Outlook

Mengapa Microsoft baru saja menambal tambalan yang menghancurkan bug Outlook yang sedang diserang

May 15, 2023 by Søren

Microsoft pada bulan Maret memperbaiki lubang keamanan yang menarik di Outlook yang dieksploitasi oleh penjahat untuk membocorkan kredensial Windows korban. Minggu ini raksasa TI memperbaiki perbaikan itu sebagai bagian dari pembaruan Patch Selasa bulanannya.

Untuk mengingatkan Anda tentang bug asli, dilacak sebagai CVE-2023-23397: Anda dapat mengirim email kepada seseorang yang menyertakan pengingat dengan suara pemberitahuan khusus. Suara khusus itu dapat ditentukan sebagai jalur URL di dalam email.

Jika penjahat dengan hati-hati membuat email dengan jalur suara yang disetel ke server SMB jarak jauh, saat Outlook mengambil dan memproses pesan, dan secara otomatis mengikuti jalur ke server file, itu akan menyerahkan hash Net-NTLMv2 pengguna dalam upaya untuk masuk.

Itu akan secara efektif membocorkan hash ke pihak luar, yang berpotensi menggunakan kredensial untuk mengakses sumber daya lain sebagai pengguna itu, memungkinkan penyusup menjelajahi sistem jaringan internal, mencuri dokumen, menyamar sebagai korban mereka, dan sebagainya.

Tambalan dari beberapa bulan yang lalu membuat Outlook menggunakan fungsi Windows MapUrlToZone untuk memeriksa ke mana arah jalur suara pemberitahuan, dan jika keluar ke internet, itu akan diabaikan dan suara default akan diputar. Itu seharusnya menghentikan klien yang terhubung ke server jarak jauh dan membocorkan hash.

Ternyata perlindungan berbasis MapUrlToZone ini dapat dilewati, mendorong Microsoft untuk meningkatkan perbaikan bulan Maret di bulan Mei. Bug asli sedang dieksploitasi di alam liar, jadi ketika tambalan untuknya mendarat, itu menarik perhatian semua orang. Dan perhatian itu membantu mengungkapkan bahwa perbaikannya tidak lengkap.

Selengkapnya: The Register

Microsoft mem-patch bypass untuk bug zero-click Outlook yang baru-baru ini diperbaiki

May 13, 2023 by Søren

Microsoft memperbaiki kerentanan keamanan minggu ini yang dapat digunakan oleh penyerang jarak jauh untuk melewati patch terbaru untuk kelemahan keamanan kritis Outlook zero-day yang disalahgunakan secara liar.

Bypass tanpa klik ini (CVE-2023-29324) memengaruhi semua versi Windows yang didukung dan dilaporkan oleh peneliti keamanan Akamai Ben Barnea.

“Semua versi Windows terpengaruh oleh kerentanan. Akibatnya, semua versi klien Outlook di Windows dapat dieksploitasi,” jelas Barnea.

Bug zero-day Outlook yang ditambal pada bulan Maret (CVE-2023-23397) adalah kelemahan eskalasi hak istimewa di klien Outlook untuk Windows yang memungkinkan penyerang mencuri hash NTLM tanpa interaksi pengguna dalam serangan relai NTLM.

Pelaku ancaman dapat mengeksploitasinya dengan mengirimkan pesan dengan properti MAPI yang diperluas yang berisi jalur UNC ke suara notifikasi kustom, menyebabkan klien Outlook terhubung ke share SMB di bawah kendali mereka.

Microsoft mengatasi masalah ini dengan memasukkan panggilan MapUrlToZone untuk memastikan jalur UNC tidak tertaut ke URL internet dan mengganti suara dengan pengingat default jika ada.

Saat menganalisis mitigasi CVE-2023-23397, Barnea menemukan bahwa URL dalam pesan pengingat dapat diubah untuk mengelabui pemeriksaan MapUrlToZone agar menerima jalur jarak jauh sebagai jalur lokal.

Ini menghindari tambalan Microsoft dan menyebabkan klien Windows Outlook terhubung ke server penyerang.

“Masalah ini tampaknya merupakan akibat dari penanganan jalur yang rumit di Windows,” jelas Barnea.

Selengkapnya: Bleeping Computer

Filter Email Rusak, Microsoft Outlook Dibanjiri Spam

February 21, 2023 by Flamango

Semakin banyaknya laporan dari pelanggan Microsoft, kotak masuk Outlook dibanjiri email spam selama 9 jam terakhir akibat rusaknya filter spam email.

Outlook mengkonfirmasi masalah ini melalui platform media sosial dan situs Web Komunitas Microsoft, bahwa semua pesan mendarat di kotak masuknya bahkan pesan yang sebelumnya ditandai sebagai spam dan dikirim ke folder sampah.

Bahkan beberapa orang mencentang “Hanya percayai email dari alamat di daftar Pengirim dan domain Aman saya dan milis Aman” di Email Sampah > Filter tidak memperbaiki masalah ini, menunjuk ke pemfilteran layanan email web yang benar-benar rusak.

Hingga saat ini Miicrosoft belum memberikan pernyataan konfirmasi laporan pengguna Outlook bahwa filter spam rusak.

Selengkapnya: BleepingComputer

Malware StrelaStealer baru Mencuri Outlook, Akun Thunderbird Anda

November 10, 2022 by Coffee Bean

Malware pencuri informasi baru bernama ‘StrelaStealer’ secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot
StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

ISO berisi file LNK (‘Factura.lnk’) dan file HTML (‘x.html’). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.

Diagram proses infeksi

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

Detail StrelaStealer
dalam dieksekusi, StrelaStealer mencari direktori ‘%APPDATA%\Thunderbird\Profiles\’ untuk ‘logins.json’ (akun dan kata sandi) dan ‘key4.db’ (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai ‘IMAP User’, ‘IMAP Server’, dan ‘IMAP Password’.

Kata Sandi IMAP berisi kata sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsi sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

sumber : bleeping computer

Trik Baru Sebuah Bot Tua Berbahaya: Menjelajahi Metode Serangan Terbaru Qbot

August 31, 2020 by Winnie the Pooh

Trojan perbankan terkenal Qbot telah menjalankan bisnisnya selama lebih dari satu dekade.

Malware, yang juga dijuluki Qakbot dan Pinkslipbot, ditemukan pada 2008 dan dikenal karena mengumpulkan data penjelajahan dan mencuri kredensial perbankan dan informasi keuangan lainnya dari para korban.

Bot ini sangat terstruktur, berlapis-lapis, dan terus dikembangkan dengan fitur-fitur baru untuk memperluas kemampuannya. ‘Trik’ baru ini berarti bahwa terlepas dari usianya, Qbot masih merupakan ancaman berbahaya bagi organisasi.

Kampanye malspam Qbot kembali pada awal Agustus, menyebar secara global dan menginfeksi target baru. Salah satu trik baru Qbot sangat berbahaya, karena setelah mesin terinfeksi, ia mengaktifkan ‘modul kolektor email’ khusus yang mengekstrak semua utas email dari klien Outlook korban, dan mengunggahnya ke server jarak jauh.

Email yang dicuri ini kemudian digunakan untuk kampanye malspam di masa mendatang. Memudahkan mereka menipu pengguna untuk mengklik lampiran yang terinfeksi karena email spam tersebut tampaknya melanjutkan percakapan email sah yang ada.

Peneliti dari Check Point telah melihat contoh utas email yang ditargetkan dan dibajak dengan subjek yang terkait dengan Covid-19, pengingat pembayaran pajak, dan perekrutan pekerjaan.

Baca laporan selengkapnya dari Check Point pada tautan berikut ini;
Source: Check Point Research

Hackers Find A Way to Exploit Microsoft Outlook that Has Been Patched

December 7, 2019 by Winnie the Pooh

Source: Wired

Microsoft sudah menambal kerentanan di Microsoft Outlook pada 2017 dan itu tidak memperlambat para hacker. Bug itu ada di dalam fitur Outlook yang tidak terlalu terkenal yang disebut Home Page. Tidak banyak pengguna tahu tentang fitur ini tetapi para hacker menyadari bahwa jika mereka bisa mendapatkan kredensial akun seseorang, mereka dapat mengeksploitasi kelemahan pada Home Page dan dapat menjalankan kode jahat dari jarak jauh untuk keluar dari pertahanan Outlook dan mengendalikan sistem operasi di perangkat yang sudah terinfeksi.

Setelah semua diatur, backdoor tetap akan ada bahkan setelah perangkat yang disusupi dihidupkan kembali (reboot).

Baca artikel dari Wired di atas untuk cerita selengkapnya!

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Outlook

Cookies Settings