JAKARTA - Ribuan server Microsoft SharePoint di seluruh dunia dilaporkan telah menjadi target eksploitasi aktif dalam insiden keamanan siber berskala besar yang terjadi pada akhir pekan lalu.
Laporan awal datang dari tim peneliti Eye Security pada 19 Juli, yang menemukan adanya eksploitasi terhadap dua celah keamanan pada SharePoint yang sebelumnya dikaitkan dengan alat bernama ToolShell.
Eksploitasi yang disebut dengan CVE-2025-53770 ini berhasil dapat mengekspos detail konfigurasi MachineKey dari Server SharePoint yang rentan, yang pada akhirnya memungkinkan eksekusi kode jarak jauh tanpa autentikasi.
Merespons insiden ini, Sr. Staff Research Engineer di Tenable, Satnam Narang mengatakan bahwa eksploitasi aktif kerentanan zero-day SharePoint selama akhir pekan akan berdampak luas bagi organisasi yang terdampak.
Menurutnya, penyerang berhasil mengeksploitasi celah keamanan tersebut, yang kini diidentifikasi sebagai CVE-2025-53770, untuk mencuri detail konfigurasi MachineKey dari Server SharePoint yang rentan, yang mencakup validationKey dan decryptionKey.
Ia menegaskan bahwa informasi konfigurasi yang dicuri dapat digunakan untuk membentuk permintaan berbahaya yang memungkinkan remote code execution (RCE) tanpa autentikasi, sebuah celah yang sangat berisiko bagi organisasi publik maupun swasta.
“Detail ini dapat digunakan oleh penyerang untuk membuat permintaan khusus yang dapat digunakan untuk mendapatkan eksekusi kode jarak jauh tanpa autentikasi,” kata Satnam dalam pernyataan yang diterima VOI pada Selasa, 22 Juli.
Satnam juga menjelaskan, organisasi dapat mendeteksi potensi eksploitasi dengan mencari keberadaan file mencurigakan bernama spinstall0.aspx pada server mereka, meski file tersebut dapat menggunakan ekstensi lain.
BACA JUGA:
Ia menemikan bahwa permukaan serangan untuk kerentanan ini tergolong luas, dengan lebih dari 9.000 server SharePoint yang terdeteksi dapat diakses secara eksternal. Banyak di antaranya digunakan oleh lembaga pemerintahan, institusi pendidikan, dan perusahaan besar.
“Kami sangat menyarankan organisasi untuk mulai melakukan investigasi respons insiden guna mengidentifikasi potensi penyusupan. Jika tidak, terapkan patch yang tersedia dan tinjau instruksi mitigasi yang diberikan oleh Microsoft,” tandasnya.
