Empat kerentanan zero-day di Microsoft Exchange Server secara aktif dieksploitasi oleh kelompok ancaman yang disponsori negara dari Tiongkok dan tampaknya telah diadopsi oleh penyerang dunia maya lainnya dalam serangan yang meluas.
Meskipun diyakini tidak ada kaitannya dengan serangan rantai pasokan SolarWinds yang telah memengaruhi sekitar 18.000 organisasi di seluruh dunia, sejauh ini ada kekhawatiran bahwa kelambanan dalam menambal server yang rentan dapat berdampak serupa, atau lebih buruk, pada bisnis.
Berikut adalah semua yang perlu Anda ketahui tentang masalah keamanan pada Microsoft Exchange server dan paparan ESET seputar peretasan tersebut.
Apa yang terjadi?
Microsoft mengatakan kepada pakar keamanan bahwa perusahaan mereka telah mengetahui empat bug zero-day pada awal Januari.
Pada tanggal 2 Maret, Microsoft merilis tambalan untuk mengatasi empat kerentanan parah dalam perangkat lunak Microsoft Exchange Server. Pada saat itu, perusahaan mengatakan bahwa bug tersebut secara aktif dieksploitasi dalam serangan terbatas dan bertarget.
Microsoft Exchange Server adalah kotak masuk email, kalender, dan solusi kolaborasi. Pengguna berkisar dari perusahaan raksasa hingga bisnis kecil dan menengah di seluruh dunia.
Sementara perbaikan telah dikeluarkan, cakupan potensi gangguan Server Exchange bergantung pada kecepatan dan penggunaan patch dan jumlah korban diperkirakan terus bertambah.
Kerentanan dan mengapa itu penting?
Kerentanan kritis berdampak pada Exchange Server 2013, Exchange Server 2016, dan Exchange Server 2019 lokal. Namun, Exchange Online tidak terpengaruh.
-
- CVE-2021-26855: CVSS 9.1: kerentanan Server Side Request Forgery (SSRF) yang menyebabkan permintaan HTTP buatan dikirim oleh peretas yang tidak diautentikasi. Server harus dapat menerima koneksi tidak tepercaya melalui port 443 agar bug dapat dipicu.
-
- CVE-2021-26857: CVSS 7.8: kerentanan deserialisasi yang tidak aman di Exchange Unified Messaging Service, yang memungkinkan penerapan kode arbitrer di bawah SYSTEM. Namun, kerentanan ini perlu digabungkan dengan yang lain atau kredensial yang dicuri harus digunakan.
-
- CVE-2021-26858: CVSS 7.8: kerentanan penulisan file arbitrer pasca-otentikasi untuk menulis ke jalur.
-
- CVE-2021-27065: CVSS 7.8: kerentanan penulisan file arbitrer pasca-otentikasi untuk menulis ke jalur.
Jika digunakan dalam rantai serangan, semua kerentanan ini dapat menyebabkan Remote Code Execution (RCE), pembajakan server, backdoor, pencurian data, dan kemungkinan penyebaran malware lebih lanjut.
Singkatnya, Microsoft mengatakan bahwa pelaku mengamankan akses ke Server Exchange baik melalui bug ini atau kredensial yang dicuri dan mereka kemudian dapat membuat shell web untuk membajak sistem dan menjalankan perintah dari jarak jauh.
Kerentanan ini digunakan sebagai bagian dari rantai serangan. Serangan awal memerlukan kemampuan untuk membuat sambungan tidak tepercaya ke server Exchange port 443. Ini dapat dilindungi dengan membatasi koneksi tidak tepercaya, atau dengan menyiapkan VPN untuk memisahkan server Exchange dari akses eksternal.
Menggunakan mitigasi ini hanya akan melindungi dari bagian awal serangan, bagian lain dari rantai dapat dipicu jika pelaku sudah memiliki akses atau dapat meyakinkan administrator untuk menjalankan file berbahaya.
Telemetri ESET
Menurut telemetri ESET, setidaknya satu dari kerentanan sedang ditargetkan oleh beberapa kelompok spionase dunia maya, seperti LuckyMouse juga dikenal sebagai Emissary Panda atau APT27, serta Tick dan Calypso.
Cacat tersebut, diindeks sebagai CVE-2021-26855, adalah kerentanan pemalsuan permintaan sisi server yang memungkinkan pelaku mengirim permintaan arbitrary HTTP dan mengautentikasi mereka sebagai server Exchange.
Sementara sebagian besar serangan telah diamati terhadap server yang berlokasi di Amerika Serikat, grup APT telah menargetkan server pemerintah, firma hukum, dan perusahaan swasta di bagian lain dunia, khususnya Jerman.
Hafnium
Microsoft mengatakan bahwa serangan yang menggunakan kelemahan zero-day telah ditelusuri kembali ke Hafnium.
Hafnium adalah grup Advanced Persistent Ancaman (APT) yang disponsori negara dari Tiongkok yang digambarkan sebagai aktor yang sangat terampil dan canggih.
Meskipun Hafnium berasal dari Tiongkok, grup tersebut menggunakan web server pribadi virtual (VPS) yang berlokasi di AS untuk mencoba dan menyembunyikan lokasi aslinya. Entitas yang sebelumnya ditargetkan oleh grup ini termasuk lembaga think tank, nirlaba, kontraktor pertahanan, dan peneliti.
