Office 365

Microsoft: Phishing melewati MFA dalam serangan terhadap 10.000 organisasi

July 14, 2022 by Eevee

Microsoft mengatakan serangkaian besar serangan phishing telah menargetkan lebih dari 10.000 organisasi mulai September 2021, menggunakan akses yang diperoleh ke kotak surat korban dalam serangan kompromi email bisnis (BEC) lanjutan.

Pelaku ancaman menggunakan halaman arahan yang dirancang untuk membajak proses otentikasi Office 365 (bahkan pada akun yang dilindungi oleh otentikasi multifaktor (MFA) dengan memalsukan halaman otentikasi online Office.

Dalam beberapa serangan yang diamati, calon korban diarahkan ke halaman arahan dari email phishing menggunakan lampiran HTML yang bertindak sebagai penjaga gerbang memastikan target dikirim melalui redirector HTML.

Setelah mencuri kredensial target dan cookie sesi mereka, pelaku ancaman di balik serangan ini masuk ke akun email korban. Mereka kemudian menggunakan akses mereka dalam kampanye kompromi email bisnis (BRC) yang menargetkan organisasi lain.

“Kampanye phishing skala besar yang menggunakan situs phishing adversary-in-the-middle (AiTM) mencuri kata sandi, membajak sesi masuk pengguna, dan melewatkan proses otentikasi meskipun pengguna telah mengaktifkan otentikasi multifaktor (MFA),” kata tim peneliti Microsoft 365 Defender dan Microsoft Threat Intelligence Center (MSTIC).

“Para penyerang kemudian menggunakan kredensial yang dicuri dan cookie sesi untuk mengakses kotak surat pengguna yang terpengaruh dan melakukan kampanye kompromi email bisnis (BEC) lanjutan terhadap target lain.”

Proses phishing yang digunakan dalam kampanye phishing skala besar ini dapat diotomatisasi dengan bantuan beberapa toolkit phishing open-source, termasuk Evilginx2, Modlishka, dan Muraena yang banyak digunakan.

Situs phishing yang digunakan dalam kampanye ini berfungsi sebagai proxy terbalik dan dihosting di server web yang dirancang untuk mem-proksi permintaan autentikasi target ke situs web sah yang mereka coba masuki melalui dua sesi Transport Layer Security (TLS) terpisah.

Menggunakan taktik ini, halaman phishing penyerang bertindak sebagai agen man-in-the-middle yang mencegat proses otentikasi untuk mengekstrak informasi sensitif dari permintaan HTTP yang dibajak, termasuk kata sandi dan, yang lebih penting, cookie sesi.

Setelah penyerang mendapatkan cookie sesi target, mereka menyuntikkannya ke browser web mereka sendiri, yang memungkinkan mereka untuk melewati proses otentikasi, bahkan jika korban mengaktifkan MFA pada akun yang disusupi.

Otentikasi penyadapan situs phishing (Microsoft)

Untuk mempertahankan diri dari serangan semacam itu, Microsoft merekomendasikan penggunaan implementasi MFA “tahan phish” dengan otentikasi berbasis sertifikat dan dukungan Fast ID Online (FIDO) v2.0.

Praktik terbaik lain yang direkomendasikan yang akan meningkatkan perlindungan termasuk pemantauan upaya masuk yang mencurigakan dan aktivitas kotak surat, serta kebijakan akses bersyarat yang akan memblokir upaya penyerang untuk menggunakan cookie sesi yang dicuri dari perangkat yang tidak sesuai atau alamat IP yang tidak tepercaya.

Sumber: Bleeping Computer

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

January 28, 2022 by Eevee

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
Pendaftaran perangkat Azure AD dipantau secara ketat.
Pendaftaran Azure AD memerlukan MFA.
Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

September 15, 2021 by Winnie the Pooh

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Kampanye phishing pintar menargetkan pengguna Office 365

August 5, 2021 by Winnie the Pooh

Microsoft memperingatkan tentang kampanye phishing “lebih licik dari biasanya” yang sedang berlangsung yang ditujukan untuk pengguna Office 365.

Para phisher menggunakan berbagai tema sebagai umpan, dan email dikirim dari alamat email dari berbagai domain tingkat atas.

Alamat pengirim mengandung variasi kata “referral” – misalnya zreffertalt.com.com, refferal.net, irefferal.com, dan sejenisnya. Email dibuat agar terlihat seperti mengarah ke dokumen bersama yang disimpan di Microsoft SharePoint, platform kolaboratif berbasis web yang terintegrasi dengan Microsoft Office, dan menyertakan branding Microsoft.

Dokumen palsu itu konon laporan staf, “perubahan buku harga”, berisi informasi tentang bonus, dan sebagainya. Tetapi mengklik tautan akan membawa pengguna ke halaman phishing bertema Office 365.

“Email berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Konten Pengguna Google lainnya dengan halaman phishing Office 365,” kata Microsoft.

“URL kedua terletak di dalam pengaturan notifikasi dan mengarah ke situs SharePoint yang disusupi yang digunakan penyerang untuk menambahkan legitimasi serangan. Kedua URL memerlukan masuk untuk melanjutkan ke halaman terakhir, melewati banyak kotak pasir.”

Selengkapnya: Help Net Security

Aplikasi Office 365 yang Berbahaya Adalah Orang Dalam Terbaik

May 6, 2021 by Winnie the Pooh

Penipu yang menargetkan pengguna Microsoft Office 365 semakin beralih ke tautan khusus yang mengarahkan pengguna ke halaman masuk email organisasi mereka sendiri. Setelah pengguna masuk, tautan tersebut meminta mereka untuk memasang aplikasi berbahaya yang memberi penyerang akses yang terus-menerus dan bebas kata sandi ke email dan file pengguna mana pun, yang keduanya kemudian dijarah untuk meluncurkan malware dan penipuan phishing melawan orang lain.

Serangan ini dimulai dengan tautan email yang ketika diklik memuat bukan situs phishing tetapi halaman masuk Office 365 pengguna yang sebenarnya – baik itu di microsoft.com atau domain perusahaan mereka. Setelah masuk, pengguna mungkin melihat prompt yang terlihat seperti ini:

Aplikasi berbahaya ini memungkinkan penyerang untuk melewati otentikasi multi-faktor, karena mereka disetujui oleh pengguna setelah pengguna tersebut telah masuk. Selain itu, aplikasi akan tetap ada di akun Office 365 pengguna tanpa batas waktu hingga dihapus, dan akan bertahan bahkan setelah akun melakukan reset kata sandi.

Minggu ini, vendor keamanan pesan Proofpoint menerbitkan beberapa data baru saat muncul aplikasi Office 365 yang berbahaya ini, mencatat bahwa persentase tinggi pengguna Office akan jatuh ke skema ini.

Ryan Kalember, wakil presiden eksekutif strategi keamanan siber Proofpoint, mengatakan 55 persen pelanggan perusahaan telah menghadapi serangan aplikasi berbahaya ini pada satu titik atau lainnya.

Selengkapnya: Krebs On Security

Microsoft memperingatkan serangan phishing yang melewati gateway email

March 24, 2021 by Winnie the Pooh

Operasi phishing berkelanjutan yang mencuri sekitar 400.000 kredensial OWA (Outlook Web Access) dan Office 365 sejak Desember kini telah meluas dengan menyalahgunakan layanan baru yang sah untuk melewati secure email gateways (SEG).

Serangan tersebut merupakan bagian dari beberapa kampanye phishing yang secara kolektif dijuluki Kampanye “Compact”, aktif sejak awal tahun 2020 yang pertama kali terdeteksi oleh Tim Intelijen Ancaman Global WMC.

“Phisher terus menemukan keberhasilan dalam menggunakan akun yang disusupi di layanan pemasaran email untuk mengirim email berbahaya dari domain dan range IP yang sah,” kata pakar keamanan Microsoft.

Email phishing mereka disamarkan sebagai pemberitahuan dari layanan konferensi video, berbagai solusi keamanan, dan alat produktivitas untuk menambah legitimasi.

Pelaku ancaman juga menggunakan akun yang disusupi untuk layanan pengiriman email SendGrid dan MailGun, memanfaatkan gateway email yang aman memungkinkan daftar tersebut menjadi domain tepercaya.

Hal ini memungkinkan pesan phishing untuk melewati mereka dan masuk ke kotak masuk target, membujuk mereka untuk mengklik hyperlink yang disematkan yang mengarahkan mereka ke halaman arahan phishing yang dirancang untuk meniru halaman login Microsoft.

Domain dan akun yang digunakan selama kampanye phishing ini akan dihapus segera setelah Microsoft dan WMC Global mendeteksinya.

Selengkapnya: Bleeping Computer

Microsoft Office 365 mendapatkan perlindungan terhadap makro XLM yang berbahaya

March 8, 2021 by Winnie the Pooh

Microsoft telah menambahkan perlindungan makro XLM untuk pelanggan Microsoft 365 dengan memperluas pertahanan waktu proses yang disediakan oleh integrasi Office 365 dengan Antimalware Scan Interface (AMSI) untuk menyertakan pemindaian makro Excel 4.0 (XLM).

AMSI diperkenalkan pada tahun 2015, dan telah diadopsi oleh semua produk antivirus utama yang tersedia untuk platform Windows 10 sejak saat itu.

Ini memungkinkan layanan dan aplikasi Windows 10 untuk berkomunikasi dengan produk keamanan dan meminta pemindaian runtime dari data yang berpotensi berbahaya.

Ini membantu mengekspos niat jahat bahkan ketika disembunyikan menggunakan teknik yang membingungkan dan untuk mendeteksi dan memblokir malware yang menyalahgunakan makro VBA Office dan PowerShell, JScript, VBScript, kode MSHTA/Jscript9, WMI, atau .NET, yang secara teratur digunakan untuk menyebarkan muatan malware melalui makro dokumen Office.

Sejak AMSI mulai mengizinkan aplikasi Office 365 memblokir makro VBA berbahaya, penyerang seperti yang berada di belakang Trickbot, Zloader, dan Ursnif telah bermigrasi menggunakan malware berbasis XLM untuk menghindari analisis statis dan menginfeksi target mereka dengan malware.

Dengan peningkatan terbaru pada Office 365 ini, solusi antivirus seperti Microsoft Defender Antivirus dapat mendeteksi makro XLM yang berbahaya dan menghentikan penggunaan malware di jalurnya.

Ini juga memungkinkan mereka untuk mendeteksi malware yang lebih luas dan memaksa pembatasan yang lebih terperinci tentang apa yang diizinkan untuk dilakukan oleh makro pada waktu proses.

Sumber: Bleeping Computer

Microsoft akan memperingatkan pengguna Office 365 tentang aktivitas peretasan negara bangsa

February 9, 2021 by Winnie the Pooh

Microsoft akan segera memberi tahu Office 365 tentang dugaan aktivitas peretasan negara-bangsa yang terdeteksi pada pelanggan mereka sesuai dengan daftar baru di roadmap Microsoft 365 perusahaan.

Pemberitahuan ini akan ditambahkan ke portal keamanan pelanggan untuk memberi mereka permulaan tentang apa yang dianggap Redmond sebagai grup peretasan paling canggih yang saat ini dilacaknya.

Peringatan terkait aktivitas peretasan dengan potensi sidik jari negara-bangsa akan didasarkan pada indikator profil ancaman dan kompromi yang dikumpulkan dan disatukan oleh pakar keamanan Microsoft.

Dukungan untuk fitur “Potential Nation State Activity Alerts” sedang dalam pengembangan dan Microsoft berencana untuk membuatnya tersedia secara umum di seluruh dunia bulan ini di semua lingkungan, untuk semua pengguna Microsoft Defender untuk Office 365 (Office 365 Advanced Threat Protection).

Fitur baru Office 365 ini memungkinkan pelanggan menguji perlindungan email Microsoft Defender tanpa harus mengkonfigurasi lingkungan dan perangkat mereka juga telah ditambahkan ke Office 365 baru-baru ini.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Office 365

Cookies Settings