Hati-hati, Dua Kerentanan Zero-day Microsoft Exchange Aktif Dieksploitasi Hacker
Cyberthreat.id – Anda pengguna piranti lunak Microsoft Exchange, berhati-hatilah untuk saat ini. Sebab, ditemukan dua kerentanan zero-day (yang belum ditambal) di Microsoft Exchange.
Kerentanan itu dilabeli CVE-2022-41040 dan CVE-2022-41082. Kabar baiknya, peneliti yang menemukan kerentanan ini mengatakan, sementara waktu mitigasi di server lokal masih cukup untuk mencegah serangan, demikian dikutip dari BleepingComputer, diakses Kamis (6 Oktober 2022).
Temuan kerentanan itu dilaporkan oleh peneliti dari perusahaan keamanan siber asal Vietnam, GTSC, melalui program Zero Day Initiative sekitar tiga pekan lalu.
Mereka mengatakan, kedua kerentanan itu mulai dimanfaatkan peretas dalam serangan aktif untuk menjebol server Microsoft Exchange yang ditargetkan.
Celah keamanan itu jika dijebol peretas bisa dimanfaatkan untuk mengeksekusi kode apa pun secara jarak jauh.
Namun, serangan tersebut, menurut ZDNet, mengharuskan penyerang untuk menjadi pengguna yang diautentikasi. Dengan begitu, peretas harus melakukan serangan phishing, serangan brute force, atau membeli nama pengguna dan kata sandi curian dari forum bawah tanah untuk mendapatkan kredensial.
Meski belum jelas indikasi khusus tentang siapa yang berada di balik serangan ini, Tim Intelijen Ancaman Keamanan (MSTIC) Microsoft "menilai dengan keyakinan sedang" bahwa mereka adalah kelompok yang terhubung ke operasi dunia maya yang disponsori negara.
Pada 30 September 2022, Microsoft mengonfirmasi terkait dengan temuan kerentanan itu dan hanya mengatakan, “serangan yang terjadi hanya bertarget terbatas”.
Microsoft pun menyarankan agar pelanggan memitigasi server lokal dan merekomendasikan untuk “menonaktifkan akses PowerShell jarak jauh untuk pengguna non-admin di perusahaan”.
Di sisi lain, Microsoft juga mengusulkan pemblokiran pola serangan yang diketahui melalui IIS Manager, antara lain:
- Buka IIS Manager
- Pilih Default Web Site
- Di ** Feature View **, klik URL Rewrite
- Di panel Action di sisi kanan, klik Add Rules
- Pilih **Request Blocking** dan klik OK
- Tambahkan string “.autodiscover.json.*@.*Powershell.” (tidak termasuk kutipan), lalu klik OK
- Perluas pengaturan dan pilih dengan pola autodiscover.json.*@.*Powershell.” dan klik Edit under Conditions.
- Ubah Condition inu fari {URL} to {REQUEST_Rl}
Pengaturan yang diusulkan Microsoft itu, bagaimanapun, hanya mencakup serangan yang diketahui, sehingga pola URL terbatas pada hal itu.
Microsoft mengatakan bahwa instruksi mitigasi berlaku untuk pelanggan dengan Exchange Server lokal dan bahwa klien Exchange Online tidak perlu mengambil tindakan apa pun.
Namun, yang mengkhawatirkan lagi, peneliti keamanan Jang justru menemukan bahwa solusi sementara Microsoft ternyata tidak efisien dan masih mudah dilewati peretas yang gigih.
Peneliti GTSC juga mengonfirmasi temuan Jang dan menyatakan hal yang sama melalui demo video di YouTube.[]