Halaman

    Social Items

Visit WPN
Showing posts with label Windows 10. Show all posts
Showing posts with label Windows 10. Show all posts

 


Tahun lalu di bulan April, Microsoft mengumumkan bahwa Windows 10 22H2 akan menjadi versi terakhir Windows 10. Sekarang, Microsoft menampilkan iklan full-screen tentang berakhirnya dukungan untuk Windows 10 dan meminta pengguna untuk mengupgradenya ke Windows 11 atau mendapatkan PC yang kompatibel untuk mengupgradenya ke Windows 11.


Windows 10 akan mencapai akhir dukungannya pada 14 Oktober 2025. Setelah Oktober 2025, pengguna harus puas dengan versi final Windows 10 tanpa update apapun dan harus diupgrade ke Windows 11.


Microsoft sekarang menampilkan iklan full-screen pada PC Windows 10 yang mengatakan bahwa akhir dukungan Windows 10 sudah dekat. Iklan tersebut mengatakan sebagai berikut:

A new journey with Windows

We want to thank you for your loyalty as a Windows 10 customer. As end of support for Windows 10 approaches, we’re here to support you on your PC journey.

Your PC is not eligible to upgrade to Windows 11, but it will continue to receive Windows 10 fixes and security updates until support ends on October 14, 2025.

Learn more about how you can prepare for the transition to Windows 11.


Pesan tersebut diikuti oleh dua tombol yang bertuliskan Learn about end of support yang memberikan semua informasi tentang akhir dukungan untuk Windows 10, setelah mengkliknya. Tombol kedua bertuliskan Why Windows 11. Dengan mengkliknya, anda dapat mengetahui semua tentang Windows 11 dan fitur-fiturnya serta bagaimana Windows 11 lebih baik daripada Windows 10. Pengguna tidak mendapatkan opsi apapun untuk menghentikan kemunculan iklan ini. Sebagai gantinya, pengguna dapat mengklik Remind me later atau Learn more.


Masih ada lebih dari satu tahun hingga dukungan Windows 10 berakhir. Microsoft telah secara aktif mendorong Windows 11 kepada pengguna dan membuat mereka melakukan upgrade.

Microsoft Mulai Menampilkan Pemberitahuan Akhir Dukungan Windows 10

 


Pada update Windows 24H2, Microsoft telah mengumumkan bahwa mereka akan menghapus dua aplikasi yang sudah lama ada, yaitu Cortana dan WordPad. Langkah ini sejalan dengan upaya Microsoft untuk merampingkan dan menyederhanakan pengalaman pengguna Windows dengan menghilangkan fitur-fitur yang dianggap kurang relevan atau memiliki alternatif yang lebih baik.


Microsoft mengatakan bahwa aplikasi Cortana, Tips dan WordPad akan dihapus secara otomatis pada system yang diupgrade ke Windows 11 24H2 mendatang.


Hal ini dibagikan di blog pada hari Kamis yang mengumumkan bahwa Windows 11, versi 24H2 (Build 26100.712) sekarang tersedia untuk Insiders di Release Preview Channel.


Microsoft menghapus aplikasi mandiri Cortana dari Windows 11 dalam preview build 25967 untuk Insiders, yang dirilis di Canary Channel pada awal Oktober. Mereka pertama kali mengumumkan bahwa mereka akan mengakhiri dukungan untuk Cortana dalam dokumen dukungan yang diterbitkan pada bulan Juni dan tidak lagi menggunakannya di versi Canary lainnya pada bulan Agustus.


Pada bulan September, Microsoft mengumumkan bahwa mereka akan menghentikan penggunaan WordPad, yang telah diinstal secara otomatis pada system Windows selama 28 tahun sejak 1995, dan menjadi fitur opsional Windows sejak rilis Windows 10 Insider Build 19551 pada Februari 2020. Penghapusan ini akan dilakukan melalui update Windows di masa mendatang.


Pada bulan November, perusahaan juga memberitahu pengguna bahwa aplikasi Tips sudah tidak digunakan lagi dan juga akan dihapus pada rilis Windows mendatang.


Windows Insiders dapat menginstal Windows 11 24H2 pada perangkat yang memenuhi persyaratan hardware Windows 11 dari Settings > Windows Update. Pelanggan komersial juga dapat melakukan upgrade melalui Windows Update for Business (WUfB) dan Windows Server Update Service (WSUS).


Lima tahun yang lalu, perusahaan mengumumkan akan menghapus aplikasi Windows Paint klasik dengan Windows 10 Fall Creator's Update pada bulan Juli 2017. Namun, perusahaan memutuskan untuk tidak mematikannya sepenuhnya dan, sebagai gantinya, menyediakannya melalui Microsoft Store menyusul banyaknya masukan negatif dari pengguna mengenai penghentiannya.


Pada bulan November juga, perusahaan tersebut mengatakan bahwa mereka akan menghentikan penggunaan Defender Application Guard for Office dan Windows Security Isolation APIs, dua tahun setelah diluncurkan ke semua pelanggan Microsoft 365 dengan lisensi yang didukung.


Sebagai bagian dari upaya yang lebih luas untuk menghapus fitur Windows dan Office yang digunakan sebagai vektor serangan dalam serangan malware, Redmond juga mengungkapkan minggu ini bahwa mereka akan mulai menghentikan penggunaan VBScript pada paruh kedua tahun 2024, menjadikannya fitur sesuai permintaan sebelum menonaktifkannya secara default. dan akhirnya menghapusnya dari Windows.

Aplikasi Cortana dan WordPad Akan Dihapus pada Update Windows 24H2

 


Microsoft akhirnya mengucapkan selamat tinggal pada WordPad yang telah menemani Windows selama 28 tahun.


Perusahaan mengumumkan pada hari Jumat bahwa mereka berencana untuk menghentikan penggunaan WordPad dengan update Windows di masa yang akan datang. Walaupun perusahaan tidak mengumumkan waktu spesifik untuk perubahan tersebut, namun laporan dari Bleeping Computer telah menyampaikan informasi ini.


Sejak diluncurkan bersama Windows 95, WordPad telah diinstal secara default pada komputer Windows. Program ini memberikan pengguna akses ke pengolah kata dasar dan editor dokumen.


Microsoft merekomendasikan pengguna untuk beralih ke Microsoft Word untuk mengedit dokumen rich text seperti .doc dan .rtf, sementara untuk dokumen teks biasa seperti .txt, Windows Notepad tetap menjadi pilihan yang tersedia. Penting untuk dicatat bahwa untuk mengakses Microsoft Word, pengguna diharuskan berlangganan Microsoft 365 dengan opsi berlangganan bulanan atau tahunan.


WordPad telah menjadi fitur opsional dalam Windows sejak Windows 10 Insider Build 19551, yang diluncurkan pada Februari 2020. Meskipun program ini awalnya diinstal secara default pada komputer, pengguna memiliki opsi untuk menghapus instalasinya melalui pengaturan Optional features pada control panel Windows.


Pada bulan lalu, Microsoft mengumumkan rencana untuk menghentikan pengembangan Cortana, salah satu produk utama Windows. Awalnya, perusahaan merencanakan untuk menghapus dukungan untuk Cortana di Windows pada bulan Juni, namun kemudian menggeser tanggal tersebut menjadi akhir 2023 sebelum akhirnya secara resmi menghentikan layanan tersebut pada awal Agustus.


Saat Cortana dihentikan, Microsoft mengumumkan bahwa Cortana akan tetap tersedia di Outlook mobile, Teams mobile, display Microsoft Teams dan room Microsoft Teams.


Microsoft belum mengumumkan rencana apapun yang memungkinkan pengguna untuk terus mengakses WordPad. Sebaliknya, perusahaan hanya menyatakan bahwa software tersebut tidak akan menerima update lebih lanjut.

Microsoft Akan Menghentikan WordPad

 


Dalam sebuah postingan blog Windows Insider, Microsoft mengumumkan peluncuran pembaruan terbaru untuk Canary channel (tempat munculnya beta paling mutakhir) dan Dev channel (saluran paling stabil berikutnya), yang akan membawa perubahan signifikan bagi pengguna. Salah satu fitur utama yang diperkenalkan adalah penyimpanan otomatis, yang akan menghilangkan kebutuhan untuk menyimpan pekerjaan secara manual. Ini merupakan perubahan yang sangat dinantikan, terutama bagi pengguna aplikasi note tersinkronisasi Microsoft seperti OneNote. Meskipun dalam Word dan software lainnya anda masih harus melakukan penyimpanan manual, pembaruan ini menunjukkan langkah positif dalam memudahkan penggunaan aplikasi Microsoft.



Selain penyimpanan otomatis, pembaruan ini juga membawa perubahan pada antarmuka untuk merekam aktivitas layar dengan Snipping Tool. Antarmuka yang lebih mudah diakses akan memudahkan pengguna untuk mengambil tangkapan layar atau merekam aktivitas layar dengan lebih cepat dan efisien.


Editor teks di Windows 11 telah menerima beberapa perubahan positif, dengan salah satu pembaruan sebelumnya yang memperkenalkan fitur tab. Fitur terbaru ini memungkinkan anda untuk mengucapkan selamat tinggal pada kotak pesan mengganggu yang biasanya muncul dan menanyakan apakah anda ingin menyimpan dokumen terbuka anda sebelum menutupnya. Sekarang, ketika anda membuka kembali Notepad, semuanya akan kembali seperti yang anda tinggalkan sebelumnya.


Namun, penting untuk diingat bahwa meskipun penyimpanan otomatis telah diperbarui untuk tab, anda masih harus memberi nama dan menyimpan file secara eksplisit saat anda memutuskan untuk menutup tab tersebut. Fitur ini memberikan pengguna fleksibilitas karena bersifat opsional. Anda dapat mematikannya jika anda lebih suka menggunakan cara kerja yang tidak melibatkan penyimpanan otomatis, sesuai dengan preferensi anda.



Snipping Tool Movie yang Lebih Mudah


Pada pembaruan terbaru, utilitas screenshot Snipping Tool yang disertakan dalam Windows telah diperbarui dengan peningkatan yang signifikan. Kini, Snipping Tool tidak hanya memungkinkan anda untuk mengambil gambar diam, tetapi juga memberikan kemampuan untuk merekam video aksi di layar dengan pilihan waktu terhenti.



Sebelumnya, saat anda mengetik tombol Windows+Ctrl+S, toolbar yang muncul hanya menawarkan opsi screenshot. Namun, dengan pembaruan ini, anda akan mendapatkan kedua opsi, yaitu screenshot dan screen recording di toolbar tersebut. Ini akan memberikan lebih banyak fleksibilitas dalam mengambil konten layar sesuai kebutuhan anda.


Selain itu, pembaruan ini juga memungkinkan anda untuk memutuskan apakah anda ingin merekam audio voiceover dengan menggunakan mikrofon PC anda saat anda sedang merekam layar. Ini adalah tambahan yang sangat berguna untuk memastikan bahwa anda dapat menjelaskan dengan audio bersamaan dengan tindakan visual di layar.

Penyimpanan Otomatis untuk Notepad dan Perubahan Antarmuka Snipping Tool Akan Segera Hadir

 


Peneliti keamanan telah mempublikasikan tool bernama NoFilter yang dapat disalahgunakan untuk memanfaatkan Windows Filtering Platform guna meningkatkan hak istimewa pengguna, dengan tujuan untuk mencapai tingkat izin tertinggi ke system Windows.


Utilitas ini bermanfaat dalam situasi pasca-eksploitasi, ketika seorang penyerang perlu mengeksekusi kode berbahaya dengan tingkat izin yang lebih tinggi atau melakukan perpindahan lateral di jaringan korban. Ini terjadi ketika pengguna lain sudah memiliki akses ke perangkat yang telah terinfeksi.



Akses Duplikasi Token


Microsoft mendeskripsikan Windows Filtering Platform (WFP) sebagai "sebuah pengaturan API dan layanan system yang menyediakan platform untuk pembuatan aplikasi pemfilteran jaringan."


Pengembang dapat memanfaatkan API WFP untuk mengembangkan kode yang mampu melakukan pemfilteran atau modifikasi data jaringan sebelum mencapai tujuannya. Ini adalah kemampuan yang sering digunakan dalam tool pemantauan jaringan, system deteksi intrusi atau firewall.


Para peneliti di perusahaan keamanan siber Deep Instinct berhasil mengembangkan tiga serangan baru yang memungkinkan peningkatan hak istimewa pada system Windows, semuanya dengan usaha minimal untuk tidak meninggalkan jejak yang dapat terdeteksi oleh berbagai produk keamanan.


Metode pertama memungkinkan penggunaan Windows Filtering Platform (WFP) untuk menggandakan token akses, yaitu fragmen kode yang mengidentifikasi pengguna dan izin yang mereka miliki dalam konteks keamanan thread dan proses.


Ketika sebuah thread menjalankan tugas yang memerlukan hak istimewa, pengidentifikasi keamanan memeriksa apakah token yang terkait memiliki tingkat akses yang diperlukan.


Ron Ben Yizhak, seorang peneliti keamanan di Deep Instinct, menjelaskan bahwa pemanggilan fungsi NtQueryInformationProcess memungkinkan mendapatkan tabel handle yang berisi semua token yang dimiliki oleh suatu proses.


"Handle token ini dapat direplikasi untuk proses lain agar dapat meningkatkan hak istimewa ke tingkat SYSTEM," tulis Yizhak dalam postingan blog teknisnya.


Peneliti menjelaskan bahwa dalam system operasi Windows, ada driver penting yang disebut tcpip.sys yang memiliki beberapa fungsi yang dapat dieksekusi melalui permintaan IO perangkat ke lapisan mode kernel WPF ALE (Application Layer Enforcement) untuk melakukan pemfilteran stateful.


Ron Ben Yizhak mengatakan, "Permintaan IO perangkat dikirim untuk menjalankan WfpAleProcessTokenReference. Ini akan dilampirkan pada ruang alamat layanan, melakukan duplikasi token layanan yang dimiliki oleh SYSTEM, dan kemudian menyimpannya di dalam tabel hash."


Tool NoFilter mengeksploitasi WPF dengan cara ini untuk menggandakan token, sehingga berhasil mencapai tingkatan hak istimewa.



Dengan menghindari penggunaan panggilan DuplicateHandle, peneliti mengungkapkan bahwa hal ini dapat meningkatkan tingkat kerahasiaan. Selain itu, banyak solusi deteksi dan respons endpoint mungkin akan gagal mendeteksi tindakan jahat tersebut.



Mendapatkan Token Akses SYSTEM dan Admin


Metode kedua melibatkan trigger koneksi IPSec dan penyalahgunaan service Print Spooler untuk menyuntikkan token SYSTEM ke dalam tabel.


Dengan menggunakan fungsi RpcOpenPrinter, handle diambil untuk printer berdasarkan namanya. Dengan mengubah nama menjadi "\127.0.0.1," service terhubung ke host lokal.


Setelah panggilan RPC, beberapa permintaan IO perangkat ke WfpAleQueryTokenById diperlukan untuk mengakses token SYSTEM.



Menurut Yizhak, metode ini cenderung lebih tersembunyi dibandingkan dengan yang pertama karena mengkonfigurasi kebijakan IPSec yang biasanya merupakan tindakan yang dilakukan oleh pengguna yang memiliki hak istimewa yang sah, seperti administrator jaringan.


“Selain itu, kebijakan tersebut tidak mengubah komunikasi; tidak ada layanan yang terpengaruh olehnya dan solusi EDR yang memantau aktivitas jaringan kemungkinan besar akan mengabaikan koneksi ke host lokal.”


Metode ketiga yang diuraikan dalam postingan Yizhak memungkinkan perolehan token dari pengguna lain yang telah login ke system yang telah diinfiltrasi, dengan tujuan melakukan perpindahan lateral.


Peneliti mengatakan bahwa memungkinkan untuk memulai proses dengan izin dari pengguna yang telah login jika token akses dapat ditambahkan ke dalam tabel hash.


Peneliti mencari server Remote Procedural Call (RPC) yang beroperasi dengan hak akses dari pengguna yang telah login, kemudian menjalankan skrip untuk mengidentifikasi proses yang berjalan sebagai administrator domain dan mengekspos antarmuka RPC.


Untuk memperoleh token dan menjalankan proses tanpa batasan dengan hak akses pengguna yang telah login, peneliti memanfaatkan service OneSyncSvc dan SyncController.dll, yang merupakan komponen baru dalam ffensive tool.



Saran Deteksi


Peretas dan penguji penetrasi keamanan mungkin akan mengadopsi ketiga teknik tersebut karena melaporkannya ke Microsoft Security Response Center, perusahaan akan mengatakan bahwa perilaku tersebut sesuai dengan desain. Ini umumnya berarti tidak akan ada perbaikan atau langkah mitigasi yang diambil.


Meskipun lebih tersembunyi daripada metode lainnya, Deep Instinct tetap menyediakan beberapa metode untuk mendeteksi ketiga serangan tersebut dan merekomendasikan untuk mencari event berikut ini:

  • Mengkonfigurasi kebijakan IPSec baru yang tidak cocok dengan konfigurasi jaringan yang diketahui.
  • RPC memanggil Spooler/OneSyncSvc saat kebijakan IPSec aktif.
  • Memaksa LUID token melalui beberapa panggilan ke WfpAleQueryTokenById.
  • Permintaan IO perangkat ke perangkat WfpAle dengan proses selain service BFE.


Yizhak mempresentasikan tiga teknik baru ini dalam konferensi hacker DEF CON awal bulan ini. Semua detail teknis lengkap dapat ditemukan dalam postingan Deep Instinct.

Teknik Baru yang Memungkinkan Peretas Mendapatkan Hak Istimewa di System Windows

 


Microsoft telah secara default mengaktifkan perbaikan untuk kerentanan pengungkapan informasi Kernel kepada semua pengguna, setelah sebelumnya menonaktifkannya karena adanya kekhawatiran bahwa tindakan tersebut dapat mengakibatkan perubahan yang merusak pada sistem operasi Windows.


Kerentanan yang diidentifikasi dengan kode CVE-2023-32019 telah diberi perhatian dan tingkat keparahannya dinilai sebesar 4,7/10 dalam kategori sedang. Meskipun demikian, Microsoft telah mengevaluasi kecacatan ini dengan tingkat keparahan yang lebih tinggi, yakni sebagai 'penting'.


Bug ini berhasil diidentifikasi oleh seorang peneliti keamanan bernama Mateusz Jurczyk dari tim Google Project Zero. Kehadiran bug ini memungkinkan seorang penyerang yang telah diautentikasi untuk dapat mengakses memori dari proses yang memiliki hak istimewa, sehingga memungkinkan mereka untuk mengekstraksi informasi dari sumber yang tidak seharusnya dapat diakses.


Walaupun belum terdapat bukti eksploitasi yang tersebar luas, Microsoft pada awalnya mengeluarkan pembaruan keamanan dengan perbaikan yang dinonaktifkan. Tindakan ini diambil sebagai langkah pencegahan, karena ada kekhawatiran bahwa perbaikan tersebut berpotensi menyebabkan perubahan yang merusak pada integritas sistem operasi.


Microsoft menjelaskan bahwa resolusi yang diuraikan dalam artikel ini membawa perubahan yang berpotensi memiliki dampak yang merusak. Oleh karena itu, perubahan ini awalnya diperkenalkan dalam keadaan dinonaktifkan secara bawaan, tetapi pengguna memiliki opsi untuk mengaktifkannya sesuai kebutuhan.


Sebagai alternatif, para pengguna Windows diharapkan untuk secara manual mengaktifkan pembaruan ini dengan menambahkan nilai registri berikut ke dalam key registry berikut ini.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides.


Di lokasi tersebut, pengguna kemudian perlu menambahkan DWORD baru dengan mengklik kanan pada keyreg Overrides, kemudian pilih New > DWORD (32-bit) Value dan beri nama DWORD seperti berikut ini sesuai edisi Windows yang anda gunakan. Setelah itu, edit value datanya. 

  • Windows 10 20H2, 21H2, 22H2: Tambahkan DWORD baru bernama 4103588492 dengan value data 1.
  • Windows 11 21H2: Tambahkan DWORD baru bernama 4204251788 dengan value data 1.
  • Windows 11 22H2: Tambahkan DWORD baru bernama 4237806220 dengan value data 1.
  • Windows Server 2022: Tambahkan DWORD baru bernama 4137142924 dengan value data 1.


Namun demikian, Microsoft tidak merinci potensi konflik yang mungkin timbul dari aktivasi pembaruan ini. Mereka hanya memberitahu bahwa pada saatnya, pembaruan ini akan diaktifkan secara default di masa yang akan datang.


Tingkat ketidakpastian ini menyebabkan banyak administrator Windows enggan untuk menerapkan perbaikan ini, karena mereka khawatir bahwa hal tersebut dapat mengakibatkan masalah saat menginstal Windows pada sistem mereka.


Seperti yang diungkapkan pertama kali oleh Neowin, Microsoft kini telah mengimplementasikan perbaikan untuk kerentanan CVE-2023-32019 secara otomatis dalam pembaruan Patch Tuesday Agustus 2023.

Microsoft Mengaktifkan Perbaikan Windows Kernel CVE-2023-32019

 


Pada akhir tahun, Microsoft akan menghentikan dukungan untuk aplikasi Windows Mail dan Calendar di Windows 10 dan Windows 11. Untuk memfasilitasi pengguna kedua aplikasi tersebut, pada bulan Agustus nanti, Microsoft akan secara otomatis melakukan migrasi pengguna kedua aplikasi ke aplikasi Outlook for Windows yang baru.


Pada awalnya, Windows Mail dan Calendar dikembangkan sebagai aplikasi bawaan untuk system operasi Windows 10. Kedua aplikasi ini bertujuan untuk menyediakan pengguna dengan antarmuka yang mudah digunakan untuk mengakses email dan mengatur jadwal acara, tugas dan janji temu.


Dengan peluncuran Windows 11, Microsoft tetap menyertakan aplikasi Mail dan Calendar sebagai bagian dari system operasi, meskipun beberapa menganggapnya bukan aplikasi email modern.


Microsoft telah mengonfirmasi rencananya untuk menghentikan aplikasi Mail dan Calendar pada Windows 10 dan Windows 11. Sebagai gantinya, mereka akan mentransisikan pengguna ke aplikasi Outlook for Windows yang baru, yang telah tersedia untuk pengujian. Dengan langkah ini, Microsoft berusaha untuk memberikan pengalaman yang lebih terintegrasi dan ditingkatkan kepada pengguna serta menghadirkan aplikasi email yang lebih modern dan canggih.



Mail dan Calendar dihentikan pada akhir tahun


Microsoft telah memulai memberitahu kepada konsumen dan pelanggan perusahaan tentang rencananya untuk menghentikan dukungan terhadap aplikasi Windows Mail dan Calendar pada tahun 2024. Sebagai rekomendasi, mereka mengajukan agar pengguna mulai melakukan pengujian aplikasi Outlook yang baru sebagai alternatif yang akan menggantikan aplikasi yang akan dihentikan tersebut. Dengan memberikan pemberitahuan ini, Microsoft berupaya untuk memberikan waktu yang cukup bagi pengguna untuk beradaptasi dengan perubahan ini dan menawarkan opsi yang lebih modern dan lebih canggih untuk mengelola email dan jadwal kegiatan mereka.


Untuk menguji aplikasi baru tersebut, pengguna Windows dapat mengaktifkan opsi "Try the new Outlook" yang terletak di pojok kanan atas  baik itu di aplikasi Windows Mail maupun Calendar. Saat anda mengaktifkan opsi tersebut, aplikasi Outlook baru akan diinstall secara otomatis, dan anda merlu mengikuti beberapa langkah termasuk mengimpor pengaturan dari aplikasi Mail lama ke aplikasi Outlook yang baru.



Pada saat yang sama, Microsoft akan memberikan peringatan kepada pelanggan melalui Microsoft 365 MC590123 advisory bahwa mereka akan melakukan penggantian otomatis aplikasi Email dan Calendar dengan aplikasi Outlook pada bulan September 2024.


Microsoft juga mengatakan bahwa mereka akan memberikan "tips" kepada pengguna untuk memberitahu tentang perubahan yang akan datang dan mendorong mereka untuk mencoba aplikasi Outlook yang baru.


Namun, sebagai respons atas protes dari pengguna, Microsoft mengumumkan bahwa mereka akan mengevaluasi kembali jadwal perubahan yang telah diumumkan sebelumnya. Mereka membuka peluang untuk meninjau ulang rencana penggantian aplikasi Email dan Calendar dengan aplikasi Outlook pada bulan September 2024. Langkah ini diambil untuk mempertimbangkan masukan dan umpan balik dari pengguna agar dapat mencari solusi yang lebih sesuai dan memenuhi kebutuhan para pengguna.


Terlepas dari apakah anda memutuskan untuk menguji aplikasi Outlook baru sekarang atau menunggu, pengguna akan dimigrasikan secara otomatis pada akhir tahun. Dalam hal ini, Microsoft akan mengotomatisasi proses migrasi dari aplikasi Windows Mail dan Calendar ke aplikasi Outlook yang baru.


Pada saat tersebut, Windows Mail dan Calendar tidak akan lagi mendapatkan dukungan dan tidak tersedia untuk didownload. Selain itu, semua perangkat Windows 11 baru akan menyertakan aplikasi Outlook for Windows sebagai aplikasi mail default yang disediakan secara gratis. Dengan demikian, Outlook akan menjadi aplikasi email bawaan yang dihadirkan secara default pada perangkat Windows 11, menggantikan Windows Mail dan Calendar yang sebelumnya menjadi aplikasi bawaan untuk mengelola email dan jadwal.


Microsoft kembali menegaskan bahwa perubahan ini tidak akan mempengaruhi pengguna aplikasi desktop Outlook biasa. Perubahan tersebut hanya berlaku bagi pengguna Windows Mail dan Calendar, yang akan dialihkan secara otomatis ke aplikasi Outlook for Windows yang baru. Jadi, pengguna yang menggunakan aplikasi desktop Outlook biasa tidak perlu khawatir tentang perubahan ini, karena aplikasi Outlook biasa tetap akan berfungsi seperti biasa dan tidak akan terpengaruh oleh penghentian dukungan untuk Windows Mail dan Calendar.


Bagi pengguna yang memutuskan untuk beralih ke aplikasi Outlook, mereka akan menemukan bahwa aplikasi ini dilengkapi dengan berbagai fitur tambahan. Beberapa fitur tersebut meliputi integrasi yang lebih baik dengan penyedia email lain, kemampuan untuk mempersonalisasi antarmuka sesuai preferensi pengguna, fitur kalender baru yang lebih canggih, serta dukungan otomatis untuk pengiriman paket dan pelacakan reservasi pesawat.

Aplikasi Mail dan Calendar Akan Dimigrasi ke Outlook Secara Otomatis pada Bulan Agustus

 


Microsoft telah mengambil langkah-langkah untuk memblokir sertifikat penandatanganan kode yang secara luas digunakan oleh peretas dan pengembang dari China. Sertifikat ini digunakan untuk menandatangani dan memuat driver mode kernel berbahaya ke dalam sistem yang terinfeksi, dengan memanfaatkan celah kebijakan Windows yang sudah diabaikan.


Driver mode kernel beroperasi pada tingkat hak istimewa tertinggi dalam sistem operasi Windows, yaitu Ring 0. Ini memberikan akses penuh ke mesin target, memungkinkan kegigihan yang tersembunyi, eksfiltrasi data yang tidak terdeteksi dan kemampuan untuk menghentikan hampir semua proses.


Meskipun software keamanan aktif pada perangkat yang telah disusupi, driver mode kernel tetap dapat mengganggu pengoperasian software tersebut. Hal ini dapat dilakukan dengan mematikan kemampuan perlindungan lanjutan yang dimilikinya atau melakukan modifikasi pada konfigurasi yang ditargetkan untuk menghindari deteksi.


Pada Windows Vista, Microsoft memperkenalkan kebijakan baru yang membatasi metode memuat driver mode kernel ke dalam sistem operasi. Kebijakan ini mewajibkan pengembang untuk mengirimkan driver mereka ke portal pengembang Microsoft untuk ditinjau dan ditandatangani sebelum dapat dimuat ke dalam sistem operasi.


Namun, untuk menghindari masalah dengan aplikasi lama, Microsoft memperkenalkan beberapa pengecualian khusus yang memungkinkan driver mode kernel lama untuk tetap dimuat.

  • PC diupgrade dari rilis Windows sebelumnya ke Windows 10, versi 1607.
  • Secure Boot dinonaktifkan di BIOS.
  • Driver [sic] ditandatangani dengan sertifikat entitas akhir yang dikeluarkan sebelum 29 Juli 2015 yang terhubung ke cross-signed CA yang didukung.


Baru-baru ini, Cisco Talos merilis laporan yang menjelaskan bahwa pelaku ancaman dari China telah memanfaatkan kebijakan yang disebut sebelumnya dengan menggunakan dua tool open-source yaitu HookSignTool dan FuckCertVerify untuk mengubah tanggal penandatanganan driver jahat sebelum 29 Juli 2015.


Dengan memodifikasi tanggal penandatanganan, para pelaku ancaman dapat memanfaatkan sertifikat yang lebih lama, bocor dan belum dicabut untuk menandatangani driver mereka dan mengimpornya ke Windows guna memperoleh hak istimewa yang lebih tinggi.



HookSignTool dan FuckCertVerify


HookSignTool adalah sebuah software yang memiliki banyak fitur dan dirilis pada tahun 2019 di sebuah forum software crack di China. Software ini menggunakan hook pada API Windows serta tool penandatanganan kode yang sah untuk melakukan penandatanganan pada driver yang berbahaya.



Tool tersebut memanfaatkan librari Microsoft Detours untuk mengintersep dan memonitor panggilan API Win32 serta melakukan implementasi khusus dari fungsi CertVerifyTimeValidity yang disebut NewCertVerifyTimeValidity. Fungsi tersebut bertujuan untuk memverifikasi waktu yang tidak valid pada sertifikat.



Untuk menggunakan HackSignTool dalam penandatanganan file driver dengan timestamp lama, diperlukan keberadaan sertifikat JemmyLoveJenny EV Root CA yang tersedia melalui website pembuat tool tersebut. Sertifikat ini akan digunakan dalam proses penandatanganan untuk menciptakan ilusi bahwa file driver telah ditandatangani pada waktu yang lebih awal.


Namun, penggunaan sertifikat tersebut meninggalkan jejak dalam tanda tangan palsu yang digunakan, sehingga memungkinkan untuk mengidentifikasi driver yang ditandatangani menggunakan HookSignTool. Artefak yang ada dalam tanda tangan tersebut memberikan petunjuk yang dapat digunakan untuk mendeteksi penggunaan tool tersebut.


Dalam laporan terpisah, Cisco Talos memberikan rincian tentang contoh nyata dari driver jahat yang dikenal sebagai RedDriver. Driver ini telah ditandatangani menggunakan HookSignTool. Laporan tersebut mengungkapkan kasus penggunaan tool tersebut dalam praktik di dunia nyata.


RedDriver merupakan software pembajak browser yang secara khusus ditujukan untuk mengintersep lalu lintas dari browser, terutama Chrome, Edge dan Firefox. Selain itu, RedDriver juga menargetkan sejumlah browser populer di China. Software ini berfungsi untuk mengakses dan memanipulasi aktivitas pengguna pada browser tersebut.


FuckCertVerify adalah sebuah tool lain yang dimanfaatkan oleh para pelaku ancaman untuk mengubah timestamp pada tanda tangan driver mode kernel yang berbahaya. Awalnya, tool ini tersedia di GitHub pada bulan Desember 2018 sebagai tool cheat game. Namun, tool tersebut kemudian digunakan dengan tujuan yang jauh lebih serius dalam mengubah tanda tangan driver dan mengelabui sistem keamanan.


Dalam penjelasan dari Cisco Talos, dikatakan bahwa FuckCertVerifyTimeValidity bekerja secara serupa dengan HookSignTool dengan menggunakan package Microsoft Detours untuk memodifikasi panggilan API CertVerifyTimeValidity dan mengubah timestamp ke tanggal yang ditentukan.


Namun, berbeda dengan HookSignTool, FuckCertVerifyTimeValidity tidak meninggalkan jejak atau artefak dalam biner yang ditandatanganinya, sehingga membuatnya sangat sulit untuk mengidentifikasi kapan tool ini telah digunakan. Dengan demikian, tool ini dapat mengoperasikan tanpa meninggalkan bukti forensik yang mudah terdeteksi.


Kedua tool tersebut membutuhkan sertifikat penandatanganan kode yang belum dicabut, yang diterbitkan sebelum 29 Juli 2015, seiring dengan private key dan password yang sesuai.



Tim peneliti dari Cisco telah menemukan lebih dari selusin sertifikat yang tersedia di repositori GitHub dan forum dengan bahasa Mandarin. Sertifikat-sertifikat ini dapat digunakan oleh tool-tool seperti yang telah disebutkan sebelumnya. Sertifikat-sertifikat tersebut banyak dimanfaatkan untuk meng-crack game yang dapat menghindari pemeriksaan DRM, serta untuk menandatangani driver kernel yang berbahaya.



Microsoft Mencabut Sertifikat


Microsoft mengungkapkan bahwa Sophos dan Trend Micro juga telah melaporkan aktivitas yang berbahaya ini dan setelah diungkapkan secara bertanggung jawab, Microsoft telah mencabut sertifikat terkait dan menangguhkan akun pengembang yang menyalahgunakan celah kebijakan Windows ini.


Microsoft advisory menjelaskan bahwa Microsoft telah merilis update Windows Security yang tidak mempercayai driver dan sertifikat penandatanganan driver untuk file yang terdampak, serta telah menangguhkan akun penjual mitra.


Selain itu, Microsoft telah menerapkan deteksi pemblokiran (Microsoft Defender 1.391.3822.0 dan yang lebih baru) untuk membantu melindungi pelanggan dari driver yang ditandatangani secara sah yang telah digunakan secara jahat dalam aktivitas pasca-eksploitasi.


Untuk informasi selengkapnya tentang bagaimana fitur Windows Code Integrity melindungi pelanggan Microsoft dari sertifikat yang dicabut, anda dapat melihat KB5029033: Notice of additions to the Windows Driver.STL revocation list.

Peretas Mengeksploitasi Kebijakan Windows untuk Memuat Driver Kernel Berbahaya

Subscribe to: Posts (Atom)