Microsoft Defender Kini Bisa Memitigasi Otomatis Kerentanan Exchange Server
Logo Microsoft Defender | Foto: cultofmac.com
Cyberthreat.id – Microsoft menambah kemampuan baru pada perangkat lunak antivirusnya, Microsoft Defender, yang menjadi bawaan di Windows 10 untuk mendeteksi kerentanan kritis di perangkat lunak email Exchange Server.
Menurut perusahaan raksasa perangkat lunak itu, Microsoft Defender akan secara otomatis mengidentifikasi jika peladen (server) Exchange rentan, selanjutnya menerapkan perbaikan mitigasi sekali per komputer.
Perusahaan menyarankan agar pengguna menginstal pembaruan pada Microsoft Defender secara manuali atau bisa juga melakukan secara otomatis. Pastikan bahwa perangkat lunak yang diinstal versi 1.333.747.0, atau yang lebih baru, demikian seperti dikutip dari ZDNet, diakses Jumat (19 Maret 2021).
Awal pekan ini, Microsoft merilis alat mitigasi sekali klik yang dirancang sebagai cara untuk mengurangi risiko eksploitasi pada server yang rentan sebelum tambalan penuh diterapkan.
Secara prinsip, alat tersebut bekerja serupa dengan pembaruan perangkat lunak antivirus Defender yang dirilis.
Alat mitigasi sekali klik masih tersedia sebagai cara alternatif untuk mengurangi risiko ke server yang rentan jika admin TI tidak memiliki Defender.
"Pembaruan keamanan Exchange masih merupakan cara paling komprehensif untuk melindungi server Anda dari serangan ini," kata Microsoft.
"Mitigasi sementara ini dirancang untuk membantu melindungi pelanggan saat mereka menerapkan Pembaruan Kumulatif Exchange terbaru untuk versi Exchange mereka."
Pada 17 Maret, Microsoft meluncurkan pembaruan kumulatif triwulanan untuk Exchange Server 2016 dan Exchange Server 2019 yang juga berisi patch keamanan yang diperlukan untuk mengatasi kerentanan kritis.
Baca:
- Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server
- Parlemen Norwegia Terkena Serangan Siber Via Microsoft Exchange
- 60.000 Komputer di Jerman Miliki Kerentanan Microsoft Exchange Server
"Kami ingin menyoroti bahwa pembaruan kumulatif terbaru ini berisi perbaikan yang sebelumnya dirilis sebagai Exchange Server Security Updates pada 2 Maret 2021. Ini berarti Anda tidak perlu menginstal Pembaruan Keamanan Maret 2021 setelah menginstal pembaruan kumulatif Maret 2021," tutur Tim Microsoft Exchange.
Pada Januari lalu, Microsoft mendapati trafik anomali ke peladen Exchange Server. Ternyata ada aktivitas eksploitasi yang dilakukan oleh peretas yang diduga berjuluk Hafnium. Mereka memanfaatkan empat kerentanan pada Exchange Server.
Baca:
- Gedung Putih Bertemu Tim Microsoft Bahas Peretasan
- Lembaga Pemerintah Chili Korban Terbaru Peretasan Microsoft Exchange Server
Penyerang menggunakan kelemahan tersebut untuk menyusupi peladen Exchange Server dari jarak jauh dan kemudian menginstal "web shell" untuk mempertahankan diri pada mesin yang disusupi. Oleh karena itu, Microsoft memperingatkan bahwa ada lebih banyak pembersihan yang harus dilakukan pada peladen Exchange lokal yang diretas, bahkan setelah menerapkan pembaruan keamanan.
"Menerapkan Exchange Server Security Updates Maret 2021 sangat penting untuk mencegah (ulang) infeksi, tetapi tidak akan mengusir musuh yang telah menyusupi server Anda," Microsoft menekankan dalam nasihatnya.
Baca:
- Lembaga Keamanan Siber Inggris Sebut 2.300 Mesin Terdampak Peretasan Microsoft Exchange
- Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server
- Geng Ransomware DearCry Eksploitasi Kerentanan Microsoft Exchange Server
Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.
Berikut informasi empat kerentanan yang dimaksud Microsoft:
- CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
- CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi Hafnium kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
- CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
- CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.[]
Informasi tentang pembaruan keamanan triwulanan selengkapnya bisa klik di sini.
