunguman keamanan yang dirilis Samba dapat dibaca pada link berikut:
Samba Security Advisory

Microsoft menghapus kemampuan Windows Defender setelah masalah keamanan dilaporkan

September 21, 2020 by Mally

Microsoft telah menghapus kemampuan untuk mengunduh file menggunakan Windows Defender setelah diperlihatkan bagaimana fitur tersebut dapat digunakan oleh penyerang untuk mengunduh malware ke komputer.

Ketika ini ditemukan, ada kekhawatiran dari komunitas keamanan siber bahwa Microsoft akan mengizinkan Microsoft Defender disalahgunakan oleh penyerang sebagai LOLBIN.

LOLBIN, atau living-off-the-land binaries, adalah file sistem operasi yang sah yang dapat disalahgunakan untuk tujuan jahat.

Untuk mengunduh file, pengguna dapat menjalankan Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) dengan argumen -DownloadFile.

Dengan rilis Windows Defender Antimalware Client versi 4.18.2009.2-0 kemarin, BleepingComptuer menemukan bahwa Microsoft sekali lagi diam-diam mengubah fitur MpCmdRun.exe.

Kali ini, Microsoft menghapus kemampuannya untuk mengunduh file melalui utilitas command line MpCmdRun.exe.

Pengguna yang mencoba mengunduh file menggunakan MpCmdRun.exe akan melihat kesalahan yang menyatakan “CmdTool: Argumen baris perintah tidak valid.” Opsi baris perintah -DownloadFile telah dihapus dari layar bantuan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Serangan Zerologon memungkinkan peretas mengambil alih jaringan perusahaan: Tambal sekarang!

September 15, 2020 by Mally

Tanpa diketahui banyak orang, bulan lalu Microsoft menambal salah satu bug paling parah yang pernah dilaporkan ke perusahaan, masalah yang dapat disalahgunakan untuk dengan mudah mengambil alih Server Windows yang berjalan sebagai pengontrol domain di jaringan perusahaan.

Bug itu telah ditambal di Patch Tuesday Agustus 2020 dengan nomor CVE-2020-1472. Ini dijelaskan sebagai peningkatan hak istimewa di Netlogon, protokol yang mengotentikasi pengguna terhadap pengontrol domain.

Kerentanan tersebut menerima peringkat tingkat keparahan maksimum 10, tetapi detailnya tidak pernah dipublikasikan, yang berarti pengguna dan administrator TI tidak pernah tahu betapa berbahayanya masalah itu sebenarnya.

Namun dalam posting blog, tim di Secura B.V., sebuah firma keamanan Belanda, akhirnya menerbitkan laporan teknis yang menjelaskan CVE-2020-1472 secara lebih mendalam.

Dan menurut laporan, bug tersebut benar-benar layak dengan skor keparahan CVSSv3 10/10.

Menurut peneliti Secura, bug tersebut, yang mereka beri nama Zerologon, memanfaatkan algoritme kriptografi lemah yang digunakan dalam proses otentikasi Netlogon.

Ada batasan tentang bagaimana serangan Zerologon dapat digunakan. Sebagai permulaan, ini tidak dapat digunakan untuk mengambil alih Server Windows dari luar jaringan. Seorang penyerang pertama-tama membutuhkan pijakan di dalam jaringan.

Namun, ketika kondisi ini terpenuhi, secara harfiah ini adalah sebuah game over untuk perusahaan yang diserang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Pembaruan Windows 10 memperbaiki masalah drive SSD yang mengganggu

September 11, 2020 by Mally

Microsoft mengatakan akhirnya mereka telah memperbaiki masalah pembaruan Windows 10 yang berpotensi pengguna mengalami masalah dengan SSD sistem mereka.

Microst telah mengungkapkan bahwa pembaruan Windows 10 September 2020 terbaru (Windows 10 KB4571756, atau Build 19041.508), telah menyelesaikan masalah dengan alat Drive Optimize yang melihat Windows secara otomatis mendefrag SSD sistem setiap kali sistem di-boot ulang.

Pengguna khawatir bahwa masalah tersebut, yang pertama kali diperhatikan pada pembaruan Windows 10 sebelumnya awal tahun ini, masih belum diperbaiki meskipun ada jaminan dari Microsoft.

Ini berarti Windows 10 melakukan pengoptimalan drive otomatis jauh lebih sering daripada yang seharusnya, yang dapat berimplikasi pada jangka umur SSD.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Tech Radar

Microsoft September 2020 Patch Tuesday memperbaiki 129 kerentanan

September 9, 2020 by Mally

Microsoft telah menerbitkan pembaruan keamanan bulanan, yang juga dikenal sebagai Patch Tuesday. Bulan ini, pembuat OS tersebut menambal 129 kerentanan di 15 produk, mulai dari Windows hingga ASP.NET.

Yang perlu diperhatikan adalah bahwa bulan ini, dari 129 kerentanan, 32 diklasifikasikan sebagai masalah eksekusi kode jarak jauh, yang merupakan bug yang memungkinkan penyerang mengeksploitasi aplikasi yang rentan dari jarak jauh, melalui jaringan.

Dari 32 kerentanan, 20 juga menerima klasifikasi tingkat keparahan “kritis”, peringkat tertinggi pada skala Microsoft, menjadikan 20 kerentanan sebagai beberapa bug terpenting yang ditambal di seluruh produk Microsoft bulan ini. Berikut adalah daftar bug yang termasuk dalam 20 kerentanan:

Windows (CVE-2020-1252)
On-premise Microsoft Dynamics 365 systems (CVE-2020-16857, CVE-2020-16862)
Windows Graphics Device Interface (GDI) (CVE-2020-1285)
Microsoft SharePoint (CVE-2020-1200, CVE-2020-1210, CVE-2020-1452, CVE-2020-1453, CVE-2020-1576, CVE-2020-1595)
Microsoft SharePoint Server (CVE-2020-1460)
Windows Media Audio Decoder (CVE-2020-1593, CVE-2020-1508)
Microsoft COM for Windows (CVE-2020-0922)
Windows Text Service Module (CVE-2020-0908)
Microsoft Windows Codecs Library (CVE-2020-1319, CVE-2020-1129)
Windows Camera Codec Pack (CVE-2020-0997)
Visual Studio (CVE-2020-16874)

Pembuat malware diketahui mengikuti pembaruan keamanan bulanan Microsoft, memilih bug yang paling berguna / berbahaya, dan menambal komponen yang diperbarui untuk menemukan bug yang diperbaiki Microsoft – sehingga mereka dapat menggunakannya untuk serangan di masa mendatang.

Administrator sistem disarankan untuk meninjau ancaman yang ditimbulkan oleh setiap kerentanan RCE di atas, dan kemudian memutuskan apakah pembaruan keamanan bulan ini perlu diterapkan segera atau ditunda untuk pengujian tambahan.

Berita selengkapnya:
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.