Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server

Cyberthreat.id – Dalam tempo tiga bulan terakhir, peretasan massal menjadi sorotan utama di tingkat pemerintah, swasta, dan firma keamanan siber.

Kasus pertama yang mengemuka adalah peretasan perangkat lunak manajemen perangkat TI, Orion, milik SolarWinds yang mempengaruhi 18.000 pengguna di seluruh dunia. Sejumlah departemen/kementerian AS terkena dampaknya, seperti Departemen Energi dan Departemen Keuangan.

Di Indonesia, Badan Siber dan Sandi Negara dalam laporan tahunan 2020 juga menyebutkan sejumlah sektor yang bepotensi menjadi korban SolarWinds. (Baca: BSSN Beberkan 12 Sektor di Indonesia yang Berpotensi Terpengaruh Peretasan Orion SolarWinds)

Kumpulan berita SolarWinds bisa dibaca selengkapnya di sini.

Sementara, kasus kedua yaitu empat kerentanan zero-day pada perangkat lunak email Microsoft Exchange Server yang baru ditemukan pada Januari 2021 dan hingga kini masih dieksploitasi secara aktif oleh peretas.

Microsoft memang telah menerbitkan pembaruan pada perangkat lunak tersebut, tapi pembaruan tersebut bukan berarti menghilangkan perangkat lunak jahat pintu belakang (backdoor) yang lebih dulu ditanam peretas ke server yang disusupi.

Sebenarnya bagaimana kasus ini bermula? Berikut rangkuman informasinya, seperti dikutip dari ZDNet, diakses Selasa (9 Maret 2021).

• Apa yang sebenarnya terjadi?

Microsoft mengatakan, serangan itu berawal dari empat kerentanan zero-day (yang tidak diketahui dan belum ditambal) pada Exchange Server. Raksasa teknologi tersebut mengklaim telah mengetahui kerentanan itu awal Januari 2021.

Peneliti keamanan siber berjuluk “DEVCORE” yang menemukan dua kerentanan itu melapor ke Microsoft pada 5 Januari.

Menurut perusahaan keamanan siber AS, Volexity, eksploitasi aktif empat kerentanan itu kemungkinan besar telah dimulai sejak 6 Januari. Dubex, perusahaan keamanan siber Denmark, juga melaporkan aktivitas mencurigakan di Exchange Server pada bulan yang sama.

• Pembaruan keamanan (patch) dirilis

Pada 2 Maret, Microsoft merilis tambalan keamanan untuk mengatasi empat kerentanan kritis tersebut. Microsoft kala itu mengatakan, bug tersebut secara aktif dieksploitasi oleh peretas dalam serangan terbatas dan bertarget.

Perlu diketahui, Exchange Server populer dipakai untuk mengelola email. Penggunanya perusahaan besar hingga bisnis kecil di hampir seluruh dunia.

• Apakah setelah ditambal aman?

Meski perbaikan dikeluarkan, potensi serangan pada Exchange Server bergantung pada kecepatan dan penggunaan patch. Dan, kemungkinan jumlah korban terus bertambah.

• Empat kerentanan yang dieksploitasi

Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh. Empat kerentanan itu dilabeli CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065.

CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.

CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi peretas kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.

CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika peretas dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.

CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika peretas dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.

• Apa efek serangan itu?

Jika digunakan dalam rantai serangan, semua kerentanan itu dapat menyebabkan remote code execution (RCE) alias mengeksekusi kode-kode perintah secara jarak jauh, pembajakan server, menanam pintu belakang, pencurian data, dan kemungkinan penyebaran malware lebih luas.

Pendek kata, menurut Microsoft, peretas bisa mengamankan akses ke peladen Exchange baik melalui empat bug tersebut atau kredensial yang dicuri, kemudian mereka membuat web shell untuk membajak sistem dan menjalankan perintah dari jarak jauh.

Web shell adalah sejenis teks perintah yang bisa digunakan untuk mengakses ke dalam sistem dengan mengeksekusi program tertentu.

• Disebut sebagai attack chain atau rantai serangan

Microsoft menjuluki serangan itu sebagai “bagian dari rantai serangan”. Bagian lain dari rantai serangan itu dapat dipicu lagi jika peretas sudah memiliki akses atau dapat meyakinkan administrator untuk menjalankan file berbahaya.

• Siapa aktor di balik ini?

Microsoft telah mengarahkan telunjuknya ke kelompok peretas yang diduga mendapatkan dukungan dari China, tapi beroperasi di luar negara tersebut. Kelompok itu bernama “Hafnium”. (Baca: Microsoft Sebut Peretas China Targetkan Server Perangkat Lunaknya)

Meskipun Hafnium berasal dari China, grup tersebut menggunakan web server pribadi virtual (VPS) yang berlokasi di AS untuk mencoba dan menyembunyikan lokasi aslinya. Entitas yang sebelumnya ditargetkan oleh grup ini termasuk lembaga think tank, organisasi nirlaba, produsen alat-alat pertahanan, universitas, dan peneliti penyakit menular.

• Apakah dampak kerentanan ini begitu besar?

Ketika kerentanan zero-day terungkap pada perangkat lunak populer, ancaman siber begitu luas potensial terjadi. Terlebih, faktor kesigapan dari setiap institusi juga sangat mempengaruhi. Meski Microsoft telah mengeluarkan pembaruan atau tambalan kerentanan, sementara institusi itu tak kunjung merespons, ancaman sangat terbuka dan peretas bisa mengeksploitasinya.

Bahkan, kerentanan itu bisa menjadi tujuan penyebaran ransomware.

• Siapa saja korbannya?

Sejauh ini, menurut pakar keamanan siber Brian Krebs, jumlah korban sekitar 30.000 organisasi, hanya di AS. Sementara, laporan Bloomberg pada 8 Maret lalu mencapai 60.000 organisasi.

Otoritas Perbankan Eropa menjadi korban terbaru meski lembaga tersebut mengklaim tidak ada indikasi pelanggaran data. 'Cek kumpulan beritanya di sini.

• Apa yang harus dilakukan?

Microsoft mendesak agar admin TI tiap-tiap organisasi yang memakai Exchange Server segera menginstal pembaruan. Panduan mitigasi sementara juga telah dikeluarkan. Microsoft juga telayh mengeluarkan skrip di GitHub yang bisa membantu admin TI mendeteksi kerentanan. Skrip itu menyertakan indikator peretasan (IOC), bisa cek di sini.

Per 8 Maret, Microsoft mengeluarkan sekumpulan pembaruan keamanan tambahan.[]