Peretasan Microsoft Exchange Server: Pembaruan Kumulatif Triwulanan Dirilis, Pengguna Diminta Segera Instal!

Cyberthreat.id – Microsoft, pengembang perangkat lunak email Exchange Server, merilis pembaruan kumulatif triwulanan Maret 2021 untuk Exchanger Server 2016 dan Exchange Server 2019. 

Pembaruan keamanan tersebut mencakup perbaikan atas kelemahan kritis yang saat ini sedang aktif dieksploitasi aktif peretas.

Pembaruan kumulatif tersebut penting diperhatikan meski sebelumnya Microsoft telah mengeluarkan pembaruan keamanan terpisah sejak 2 Maret lalu.

Seperti dikutip dari ZDNet, diakses Kamis (18 Maret 2021), saat ini pelanggan Exchanger Server 2016 dan Exchange Server 2019 memiliki cara lain untuk memperbaiki kerentanan yang ada. Yaitu menginstal pembaruan kumulatif triwulanan terbaru, sebagai mitigasi siber terlengkap.

Baca: 

• Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server
• Parlemen Norwegia Terkena Serangan Siber Via Microsoft Exchange
• 60.000 Komputer di Jerman Miliki Kerentanan Microsoft Exchange Server

"Kami ingin menyoroti bahwa pembaruan kumulatif terbaru ini berisi perbaikan yang sebelumnya dirilis sebagai Exchange Server Security Updates pada 2 Maret 2021. Ini berarti Anda tidak perlu menginstal Pembaruan Keamanan Maret 2021 setelah menginstal pembaruan kumulatif Maret 2021," tutur Tim Microsoft Exchange.

Pada Januari lalu, Microsoft mendapati trafik anomali ke peladen Exchange Server. Ternyata ada aktivitas eksploitasi yang dilakukan oleh peretas yang diduga berjuluk Hafnium. Mereka memanfaatkan empat kerentanan pada Exchange Server.

Baca:

• Gedung Putih Bertemu Tim Microsoft Bahas Peretasan
• Lembaga Pemerintah Chili Korban Terbaru Peretasan Microsoft Exchange Server

Penyerang menggunakan kelemahan tersebut untuk menyusupi peladen Exchange Server dari jarak jauh dan kemudian menginstal "web shell" untuk mempertahankan diri pada mesin yang disusupi. Oleh karena itu, Microsoft memperingatkan bahwa ada lebih banyak pembersihan yang harus dilakukan pada peladen Exchange lokal yang diretas, bahkan setelah menerapkan pembaruan keamanan.

"Menerapkan Exchange Server Security Updates Maret 2021 sangat penting untuk mencegah (ulang) infeksi, tetapi tidak akan mengusir musuh yang telah menyusupi server Anda," Microsoft menekankan dalam nasihatnya.

"Mitigasi terbaik dan terlengkap adalah mendapatkan pembaruan kumulatif terkini dan menerapkan semua pembaruan keamanan. Ini adalah solusi yang disarankan yang memberikan perlindungan terkuat terhadap penyusupan," tutur Microsoft.

Baca:

• Lembaga Keamanan Siber Inggris Sebut 2.300 Mesin Terdampak Peretasan Microsoft Exchange
• Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server
• Geng Ransomware DearCry Eksploitasi Kerentanan Microsoft Exchange Server

Pada 2 Maret lalu, Microsoft memperingatkan tentang eksploitasi aktif atas empat kerentanan oleh kelompok peretas China bernama “Hafnium”. Microsoft pun mendesak pelanggan untuk memperbarui Microsoft Exchange Server secepat mungkin karena kerentanan masuk kategori kritis. 

Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.

Berikut informasi empat kerentanan yang dimaksud Microsoft:

1. CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
2. CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi Hafnium kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
3. CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
4. CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.[]

Informasi tentang pembaruan keamanan selengkapnya bisa klik di sini.