Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

by

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

by

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

by

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Microsoft memperbaiki masalah autentikasi Windows Kerberos dalam pembaruan darurat

by

Microsoft telah merilis pembaruan out-of-band (OOB) opsional untuk memperbaiki masalah yang memicu kegagalan masuk Kerberos dan masalah autentikasi lainnya pada pengontrol domain Windows setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa November.

Microsoft mengakui dan mulai menyelidiki pada hari Senin dan mengatakan bahwa masalah yang diketahui dapat memengaruhi skenario autentikasi Kerberos apa pun dalam lingkungan perusahaan yang terpengaruh.

“Saat masalah ini terjadi, Anda mungkin menerima peristiwa kesalahan Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain Anda dengan teks di bawah ini.”

Daftar skenario autentikasi Kerberos yang terpengaruh mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal tersambung.
  • ​Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan autentikasi pengguna domain mungkin gagal.

Microsoft merilis pembaruan darurat OOB yang harus diinstal oleh admin Windows di semua Pengontrol Domain (DC) pada lingkungan yang terpengaruh.

Pembaruan OOB tersedia melalui Katalog Pembaruan Microsoft dan tidak akan ditawarkan melalui Pembaruan Windows.

Redmond telah merilis pembaruan kumulatif untuk penginstalan di Pengontrol Domain (tidak diperlukan tindakan di sisi klien):

Microsoft juga merilis pembaruan mandiri yang dapat diimpor ke Windows Server Update Services (WSUS) dan Microsoft Endpoint Configuration Manager:

Satu-satunya platform yang terpengaruh yang masih menunggu perbaikan adalah Windows Server 2008 R2 SP1. Redmond mengatakan bahwa pembaruan khusus akan tersedia minggu depan.

Anda dapat menemukan instruksi penyebaran WSUS terperinci di WSUS dan instruksi Pengelola Konfigurasi dan Situs Katalog di halaman Impor pembaruan dari halaman Katalog Pembaruan Microsoft.

Sumber: Bleeping Computer

Microsoft Memperingatkan Fitur Konektivitas Jarak Jauh Direct Access.

by

Microsoft terus memperbaiki masalah yang muncul setelah pengguna menginstal pembaruan terbaru untuk Windows 10 dan 11 – termasuk yang menyebabkan masalah dengan fitur konektivitas jarak jauh Direct Access.

Akses Langsung memungkinkan pekerja jarak jauh untuk terhubung ke sumber daya di jaringan perusahaan tanpa menggunakan koneksi VPN tradisional. Ini dirancang untuk memastikan bahwa klien jarak jauh selalu terhubung tanpa harus memulai dan menghentikan koneksi. Administrator TI juga dapat mengelola sistem klien dari jarak jauh menggunakan Akses Langsung saat mereka berjalan dan tersambung ke internet.

Untuk perangkat yang dikelola oleh perusahaan, administrator TI dapat menginstal dan mengonfigurasi kebijakan grup khusus yang ditemukan dengan membuka Konfigurasi Komputer > Template Administratif > Nama Kebijakan Grup.

Bug memengaruhi klien yang menjalankan Windows 11 22H2 dan 21H1, Windows 10 versi 22H2, 21H1, dan 20H2, serta Windows 10 Enterprise LTSC 2019. Juga terpengaruh adalah Windows Server 2022 dan 2019.

Masalah dapat mencakup kegagalan login pengguna domain, masalah dengan autentikasi Layanan Federasi Direktori Aktif, masalah dengan Akun Layanan Terkelola Grup yang gagal diautentikasi, dan koneksi desktop jarak jauh menggunakan pengguna domain yang tidak tersambung.

Sistem Windows dengan bug akan melihat ID Peristiwa Microsoft-Windows-Kerberos-Key-Distribution-Center 14 di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka.

Microsoft menempatkan penangguhan kompatibilitas pada perangkat yang terpengaruh untuk memastikan mereka tidak menginstal versi 22H2, dan merekomendasikan agar pengguna yang telah memutakhirkan harus memperbarui aplikasi dan game ke versi terbaru yang tersedia saat perusahaan sedang memperbaiki.

sumber : the register

Microsoft Memperbaiki MoTW Zero-day Yang digunakan Untuk Menjatuhkan Malware Melalui File ISO

by

Windows telah memperbaiki bug yang mencegah tanda Mark of the Web menyebar ke file dalam file ISO yang diunduh, memberikan pukulan besar bagi distributor dan pengembang malware.

untuk kalian yang kurang memahami Mark of the Web (MoTW), ini adalah fitur keamanan Windows yang menandai file yang berasal dari Internet sehingga ditandai sebagai “mencurigakan” oleh sistem operasi dan aplikasi yang diinstal.

bendera MoTW ditambahkan ke file sebagai aliran data alternatif yang disebut ‘Zone.Identifier,’ yang mencangkup zone keamnaan URL asal file, perunjuk, dan URL ke file

Alternate Data Streams adalah atribut file NTFS yang dapat dilihat menggunakan alat khusus atau perintah ‘dir /R’ di Command Prompt dan dibuka langsung di Notepad, seperti yang ditunjukkan di bawah ini.

Aliran data alternatif Mark-of-the-Web

Saat mencoba membuka file dengan tanda Mark of the Web, Windows akan menampilkan peringatan keamanan bahwa file harus diperlakukan dengan hati-hati.

Peringatan keamanan Windows saat membuka file dengan bendera MoTW

Microsoft memperbaiki Mark of the Web di ISO
Sebagai bagian dari pembaruan November Patch Tuesday, Microsoft memperbaiki banyak kerentanan yang memungkinkan pelaku ancaman membuat file yang dapat melewati fitur keamanan Mark of the Web.

Termasuk dalam pembaruan adalah perbaikan tak terduga untuk bug yang biasanya disalahgunakan oleh aktor ancaman dalam kampanye phishing

Untuk beberapa waktu, pelaku ancaman telah mendistribusikan gambar disk ISO sebagai lampiran dalam kampanye phishing untuk menginfeksi target dengan malware.

Meskipun file ISO yang diunduh atau dilampirkan akan berisi Tanda Web dan mengeluarkan peringatan saat dibuka, bug tersebut menyebabkan bendera MoTW tidak disebarkan ke jenis file non-Microsoft Office, seperti Pintasan Windows (file LNK).

Setelah menginstal pembaruan keamanan November Patch Tuesday untuk CVE-2022-41091, Windows sekarang akan menyebarkan Mark of the Web flag itu akan menampilkan peringatan keamanan saat meluncurkan file LNK.

Dua bug MoTW lainnya diperbaiki

Bug pertama menyebabkan Windows SmartScreen gagal pada Windows 11 22H2 dan melewati peringatan Mark of the Web saat membuka file langsung dari arsip ZIP.

Bug kedua, dijuluki ‘ZippyReads,’ dapat dieksploitasi hanya dengan membuat file ZIP yang berisi file read-only. Saat arsip ini dibuka di Windows Explorer, bendera MoTW tidak akan disebarkan ke file hanya-baca dan mengabaikan peringatan keamanan.

sumber : bleeping computer

PowerToy Windows ‘LockSmith’ Membantu Anda Membuka File Yang Terkunci

by


Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga.

Microsoft memiliki utilitas baru untuk perangkat PowerToys yang akan membantu pengguna Windows menemukan proses menggunakan file yang dipilih dan membuka kuncinya tanpa memerlukan alat pihak ketiga, juga editor file host Windows dan daftar panjang perbaikan bug dan perubahan yang menambah stabilitas dan meningkatkan alat bawaan lainnya.

program pihak ketiga yang dirancang untuk menghilangkan status “terkunci”, sekarang Anda dapat memeriksa file mana yang digunakan oleh proses mana dengan mengklik kanan file tersebut di File Explorer dan mengklik “Apa yang menggunakan file ini?” dalam menu konteks.

Anda kemudian dapat menghentikan proses apa pun yang ditemukan oleh File Locksmith atau memindai lagi menggunakan hak administrator untuk mencari proses yang diluncurkan oleh semua pengguna.



Menu konteks File Tukang Kunci

Alat ini akan membantu Anda menambahkan entri baru ke file Host dan memperbarui yang sudah tersedia. Ini juga memiliki fitur filter untuk menyaring file besar dengan cepat dan mempersempit daftar hasil.

Untuk menginstal versi Microsoft PowerToys terbaru, Anda harus mengunduh dan meluncurkan the PowerToys 0.64 installer dari halaman GitHub proyek.

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer