Image credit: Magnific
Bahaya Kerentanan SDK di Microsoft 365 – Sebuah kelalaian fatal dalam proses pengembangan perangkat lunak dilaporkan sempat menyerahkan token akses akun Microsoft secara cuma-cuma kepada aplikasi lain di dalam perangkat Android yang sama.
Celah keamanan kritis yang diberi nama kode FlagLeft ini memapar miliaran pengguna di enam aplikasi utama Microsoft 365 terhadap risiko pengambilalihan akun secara senyap (silent account takeover), tanpa memerlukan interaksi maupun persetujuan sama sekali dari korban.
Kerentanan ini terbilang sangat ironis karena akar masalahnya bukan bersumber dari kegagalan sistem enkripsi yang rumit, melainkan dari sebongkah kode uji coba yang lupa dimatikan saat aplikasi dilepas ke publik.
Satu baris kode pelacak kesalahan (debug code), yaitu setIsDebugMode(true), secara tidak sengaja dibiarkan aktif di dalam versi produksi massal.
Flag tersebut otomatis mematikan fungsi verifikasi otorisasi yang seharusnya memastikan bahwa hanya aplikasi resmi dan tepercaya milik Microsoft yang boleh saling meminta serta bertukar token akses akun di dalam satu perangkat.
Enam Aplikasi Raksasa Tumbang Sekaligus
Celah FlagLeft ini dikonfirmasi menjangkau enam aplikasi produktivitas utama Microsoft di platform Android, yaitu:
- Microsoft Word.
- PowerPoint.
- Excel.
- Microsoft 365 Copilot.
- Microsoft Loop.
- Microsoft OneNote.
Beruntung, aplikasi Microsoft Teams dilaporkan selamat dari infeksi ini karena bendera pelacak kesalahannya telah diatur secara benar pada posisi false sebelum didistribusikan.
Mengapa satu kelalaian baris kode bisa langsung melumpuhkan banyak aplikasi sekaligus? Jawabannya terletak pada penggunaan Software Development Kit (SDK) yang terbagi.
Karena baris kode yang cacat tersebut bersemayam di dalam komponen SDK yang dipakai bersama, maka saat SDK tersebut diintegrasikan ke dalam kode pemrograman masing-masing aplikasi, kerusakan tersebut otomatis terduplikasi secara simultan ke enam aplikasi raksasa tersebut.
|
Baca juga: ClickFix Memanfaatkan Perilaku Manusia |
Penjarahan Data Tanpa Jejak
Di dalam arsitektur Microsoft 365, aplikasi-aplikasi tersebut menggunakan mekanisme berbagi token yang disebut FOCI (Family of Client IDs).
Fitur ini sengaja diciptakan untuk mendukung kenyamanan pengguna melalui sistem masuk tunggal (Single Sign-On/SSO).
Sebagai contoh, ketika Anda sudah masuk (login) ke aplikasi Word, Anda tidak perlu lagi memasukkan kata sandi saat membuka PowerPoint atau Excel karena aplikasi-aplikasi tersebut berada dalam satu keluarga ID klien yang saling memercayai.
Namun, keberadaan perintah setIsDebugMode(true) secara sepihak meruntuhkan dinding pemisah yang membedakan antara aplikasi Microsoft yang sah dengan aplikasi pihak ketiga yang tidak tepercaya.
Dengan aktifnya mode debug tersebut, aplikasi asing apa pun yang terpasang di ponsel korban dapat mengirimkan permintaan token yang sama.
Dan langsung menerima token FOCI lengkap secara instan tanpa memicu jendela peringatan log masuk, tanpa meminta izin akses, dan tanpa memunculkan notifikasi apa pun di layar ponsel.
Token akses yang dicuri ini memiliki karakteristik yang sangat berbahaya bagi pertahanan siber karena:
- Berusia Panjang (Long-Lived): Token tetap valid dalam jangka waktu lama tanpa perlu memasukkan ulang kata sandi.
- Dapat Diperbarui (Refreshable): Peretas dapat memperbarui masa aktif token secara konstan untuk mempertahankan akses ilegal mereka.
- Manipulasi Log Aktivitas: Lalu lintas data yang dihasilkan oleh token curian ini terlihat sepenuhnya normal di dalam catatan sejarah aktivitas (logs), sehingga tidak akan memicu alarm anomali pada sistem pemantauan standar.
Jika seorang peretas berhasil mengeksploitasi celah ini melalui aplikasi perantara yang sengaja disusupkan ke ponsel korban.
Mereka dapat secara senyap membaca seluruh email pribadi, mengunduh file dokumen berharga di OneDrive, mengirimkan pesan palsu, hingga melihat data kalender penting atas nama pengguna yang sah.
Penilaian CVE dan Investigasi Berbasis AI
Kerentanan berskala masif ini berhasil dibongkar oleh tim peneliti siber dari Enclave bersama Ofek Levin.
Mengingat jumlah unduhan dari keenam aplikasi yang terdampak telah mencapai angka miliaran kali di seluruh dunia, potensi paparan risiko pencurian token ini terhitung sangat raksasa.
Menariknya, para peneliti memanfaatkan analisis varian berbasis kecerdasan buatan (AI) untuk mempercepat proses pemetaan.
Dan pelacakan sejauh mana kode SDK yang cacat tersebut telah menyebar di dalam seluruh portofolio aplikasi Android milik Microsoft.
Pusat Respons Keamanan Microsoft (MSRC) telah mengonfirmasi temuan ini dan segera merilis tambalan darurat.
Dengan menerbitkan beberapa kode kerentanan resmi (Common Vulnerabilities and Exposures) di bawah klasifikasi:
CWE-284: Pengendalian Akses yang Tidak Sesuai (Improper Access Control) pada tanggal 12 Mei 2026:
- CVE-2026-41100: Berdampak pada Microsoft 365 Copilot untuk Android dengan skor keparahan CVSS 4.4 (Menengah).
- CVE-2026-41101 & CVE-2026-41102: Masing-masing berdampak pada Word dan PowerPoint untuk Android dengan skor keparahan CVSS 7.1 (Tinggi).
- Microsoft Office untuk Android secara kolektif: Membawa skor keparahan CVSS 7.7 (Penting).
|
Baca juga: Lebih dari 84.000 Server Email Roundcube Berisiko Diserang |
Bahaya Laten Kode Artefak
Para peneliti tata kelola keamanan siber mengingatkan bahwa lolosnya artefak pengembangan (development artifacts) seperti flag debug.
Yang mampu masuk ke dalam aplikasi final merupakan salah satu kesalahan manajemen kode yang paling sering terjadi di industri perangkat lunak modern.
Tantangan terbesar di tahun 2026 adalah kompleksitas pengembangan berbasis Agile yang menuntut pembaruan fitur secara cepat, yang sering kali membuat fungsi inspeksi kode manual terabaikan.
Ketika satu baris nilai boolean sederhana luput dari penyaringan tim penjamin mutu (Quality Assurance), seluruh rantai arsitektur model kepercayaan otentikasi yang dibangun dengan biaya jutaan dolar dapat runtuh seketika saat produk dilepas ke pasar.
Mitigasi bagi Pengguna dan Korporasi
Mengingat perbaikan resmi telah disediakan oleh pihak pengembang, tindakan mitigasi harus segera dieksekusi tanpa menunda guna memutus potensi eksploitasi di tingkat pengguna akhir:
1. Lakukan Pembaruan Aplikasi Secara Instan.
Bagi seluruh pengguna personal maupun profesional di platform Android, segera buka Google Play Store dan lakukan pembaruan (update) ke versi terbaru untuk aplikasi:
- Word.
- PowerPoint.
- Excel.
- Microsoft 365 Copilot.
- Microsoft Loop.
- OneNote
Dengan melakukan pembaruan tersebut maka dengan sendirinya mengganti kode SDK yang cacat tersebut.
2. Audit Aktivitas Token oleh Admin TI.
Bagi administrator sistem manajemen perangkat seluler (MDM) di lingkungan perusahaan, pastikan seluruh perangkat kerja terkelola milik karyawan telah menerapkan versi aplikasi yang aman.
Lakukan audit forensik terhadap aktivitas token OAuth melalui platform Microsoft Defender for Cloud Apps untuk mendeteksi jika ada anomali geolokasi atau aktivitas akses dokumen yang tidak lazim.
3. Terapkan Prinsip Pencegahan via Vimanamail.
Meskipun FlagLeft merupakan kerentanan internal di tingkat sistem operasi Android, pintu masuk utama penyusupan aplikasi berbahaya yang bertindak sebagai pemanen token sering kali berasal dari tautan unduhan ilegal yang dikirim via email.
Di sinilah pentingnya menerapkan sistem penyaringan perimeter hulu seperti Vimanamail. Dengan memasang Vimanamail pada infrastruktur email perusahaan.
Setiap email pancingan yang mencoba mengarahkan karyawan untuk mengunduh aplikasi utilitas palsu (malicious co-installed app) dapat diblokir secara otomatis sebelum masuk ke kotak masuk, mengurangi risiko ponsel karyawan disusupi oleh aplikasi penguras token FOCI tersebut.
Refleksi Industri Teknologi
Insiden FlagLeft menjadi refleksi mendalam bagi industri teknologi global di tahun 2026: satu kecerobohan kecil dalam penulisan kode dapat menimbulkan ancaman privasi yang berdampak pada miliaran manusia sekaligus.
Kegagalan ini bukan berada pada desain keamanan berbagi token FOCI itu sendiri, melainkan pada hilangnya palang pintu yang mengontrol siapa saja yang berhak mengakses fitur tersebut.
Keamanan siber yang kokoh hanya bisa dicapai melalui kedisiplinan pemeriksaan kode yang ketat, penggunaan alat analisis otomatis yang komprehensif.
Serta kesadaran pengguna untuk selalu memperbarui sistem operasi dan aplikasi mereka demi menjaga kedaulatan privasi data di era mobilitas digital yang kian dinamis.
Sumber berita:
