Image credit: magnific
Peretas Bisa Intip Token Otentikasi Tanpa Klik – Raksasa teknologi Microsoft resmi merilis laporan mengenai celah keamanan signifikan yang bersumber dari aplikasi Microsoft Teams untuk Android.
Kerentanan kritis yang dilacak dengan kode CVE-2026-42835 ini diumumkan secara resmi pada tanggal 9 Juni 2026 dan dikategorikan memiliki tingkat keparahan Important (Penting).
Jika berhasil dieksploitasi, celah ini memungkinkan aktor peretas yang telah terotentikasi untuk menguras dan mengekspos berbagai informasi sensitif perusahaan secara jarak jauh melalui jaringan internet.
|
Baca juga: Penipuan Berbagi Layar WhatsApp |
Analisis Teknis CVE-2026-42835
Berdasarkan dokumen investigasi, kerapuhan pada aplikasi Microsoft Teams Android ini berakar dari ketidakmampuan sistem.
Yaitu dalam menetralisir elemen-elemen spesial secara tepat pada modul keluaran (output) yang digunakan oleh komponen hilir.
Di dalam klasifikasi keamanan siber, kelemahan logika ini masuk ke dalam kategori CWE-74 (Injection).
Sistem penilaian kerentanan global (Common Vulnerability Scoring System/CVSS v3.1) memberikan skor dasar sebesar 8.1 (dengan skor temporal 7.1) untuk celah keamanan ini.
Angka tersebut merefleksikan tingginya risiko bahaya yang mengintai infrastruktur korporasi, didukung oleh beberapa indikator metrik operasional berikut:
1. Vektor Serangan Jaringan (Attack Vector: Network).
Mengonfirmasi bahwa celah keamanan ini dapat dieksploitasi secara penuh dari jarak jauh (remotely exploitable) melintasi jaringan internet tanpa mengharuskan peretas berada di jaringan lokal yang sama dengan korban.
2. Kompleksitas Serangan Rendah (Attack Complexity: Low).
Aktor peretas tidak membutuhkan pengetahuan mendalam mengenai arsitektur sistem target dan dapat mengulang keberhasilan eksploitasi berkali-kali secara konsisten menggunakan muatan kode (payload) yang dirancang khusus.
3. Tanpa Interaksi Pengguna (User Interaction: None).
Ini adalah titik paling krusial. Peretas dapat memicu kebocoran informasi dari jarak jauh tanpa perlu memancing, menjebak, atau menunggu korban melakukan tindakan tertentu seperti mengeklik tautan atau mengunduh file.
Dampak Serangan
Microsoft mengonfirmasi bahwa dampak langsung dari keberhasilan eksploitasi skenario injeksi ini adalah kemampuan peretas untuk membaca sebagian kecil dari porsi heap memory pada perangkat Android korban.
Secara sekilas, cakupan data yang terpapar mungkin terlihat terbatas karena hanya menyasar sebagian kecil sektor memori.
Kendati demikian, di dalam ekosistem korporasi, heap memory merupakan area dinamis yang sangat vital karena kerap menyimpan berbagai informasi runtime yang sensitif. Komponen data yang berpotensi tersimpan di sana meliputi:
- Token Otentikasi (Authentication Tokens): Kunci digital yang digunakan aplikasi untuk mengingat hak akses log masuk pengguna.
- Data Sesi (Session Data): Informasi enkripsi jalannya percakapan atau rapat kerja yang sedang aktif.
- Kredensial yang Tersimpan di Cache (Cached Credentials): Salinan sementara kata sandi atau identitas digital pengguna.
Eksposure data pada bagian memori ini membawa dampak kehancuran yang tinggi pada pilar Kerahasiaan (Confidentiality) dan Ketersediaan (Availability) sistem, tanpa memengaruhi pilar Integritas (Integrity).
Ditambah lagi, prasyarat hak istimewa (Privileges Required) berada di level rendah (Low), yang berarti akun karyawan biasa dengan hak akses paling standar sekalipun dapat dimanfaatkan untuk memicu kerentanan ini.
|
Baca juga: Grup Peretas yang Disponsori Negara Paling Berbahaya di Dunia |
Mitigasi dan Rekomendasi Pembaruan
Meskipun memiliki tingkat bahaya yang signifikan, penilaian internal Microsoft mengategorikan eksploitasi celah ini ke dalam status Exploitation Less Likely (Kecil Kemungkinan Dieksploitasi).
Hingga laporan resmi ini diterbitkan ke publik, kode eksploitasi untuk CVE-2026-42835 masih berstatus Unproven (Belum Terbukti Eksis di Lapangan).
Dan belum ada laporan mengenai aktivitas serangan aktif di dunia nyata yang memanfaatkan celah tersebut.
Kabar baiknya, tambalan keamanan resmi (official fix) telah disiapkan dan dirilis ke publik. Sebagai langkah mitigasi umum untuk mengamankan komunikasi internal korporasi, organisasi dan pengguna individu diimbau untuk segera menerapkan tindakan berikut:
1. Pembaruan Massal Aplikasi via Google Play Store.
Para administrator sistem dan pengguna individu wajib segera melakukan pembaruan (update) aplikasi Microsoft Teams untuk Android ke versi terbaru langsung melalui halaman resmi Google Play Store.
Jangan menunda penambalan ini mengingat Microsoft Teams merupakan aplikasi vital yang menghandel percakapan bisnis sensitif dan pertukaran dokumen internal perusahaan.
2. Audit Hak Akses Akun Jaringan.
Karena celah ini membutuhkan otentikasi awal (PR: Low), tim keamanan TI harus memastikan pengetatan pengawasan terhadap pembuatan akun pengguna baru.
Pastikan tidak ada akun tamu (guest accounts) atau akun eksternal tidak aktif yang dibiarkan memiliki hak akses ke dalam jaringan Teams perusahaan tanpa pengawasan ketat.
3. Pantau Anomali Arus Jaringan Aplikasi.
Gunakan sistem pemantauan lalu lintas data untuk mendeteksi jika ada permintaan kueri keluaran yang tidak wajar dari perangkat seluler Android yang mengarah ke server Teams, yang mengindikasikan adanya percobaan pengiriman muatan injeksi terstruktur.
Bukan Jaminan
Kehadiran celah keamanan CVE-2026-42835 pada Microsoft Teams Android menjadi pengingat berharga bahwa aplikasi kolaborasi yang paling tepercaya sekalipun tetap menyimpan titik lemah di tingkat pemrosesan memori gawai.
Kemampuan peretas mengeksploitasi cacat CWE-74 Injection tanpa membutuhkan interaksi aktif dari korban menegaskan bahwa kecepatan penambalan sistem adalah kunci utama dalam mempertahankan kedaulatan data korporasi.
Sebagai informasi tambahan, kerentanan sistem ini berhasil ditemukan dan dilaporkan secara bertanggung jawab oleh para peneliti.
Yakni melalui program koordinasi pengungkapan celah keamanan (Coordinated Vulnerability Disclosure) yang difasilitasi oleh Microsoft.
Sumber berita:
