Zerologon

Microsoft Mengingatkan Organisasi tentang Fase Mendatang dalam Menambal Kerentanan Zerologon

January 22, 2021 by Winnie the Pooh

Microsoft minggu ini menerbitkan pengingat untuk organisasi bahwa pembaruan keamanan 9 Februari akan memulai fase kedua penambalan untuk kerentanan Zerologon.

Dilacak sebagai CVE-2020-1472 dan ditangani pada Patch Tuesday Agustus 2020, kerentanan kritis diidentifikasi di Microsoft Windows Netlogon Remote Protocol (MS-NRPC) dan dapat disalahgunakan untuk menyusupi domain controller Active Directory dan mendapatkan akses admin.

Dieksploitasi oleh penyerang tidak terautentikasi yang dapat menjalankan aplikasi yang dibuat secara khusus pada perangkat di jaringan, kerentanan tersebut menjadi sorotan pada bulan September, setelah Departemen Keamanan Dalam Negeri (DHS) memberi tahu lembaga federal untuk segera menerapkan tambalan untuk kerentanan ini.

Microsoft memberi tahu pelanggan bahwa penambalan untuk kerentanan ini akan dilakukan dalam dua tahap: fase deployment tambalan 11 Agustus, dan fase enforcement yang akan dimulai pada 9 Februari 2021.

Sekarang, perusahaan mengingatkan organisasi tentang transisi yang akan datang ke tahap enforcement, yang akan dimulai pada Patch Selasa Februari 2021.

Dalam persiapan untuk fase mode enforcement, organisasi harus menerapkan patch yang tersedia untuk semua domain controller dan harus mengidentifikasi serta menyelesaikan perangkat yang tidak sesuai untuk memastikan mereka tidak akan membuat koneksi yang rentan.

Sumber: Securityweek

Peretasan besar-besaran yang didanai negara China menghantam perusahaan di seluruh dunia, menurut laporan

November 21, 2020 by Winnie the Pooh

Peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia. Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan.

Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.

Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk obfuscation techniques dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama “FuckYouAnti”
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu

sumber : Arstechnica

Grup peretasan mengeksploitasi ZeroLogon di otomotif, gelombang serangan industri

November 19, 2020 by Winnie the Pooh

Serangan dunia maya aktif dianggap sebagai hasil karya Cicada, juga dilacak sebagai APT10, Stone Panda, dan Cloud Hopper.

Secara historis, kelompok ancaman – pertama kali ditemukan pada 2009 dan yang diyakini AS mungkin disponsori oleh pemerintah China – telah menargetkan organisasi yang terhubung ke Jepang, dan gelombang serangan terbaru ini tampaknya tidak berbeda. Peneliti Symantec telah mendokumentasikan perusahaan dan anak perusahaannya di 17 wilayah, yang terlibat dalam industri otomotif, farmasi, teknik, dan penyedia layanan terkelola (MSP), yang baru-baru ini menjadi sasaran Cicada.

Menurut perusahaan, gelombang serangan terbaru Cicada telah aktif sejak pertengahan Oktober 2019 dan berlanjut hingga setidaknya Oktober tahun ini.

sumber : ZDNET

Microsoft mendeteksi kerentanan Zerologon telah terdeteksi dieksploitasi secara aktif

September 25, 2020 by Winnie the Pooh

Peretas secara aktif mengeksploitasi kerentanan Zerologon dalam serangan dunia nyata, kata tim intelijen keamanan Microsoft.

“Microsoft secara aktif melacak aktivitas aktor ancaman menggunakan eksploitasi untuk kerentanan CVE-2020-1472 Netlogon EoP, yang dijuluki Zerologon. Kami telah mengamati serangan di mana eksploitasi publik telah dimasukkan ke dalam buku pedoman penyerang,” tulis perusahaan tersebut dalam akun twitter mereka.

Serangan itu diperkirakan akan terjadi, menurut pakar industri keamanan.

Beberapa versi kode eksploitasi weaponized proof-of-concept telah diterbitkan secara online dalam bentuk yang dapat diunduh secara bebas sejak detail tentang kerentanan Zerologon diungkapkan pada 14 September oleh perusahaan keamanan Belanda Secura BV.

Meskipun Microsoft belum merilis rincian tentang serangan tersebut, namun mereka merilis file hash untuk eksploitasi yang digunakan dalam serangan tersebut.

Seperti yang direkomendasikan oleh beberapa pakar keamanan sejak Microsoft mengungkapkan serangan tersebut, perusahaan yang pengontrol domainnya terekspos di internet harus membuat sistem offline untuk menambalnya.

Server yang dapat dijangkau internet ini sangat rentan karena serangan dapat dipasang secara langsung, tanpa peretas terlebih dahulu membutuhkan pijakan pada sistem internal.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Samba Merilis Pembaruan Keamanan untuk CVE-2020-1472, Kerentanan ZeroLogon

September 22, 2020 by Winnie the Pooh

Tim Samba telah merilis pembaruan keamanan untuk mengatasi kerentanan kritis ZeroLogon — CVE-2020-1472 — di beberapa versi Samba. Kerentanan ini memungkinkan Penyerang dalam satu jaringan dapat memperoleh akses administrator dengan memanfaatkan cacat protokol netlogon.

Bug ini dilaporkan dan telah ditambal oleh Microsoft pada update bulan Agustus kemarin. Namun karena bug ini adalah kelemahan tingkat protokol, dan Samba mengimplementasikan protokol, Samba juga menjadi rentan akan bug ini.

Dalam pengunguman keamanan yang dirilis oleh tim Samba, mereka mengatakan kerentanan ini mempengaruhi versi Samba yang lebih lama dari 4.0, serta Samba yang hanya digunakan sebagai pengontrol domain.

Cybersecurity and Infrastructure Safety Agency (CISA) telah mendorong pengguna dan administrator untuk meninjau Pengumuman Keamanan Samba untuk CVE-2020-1472 dan menerapkan pembaruan atau solusi yang diperlukan.

Untuk pengunguman keamanan yang dirilis Samba dapat dibaca pada link berikut:
Samba Security Advisory

Serangan Zerologon memungkinkan peretas mengambil alih jaringan perusahaan: Tambal sekarang!

September 15, 2020 by Winnie the Pooh

Tanpa diketahui banyak orang, bulan lalu Microsoft menambal salah satu bug paling parah yang pernah dilaporkan ke perusahaan, masalah yang dapat disalahgunakan untuk dengan mudah mengambil alih Server Windows yang berjalan sebagai pengontrol domain di jaringan perusahaan.

Bug itu telah ditambal di Patch Tuesday Agustus 2020 dengan nomor CVE-2020-1472. Ini dijelaskan sebagai peningkatan hak istimewa di Netlogon, protokol yang mengotentikasi pengguna terhadap pengontrol domain.

Kerentanan tersebut menerima peringkat tingkat keparahan maksimum 10, tetapi detailnya tidak pernah dipublikasikan, yang berarti pengguna dan administrator TI tidak pernah tahu betapa berbahayanya masalah itu sebenarnya.

Namun dalam posting blog, tim di Secura B.V., sebuah firma keamanan Belanda, akhirnya menerbitkan laporan teknis yang menjelaskan CVE-2020-1472 secara lebih mendalam.

Dan menurut laporan, bug tersebut benar-benar layak dengan skor keparahan CVSSv3 10/10.

Menurut peneliti Secura, bug tersebut, yang mereka beri nama Zerologon, memanfaatkan algoritme kriptografi lemah yang digunakan dalam proses otentikasi Netlogon.

Ada batasan tentang bagaimana serangan Zerologon dapat digunakan. Sebagai permulaan, ini tidak dapat digunakan untuk mengambil alih Server Windows dari luar jaringan. Seorang penyerang pertama-tama membutuhkan pijakan di dalam jaringan.

Namun, ketika kondisi ini terpenuhi, secara harfiah ini adalah sebuah game over untuk perusahaan yang diserang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Zerologon

Cookies Settings