Serangan Siber pada Server Microsoft Diduga Dilakukan oleh Satu Pelaku, Ribuan Perusahaan Kini Rentan
JAKARTA – Serangan global terhadap perangkat lunak server Microsoft, SharePoint, yang digunakan oleh ribuan instansi pemerintah dan perusahaan untuk berbagi dokumen, kemungkinan dilakukan oleh satu pelaku atau kelompok. Hal ini dikatakan seorang peneliti keamanan siber pada Senin, 21 Juli.
Microsoft pada Sabtu 19 Juli mengeluarkan peringatan tentang "serangan aktif" pada server SharePoint yang digunakan di dalam organisasi. Perusahaan menyatakan bahwa SharePoint Online di Microsoft 365, yang berbasis cloud, tidak terkena dampak eksploitasi ini, yang dikenal sebagai "zero day" karena sebelumnya tidak diketahui oleh peneliti keamanan siber.
"Berdasarkan konsistensi teknik yang terlihat di berbagai serangan, kampanye yang dimulai pada hari Jumat tampaknya dilakukan oleh satu pelaku. Namun, ini bisa berubah dengan cepat," kata Rafe Pilling, Direktur Intelijen Ancaman di Sophos, perusahaan keamanan siber asal Inggris. Teknik tersebut termasuk pengiriman muatan digital yang sama ke beberapa target, tambah Pilling.
"Microsoft telah menyediakan pembaruan keamanan dan mendorong pelanggan untuk menginstalnya," ujar juru bicara perusahaan dalam pernyataan melalui email, dikutip VOI dari Reuters.
Belum jelas siapa yang berada di balik serangan yang sedang berlangsung ini. FBI pada hari Minggu 20 Juli menyatakan bahwa mereka mengetahui serangan tersebut dan bekerja sama dengan mitra federal dan sektor swasta, tetapi tidak memberikan rincian lebih lanjut.
Menurut data dari Shodan, mesin pencari yang membantu mengidentifikasi perangkat yang terhubung ke internet, lebih dari 8.000 server online berpotensi telah disusupi oleh peretas. Server-server tersebut mencakup perusahaan industri besar, bank, firma audit, perusahaan kesehatan, serta beberapa entitas pemerintah di tingkat negara bagian AS dan internasional.
"Insiden SharePoint tampaknya telah menciptakan tingkat kompromi yang luas di berbagai server secara global," kata Daniel Card dari konsultan keamanan siber Inggris, PwnDefend. "Mengambil pendekatan asumsi pelanggaran adalah langkah bijak, dan penting untuk memahami bahwa hanya menerapkan tambalan tidak cukup."
Serangan SharePoint Jadi Masalah Besar
Serangan ini pertama kali terdeteksi oleh Eye Security pada 18 Juli, dengan eksekusi kode jarak jauh terdeteksi pada server SharePoint. Serangan ini memanfaatkan dua bug yang ditemukan dalam kontes peretasan Pwn2Own pada bulan Mei. Bug tersebut memungkinkan penyerang mengakses server SharePoint tanpa perlu autentikasi dan diberi nomor CVE dengan nama ToolShell.
Microsoft telah mengatasi sebagian masalah ini dengan tambalan untuk SharePoint 2019 dan SharePoint Subscription Edition, serta sedang bekerja untuk pembaruan keamanan lebih lanjut untuk SharePoint 2019 dan 2016.
Baca juga:
Bagaimana Pengguna Mac Dapat Melindungi Diri
Karena serangan ini menargetkan server korporasi dan bukan sistem individu, pengguna Mac dan komputer lain tidak akan menemukan sistem pribadi mereka terkena dampak langsung. Namun, masalah tidak langsung yang melibatkan server yang mereka gunakan bisa menjadi ancaman.
Penyerang dapat mencuri kredensial dari server SharePoint, yang memungkinkan mereka untuk mengakses kembali server bahkan setelah ditambal dan diamankan. Oleh karena itu, administrator server perlu sangat waspada dan berhati-hati dalam mengunci sistem dan mengelola akses pengguna.
Pengguna akhir juga harus sangat waspada, terutama jika mereka memiliki akses ke server SharePoint internal yang dikelola oleh perusahaan besar. Penyerang yang telah memperoleh kredensial pengguna dapat mengirim pesan yang tampak sah melalui jaringan korporasi, seperti email yang berisi tautan ke situs web berbahaya. Pengguna yang tidak curiga mungkin mempercayai pesan tersebut karena berasal dari akun korporasi yang sah.
Untuk informasi lebih lanjut tentang pembaruan keamanan, kunjungi situs resmi Microsoft. Pihak berwenang di AS, Kanada, dan Australia sedang menyelidiki serangan ini, menurut laporan Washington Post.