ESET Temukan Dua Eksploitasi Zero Day yang Mengancam Dunia

ESET Temukan Dua Eksploitasi Zero Day yang Mengancam Dunia – Tim riset ESET baru-baru ini merilis temuan penting mengenai eksploitasi dua kerentanan zero-day (kerentanan yang belum diketahui pengembang dan belum ada patch-nya) pada server Microsoft SharePoint on-premises.

Kerentanan ini, yang diberi nama CVE-2025-53770 dan CVE-2025-53771, secara kolektif dijuluki sebagai “ToolShell”.

Ini bukan sekadar berita teknis biasa; ini adalah sinyal bahaya bagi ribuan organisasi di seluruh dunia yang mengandalkan SharePoint untuk kolaborasi dan penyimpanan data.

Serangan yang memanfaatkan “ToolShell” ini kini sedang dieksploitasi secara luas, tidak hanya oleh penjahat siber biasa tetapi juga oleh kelompok Advanced Persistent Threat (APT).

Kelompok APT dikenal memiliki sumber daya besar dan motivasi kuat, seringkali didukung oleh negara, yang bertujuan untuk infiltrasi jangka panjang dan pencurian data berskala besar.

Ini berarti ancaman yang dihadapi bukan hanya sekadar gangguan, melainkan potensi kehilangan data krusial, rahasia dagang, hingga gangguan operasional yang serius.

Data dari ESET menunjukkan bahwa Amerika Serikat adalah negara yang paling banyak menjadi target, menyumbang 13.3% dari total serangan yang terdeteksi.

Namun, ini tidak berarti negara lain aman. Sifat global dari ancaman siber berarti serangan semacam ini dapat menyebar dengan cepat dan menargetkan entitas di yurisdiksi mana pun.

Penyebaran luas serangan ini menggarisbawahi pentingnya kewaspadaan dan tindakan segera untuk memastikan keamanan infrastruktur SharePoint mereka dari ancaman yang berkembang ini.

Baca juga: Jebakan Siber Makin Canggih

SharePoint Sasaran Menarik

ESET Temukan Dua Eksploitasi Zero Day yang Mengancam Dunia — Credit image: Freepix

Microsoft SharePoint adalah platform kolaborasi dan manajemen dokumen yang sangat populer di kalangan bisnis dan pemerintahan. Ribuan organisasi menggunakannya untuk menyimpan informasi sensitif, berbagi dokumen, mengelola proyek, dan bahkan sebagai intranet perusahaan. Inilah yang membuatnya menjadi target empuk bagi pelaku kejahatan siber:

Pusat Data Sensitif: SharePoint seringkali menjadi gudang bagi data-data krusial, mulai dari laporan keuangan, data pelanggan, strategi bisnis, hingga informasi pribadi karyawan.
Titik Akses ke Jaringan Internal: Jika SharePoint berhasil ditembus, pelaku ancaman bisa mendapatkan pijakan di jaringan internal organisasi, memungkinkan mereka untuk bergerak lateral dan mengakses sistem lain.
Kompleksitas Implementasi: Konfigurasi SharePoint yang tidak tepat atau patching yang terlambat bisa menciptakan celah keamanan yang mudah dieksploitasi.

Lindungi Infrastruktur SharePoint

Mengingat seriusnya ancaman “ToolShell”, organisasi harus mengambil langkah-langkah proaktif dan segera. Menunggu patch resmi adalah satu hal, tetapi mitigasi awal adalah kunci untuk meminimalisir risiko.

Prioritaskan Pembaruan (Patching) Segera

Begitu Microsoft merilis patch untuk CVE-2025-53770 dan CVE-2025-53771, segera terapkan. Jangan tunda. Otomatisasi proses patching jika memungkinkan untuk memastikan pembaruan diterapkan secepatnya.
Pastikan semua server SharePoint Anda, baik yang on-premises maupun yang terintegrasi dengan layanan cloud, selalu diperbarui dengan patch keamanan terbaru.

Pantau Log dan Aktivitas Mencurigakan

Tingkatkan pemantauan pada log SharePoint Anda. Cari pola akses yang tidak biasa, upaya login yang gagal berulang kali, atau aktivitas sistem yang tidak diharapkan.
Perhatikan penggunaan tool administratif atau script yang tidak biasa, terutama yang terkait dengan PowerShell atau proses sistem lainnya, karena malware seringkali memanfaatkannya.

Audit Konfigurasi Keamanan SharePoint

Tinjau kembali konfigurasi keamanan SharePoint Anda. Pastikan hak akses pengguna diatur berdasarkan prinsip hak istimewa paling rendah (least privilege).
Nonaktifkan fitur yang tidak perlu atau port yang terbuka yang bisa menjadi titik masuk bagi penyerang.
Implementasikan Otentikasi Multi-Faktor (MFA):
Meskipun kerentanan ini mungkin memungkinkan akses tanpa kredensial, MFA tetap penting sebagai lapisan pertahanan ekstra untuk melindungi akun admin atau pengguna lain jika kredensial mereka berhasil dicuri melalui metode lain.

Gunakan Solusi Keamanan Endpoint yang Kuat

Pastikan semua server dan endpoint yang terhubung ke SharePoint dilindungi oleh solusi keamanan endpoint (anti-malware/EDR) dari vendor terkemuka. Solusi ini dapat membantu mendeteksi dan memblokir aktivitas malware yang terkait dengan “ToolShell”.

Lakukan Penilaian Kerentanan dan Pengujian Penetrasi

Secara rutin lakukan pemindaian kerentanan dan pengujian penetrasi pada infrastruktur SharePoint Anda untuk mengidentifikasi celah keamanan sebelum dieksploitasi oleh pelaku jahat.

Edukasi dan Kesadaran Karyawan

Meskipun ini adalah kerentanan teknis, phishing seringkali digunakan sebagai vektor awal. Pastikan karyawan menyadari taktik rekayasa sosial dan berhati-hati terhadap tautan atau lampiran mencurigakan.

Kesimpulan

Munculnya “ToolShell” adalah pengingat keras bahwa ancaman siber terus berevolusi dan menargetkan infrastruktur kritis yang kita andalkan setiap hari. Dengan adopsi yang cepat terhadap patch keamanan, pemantauan proaktif, dan implementasi praktik terbaik keamanan siber, organisasi dapat secara signifikan mengurangi risiko terkena dampak dari eksploitasi kerentanan ini.

Jangan biarkan server SharePoint Anda menjadi pintu gerbang bagi penjahat siber. Bertindaklah sekarang untuk melindungi aset digital terpenting Anda.

Baca artikel lainnya: