PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Serangan yang secara aktif mengeksploitasi empat kerentanan zero-day di Microsoft Exchange oleh peretas yang disponsori negara dari China, tampaknya telah diadopsi oleh penjahat siber lainnya dalam serangan mereka.

Microsoft Exchange Server, singkatnya, merupakan inbox email, kalender, dan solusi kolaborasi. Penggunanya berkisar mulai dari perusahaan raksasa hingga bisnis kecil dan menengah di seluruh dunia.

Meskipun diyakini tidak ada kaitannya dengan serangan SolarWinds yang memengaruhi sekitar 18.000 organisasi di seluruh dunia – sejauh ini – ada kekhawatiran bahwa kelambanan dalam menerapkan perbaikan pada server yang rentan dapat berdampak serupa, atau bahkan lebih buruk.

Microsoft mengatakan kepada peneliti keamanan Brian Krebs bahwa perusahaan telah mengetahui adanya empat kerentanan zero-day pada “awal” Januari 2021.

Seorang peneliti DEVCORE, yang menemukan dua masalah keamanan, tampaknya telah melaporkan temuannya sekitar 5 Januari 2021.

Menurut Volexity, serangan yang mengekploitasi 4 kerentanan zero-day mungkin telah dimulai paling cepat pada 6 Januari 2021. Dubex melaporkan adanya aktivitas mencurigakan di server Microsoft Exchange pada bulan yang sama.

Pada tanggal 2 Maret 2021, Microsoft merilis perbaikan untuk mengatasi empat kerentanan kritis dalam perangkat lunak Microsoft Exchange Server. Pada saat itu, perusahaan mengatakan bahwa kerentanan tersebut secara aktif dieksploitasi dalam “serangan terbatas dan tertarget.”

Sementara perbaikan telah dikeluarkan, cakupan potensi serangan terhadap server Exchange bergantung pada kecepatan dan penerapan patch – dan jumlah korban diperkirakan akan terus bertambah.

Kerentanan kritis berdampak pada Exchange Server 2013, Exchange Server 2016, dan Exchange Server 2019 lokal. Namun, Exchange Online tidak terpengaruh.

Jika digunakan dalam serangan berantai, semua kerentanan ini (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) dapat menyebabkan Remote Code Execution (RCE), pembajakan server, backdoor, pencurian data, dan kemungkinan penyebaran malware lebih lanjut.

Singkatnya, Microsoft mengatakan bahwa penyerang dapat mengamankan akses ke server Exchange baik melalui kerentanan ini atau kredensial hasil curian dan mereka kemudian dapat membuat webshell untuk membajak sistem dan menjalankan perintah dari jarak jauh.


Microsoft mengatakan bahwa serangan yang mengeksploitasi kerentanan zero-day Microsoft Exchange dikaitkan ke Hafnium.

Hafnium adalah grup advanced persistent threat (APT) yang disponsori negara dari China, yang digambarkan oleh perusahaan sebagai “penyerang yang sangat terampil dan canggih”.

Meskipun Hafnium berasal dari China, grup tersebut menggunakan virtual private servers (VPS) yang berlokasi di AS untuk mencoba dan menyembunyikan lokasi aslinya. Entitas yang sebelumnya ditargetkan oleh grup ini termasuk lembaga think tank, nirlaba, kontraktor pertahanan, dan peneliti.

Ketika kerentanan zero-day terungkap dan perbaikan keamanan darurat dikeluarkan, jika perangkat lunak populer terlibat, konsekuensinya bisa sangat besar. Masalahnya sering kali dikarenakan kurangnya kesadaran akan adanya perbaikan baru, penerapan patch yang lambat, atau alasan mengapa staf TI tidak dapat menerapkan perbaikan – apakah ini karena mereka tidak menyadari bahwa organisasi menggunakan perangkat lunak, library pihak ketiga, atau komponen yang berisiko, atau kemungkinan karena masalah kompatibilitas.

Mandiant mengatakan serangan lebih lanjut terhadap target AS di antaranya menargetkan badan pemerintah lokal, universitas, perusahaan teknik, dan pengecer. Perusahaan forensik percaya bahwa kerentanan dapat digunakan untuk tujuan penyebaran ransomware dan pencurian data.

Sumber telah memberi tahu peneliti keamanan siber Brian Krebs bahwa sekitar 30.000 organisasi di AS telah berhasil diretas sejauh ini. Perkiraan Bloomberg menempatkan angka ini mendekati 60.000, pada 8 Maret 2021. Dalam pembaruan pada 5 Maret 2021, Microsoft mengatakan perusahaan “terus melihat peningkatan penggunaan kerentanan ini dalam serangan yang menargetkan sistem yang tidak menerapkan perbaikan oleh beberapa penjahat siber selain Hafnium.”

Otoritas Perbankan Eropa adalah salah satu korban terbaru yang mana saat ini investigasi sedang dilakukan.

Badan Keamanan Siber dan Infrastruktur (CISA) AS mengatakan bahwa badan tersebut “mengetahui pelaku ancaman yang menggunakan alat open-source untuk mencari server Microsoft Exchange yang rentan.”

Microsoft telah mendesak administrator TI dan pelanggan untuk segera menerapkan perbaikan keamanan. Namun, hanya karena perbaikan diterapkan sekarang, ini bukan berarti bahwa server tidak terdapat backdoor atau belum disusupi.

Panduan opsi mitigasi sementara juga tersedia jika penerapan perbaikan tidak memungkinkan.

Redmond juga telah menerbitkan skrip di GitHub yang tersedia untuk dijalankan oleh administrator TI yang menyertakan indicators of compromise (IOC) terkait dengan empat kerentanan ini.

Lalu pada 8 Maret 2021, Microsoft meluncurkan sekumpulan pembaruan keamanan tambahan yang dapat diterapkan ke pembaruan kumulatif (CU) lawas.


Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.