Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

by

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Penghapusan TrickBot Mengganggu Perangkat Kriminal Utama

by

TrickBot dikenal karena menyebarkan malware lain, terutama ransomware. Microsoft mengatakan minggu ini bahwa Pengadilan Distrik Amerika Serikat untuk Distrik Timur Virginia mengabulkan permintaan pengadilan untuk menghentikan operasi TrickBot, yang dilakukan bersama dengan perusahaan lain, termasuk ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec dan lainnya.

“Kami mengganggu TrickBot melalui perintah pengadilan yang kami peroleh, serta tindakan teknis yang kami lakukan dalam kemitraan dengan penyedia telekomunikasi di seluruh dunia,” tulis Tom Burt, wakil presiden perusahaan, Keamanan & Kepercayaan Pelanggan, di Microsoft, dalam posting hari Senin.

Menurut ESET, salah satu kunci penyelidikan adalah kenyataan bahwa arsitektur modular TrickBot menggunakan berbagai plugin untuk melakukan berbagai tindakan berbahaya.

Menariknya, permintaan Microsoft untuk persetujuan hukum bergantung pada klaim hak cipta terhadap TrickBot yang menggunakan kode perangkat lunaknya untuk tujuan berbahaya.

Ini adalah pertama kalinya raksasa komputasi menggunakan pendekatan ini, kata Burt, menambahkan bahwa taktik tersebut “memungkinkan kami mengambil tindakan sipil untuk melindungi pelanggan di sejumlah besar negara di seluruh dunia yang menerapkan undang-undang ini”.

TrickBot mungkin terganggu untuk saat ini, tetapi para peneliti menunjukkan bahwa operator memiliki proyek lain yang sedang berlangsung.

“Salah satu dari proyek ini adalah apa yang disebut proyek Anchor, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware,” menurut ESET.

Berita selengkapnya:
Source: The Threat Post

Microsoft October 2020 Patch Tuesday memperbaiki 87 kerentanan

by

Microsoft telah merilis pembaruan keamanan bulanan yang dikenal sebagai Patch Tuesday, dan bulan ini pembuat OS telah menambal 87 kerentanan di berbagai produk Microsoft.

Bug paling berbahaya yang ditambal bulan ini adalah CVE-2020-16898. Digambarkan sebagai kerentanan eksekusi kode jarak jauh (RCE) yaitu kerentanan pada Windows TCP/IP stack, bug ini dapat memungkinkan penyerang untuk mengambil alih sistem Windows dengan mengirimkan paket ICMPv6 Router Advertisement yang berbahaya ke komputer yang belum ditambal melalui koneksi jaringan.

Bug tersebut ditemukan secara internal oleh teknisi Microsoft, dan versi OS yang rentan terhadap CVE-2020-16898 termasuk Windows 10 dan Windows Server 2019.

Peneliti dari McAfee telah merilis detail pada blog mereka yang dapat diakses melalui link ini.

Sangat disarankan untuk menambal bug ini, tetapi solusi seperti menonaktifkan dukungan ICMPv6 RDNSS juga dapat dilakukan, yang memungkinkan administrator sistem menerapkan mitigasi sementara hingga mereka menguji kualitas pembaruan keamanan bulan ini untuk setiap bug yang merusak OS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft menghentikan operasi peretasan besar-besaran yang dapat memengaruhi pemilu

by

Microsoft telah mengganggu operasi peretasan besar-besaran yang dikatakannya secara tidak langsung dapat memengaruhi infrastruktur pemilu jika dibiarkan berlanjut.

Perusahaan itu mengatakan pada hari Senin bahwa mereka menghentikan server di belakang Trickbot, jaringan malware besar yang digunakan penjahat untuk meluncurkan serangan siber lainnya, termasuk serangkaian ransomware yang sangat kuat.

Microsoft mengatakan memperoleh perintah pengadilan federal untuk menonaktifkan alamat IP yang terkait dengan server Trickbot, dan bekerja dengan penyedia telekomunikasi di seluruh dunia untuk membasmi jaringan.

Trickbot mengizinkan peretas untuk menjual apa yang dikatakan Microsoft sebagai layanan kepada peretas lain – menawarkan mereka kemampuan untuk menyuntikkan komputer, router, dan perangkat lain yang rentan dengan malware lain.

Itu termasuk ransomware, yang telah diperingatkan oleh Microsoft dan pejabat AS dapat menimbulkan risiko bagi situs web yang menampilkan informasi pemilu atau vendor perangkat lunak pihak ketiga yang menyediakan layanan kepada pejabat pemilu.

Baca berita selengkapnya pada tautan di bawah ini;
Source: CNN

Patch CVE-2020-1472 Netlogon Secure Channel sekarang!

by

Netlogon Remote Protocol atau disebut MS-NRPC adalah antarmuka RPC yang digunakan secara eksklusif oleh perangkat yang bergabung dengan domain tertentu. MS-NRPC menyertakan metode otentikasi dan metode untuk membuat Netlogon secure channel. Pembaruan ini memberlakukan perilaku klien Netlogon tertentu untuk menggunakan Secure RPC dengan Netlogon Secure Channel antara komputer client dan Domain Controllers (DC) direktori aktif (AD).

Pembaruan keamanan ini mengatasi kerentanan dengan memberlakukan Secure RPC saat menggunakan Netlogon Secure Channel di rilis secara bertahap yang dijelaskan di bagian Pembaruan. Untuk memberikan perlindungan AD, semua DC harus diperbarui karena mereka akan memberlakukan Secure RPC dengan Netlogon Secure Channel. Ini termasuk read only domain controller (RODC).

Pada halaman advisori, Microsoft merilis langkah-langkah untuk menutup celah CVE-2020-1472 :

1.UPDATE Domain Controller anda dengan update yang dirilis pada 11 Agustus 2020 atau setelahnya.
2.CARI perangkat yang mempunyai celah melalui monitoring event log.
3.CATAT perangkat yang sudah tidak mendapatkan update karena riskan terhadap koneksi yang rentan.
4.AKTIFKAN enforcement mode untuk mengatasi CVE-2020-1472 dalam organisasi anda.

Harap segera patch perangkat anda pada situs resmi Microsoft disini.

Eksploitasi Microsoft Netlogon terus meningkat

by Leave a Comment

Cisco Talos melacak lonjakan upaya eksploitasi terhadap kerentanan Microsoft CVE-2020-1472, peningkatan bug hak istimewa di Netlogon, yang diuraikan dalam laporan Microsoft Patch Tuesday Agustus. Kerentanan berasal dari cacat dalam skema otentikasi kriptografi yang digunakan oleh Netlogon Remote Protocol yang – antara lain – dapat digunakan untuk memperbarui sandi komputer dengan memalsukan token otentikasi untuk fungsionalitas Netlogon tertentu. Cacat ini memungkinkan penyerang meniru identitas komputer mana pun, termasuk pengontrol domain itu sendiri dan mendapatkan akses ke kredensial admin domain.

Ciri-ciri Netlogon:

    • Klien mengirimkan tantangan klien yang mencakup tantangan delapan byte.
      Server merespons dengan tantangan server termasuk tantangan delapan byte-nya.
      Klien dan server menghitung kunci sesi bersama
      Klien mengenkripsi kunci sesi bersama yang menghasilkan kredensial klien
      Server mengenkripsi kunci sesi bersama yang menghasilkan kredensial server

    • Microsoft saat ini menangani kerentanan ini dalam perilisan dua bagian mitigasi secara bertahap. Microsoft menguraikan rencananya dalam sebuah halaman advisori yang mengatakan, “Untuk pedoman tentang cara mengelola perubahan yang diperlukan untuk kerentanan ini dan informasi lebih lanjut tentang peluncuran bertahap, lihat Bagaimana mengelola perubahan dalam koneksi aman Netlogon yang terkait dengan CVE-2020-1472. Ketika fase kedua pembaruan Windows tersedia pada K1 2021, pelanggan akan diberi tahu melalui revisi kerentanan keamanan ini. Jika Anda ingin diberi tahu ketika pembaruan ini dirilis, kami menyarankan Anda mendaftar ke pengirim pemberitahuan keamanan agar diberi tahu tentang perubahan konten pada dokumen advisori ini. ”

    Source : Cisco Talos

    Microsoft: Beberapa serangan ransomware membutuhkan waktu kurang dari 45 menit

    by

    Microsoft telah merangkum ancaman terbesar yang dihadapi perusahaan saat ini dalam menghadapi kejahatan siber dan penyerang negara-bangsa dalam Microsoft Digital Defense Report barunya.

    CYBERCRIME

    Sementara beberapa kelompok kejahatan siber menggunakan tema COVID-19 untuk memikat dan menginfeksi pengguna, Microsoft mengatakan operasi ini hanya sebagian kecil dari ekosistem malware umum, dan pandemi tampaknya memainkan peran minimal dalam serangan malware tahun ini.

    Email phishing di sektor enterprise juga terus berkembang dan menjadi vektor yang dominan. Kebanyakan umpan phishing berpusat di sekitar Microsoft dan penyedia SaaS lainnya, dan 5 brand yang paling sering dipalsukan adalah Microsoft, UPS, Amazon, Apple, dan Zoom.

    Operasi phishing yang berhasil juga sering digunakan sebagai langkah pertama dalam penipuan Business Email Compromise (BEC). Microsoft mengatakan bahwa penjahat mendapatkan akses ke kotak masuk email eksekutif, melihat komunikasi email, dan kemudian masuk untuk mengelabui mitra bisnis pengguna yang diretas agar membayar faktur ke rekening bank yang salah.

    Menurut Microsoft, akun yang paling ditargetkan dalam penipuan BEC adalah akun untuk C-suite dan karyawan akuntansi dan penggajian.

    Tetapi Microsoft juga mengatakan bahwa phishing bukan satu-satunya cara peretas untuk masuk ke akun korban. Peretas juga mulai mengadopsi penggunaan ulang password dan serangan password spray terhadap protokol email lama seperti IMAP dan SMTP.

    Serangan ini sangat populer dalam beberapa bulan terakhir karena memungkinkan penyerang untuk melewati solusi otentikasi multi-faktor (MFA), karena masuk melalui IMAP dan SMTP tidak mendukung fitur tersebut.

    RANSOMWARE GROUPS

    Namun, sejauh ini, ancaman kejahatan siber yang paling mengganggu beberapa tahun ini adalah geng ransomware. Microsoft mengatakan bahwa infeksi ransomware telah menjadi alasan paling umum di balik keterlibatan respons insiden (IR) perusahaan dari Oktober 2019 hingga Juli 2020.

    Dan dari semua geng ransomware, kelompok yang dikenal sebagai “big game hunters” dan “ransomware yang dioperasikan oleh manusia” adalah yang paling membuat Microsoft pusing. Ini adalah grup yang secara khusus menargetkan jaringan tertentu milik perusahaan besar atau organisasi pemerintah, mengetahui bahwa mereka akan menerima pembayaran tebusan yang lebih besar.

    Sebagian besar dari grup ini beroperasi baik dengan menggunakan infrastruktur malware yang disediakan oleh grup kejahatan siber lain atau dengan memindai internet secara masal untuk menemukan kerentanan yang baru diungkapkan.

    “Para penyerang telah mengeksploitasi krisis COVID-19 untuk mengurangi dwell time mereka dalam sistem korban – mengkompromikan, mengeksfiltrasi data dan, dalam beberapa kasus, menebus dengan cepat – tampaknya percaya bahwa akan ada peningkatan kesediaan untuk membayar sebagai akibat dari wabah tersebut,” Kata Microsoft.

    “Dalam beberapa kasus, hanya dibutuhkan waktu kurang dari 45 menit untuk penjahat siber masuk hingga menebus seluruh jaringan dalam.”

    SUPPLY-CHAIN SECURITY

    Tren utama lainnya yang dipilih Microsoft untuk menjadi sorotan adalah peningkatan penargetan rantai pasokan dalam beberapa bulan terakhir, daripada menyerang target secara langsung.

    Hal ini memungkinkan pelaku ancaman untuk meretas satu target dan kemudian menggunakan infrastruktur target itu sendiri untuk menyerang semua pelanggannya, baik satu per satu, atau semuanya pada waktu yang sama.

    NATION-STATE GROUPS

    Mengenai grup peretasan negara-bangsa (juga dikenal sebagai APT, atau ancaman persisten tingkat lanjut), Microsoft mengatakan tahun ini cukup sibuk.

    Microsoft mengatakan bahwa antara Juli 2019 dan Juni 2020, mereka mengirimkan lebih dari 13.000 nation-state notification (NSN) kepada pelanggannya melalui email.

    Menurut Microsoft, sebagian besar dikirim untuk operasi peretasan yang berhubungan dengan grup yang disponsori negara Rusia, sementara sebagian besar korban berada di Amerika.

    Temuan menarik lainnya dari Microsoft Digital Defense Report adalah bahwa target utama serangan APT adalah organisasi non-pemerintah dan industri layanan.

    Baca berita selengkapnya pada tautan di bawah ini;
    Source: ZDNet

    Source Kode Windows 10 Diduga Bocor ke Dunia Maya

    by

    Source Code pada Windows XP SP1 dan versi lainnya diduga telah bocor ke dunia maya pada hari ini.
    Pelaku mengklaim telah menghabiskan dua bulan terakhir untuk mengumpulkan koleksi Source Code Microsoft yang bocor di dunia maya. Koleksi file sebesar 43 GB ini dirilis hari ini secara Torrent melalui forum 4chan.

    Isi “bocoran” Source Code Windows

    Yang termasuk dalam torrent ini diduga source code Windows XP dan Windows Server 2003, juga bermacam-macam versi sistem operasi yang bahkan lebih lama.

    Isi torrent tersebut meliputi:

        MS DOS 3.30
        MS DOS 6.0
        Windows 2000
        Windows CE 3
        Windows CE 4
        Windows CE 5
        Windows Tertanam 7
        CE Tertanam Windows
        Windows NT 3.5
        Windows NT 4

    Torrent tersebut juga menyertakan folder media yang berisi kumpulan video teori konspirasi aneh tentang Bill Gates.
    Selain torrent, file 2,9GB 7zip yang lebih kecil yang hanya berisi kode sumber untuk Windows XP dan Windows Server 2003 juga didistribusikan secara online.

    Pelaku menyatakan bahwa source code Windows XP telah diedarkan secara pribadi di antara para peretas selama bertahun-tahun, tetapi dirilis untuk umum untuk pertama kalinya hari ini.
    BleepingComputer berkata telah melihat sumbernya, tetapi tidak memiliki cara untuk memastikan apakah itu kode sumber sebenarnya untuk Windows XP atau Windows Server 2003.
    Microsoft pun belum mengonfirmasi apakah sumber yang bocor itu valid atau tidak.

    Apakah source code ini mengancam kemanana Windows?

    Walaupun Windows XP sudah dirilis lebih dari 20 tahun yang lalu, jika ada kode yang masih digunakan dalam Windows 10, kebocoran ini berpotensi mengancam keamanan Windows 10.
    Source Code adalah instruksi yang didesain agar mudah dipahami oleh manusia, dengan melihat source code ini seseorang bisa tahu bagaimana seharusnya program berjalan. Source code ini kemudian dicompile menjadi file yang dapat dieksekusi oleh komputer.

    Memang kita bisa mereverse-engineering Windows untuk mencari celah ataupun bug, tetpai dengan adanya source code, menjadi lebih mudah untuk melihat detail sebuah sistem operasi bekerja.

    Source : BleepingComputer