Cyberthreat.id – Tim Microsoft Exchange Server merilis skrip yang berfungsi untuk admin TI mengecek apakah sistem organisasi/perusahaan dalam kondisi rentan dari kelemahan (bug) yang baru-baru ini terungkap.

Dalam peringatan keamanan yang diterbitkan oleh Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat, Sabtu (6 Maret 2021), tim Microsoft telah menerbitkan skrip tersebut di situs web GitHub yang bisa dipakai untuk memeriksa status keamanan Exchange Server--perangkat lunak untuk mengelola email, kalender, kontak dan lain-lain.

Skrip telah tersebut diperbarui untuk menyertakan indikator peretasan (IOC) terkait dengan empat kerentanan zero-day (sebelumnya tidak diketahui) yang ditemukan pada Microsoft Exchange Server. Empat kerentanan itu dilabeli CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065.

Pada 2 Maret lalu, Microsoft memperingatkan tentang eksploitasi aktif atas bug itu oleh kelompok peretas China bernama “Hafnium”. Perusahaan mengatakan serangan itu tampaknya bersifat terbatas. (Baca: Microsoft Sebut Peretas China Targetkan Server Perangkat Lunaknya)

Microsoft pun mendesak pelanggan untuk memperbarui secepat mungkin karena kerentanan masuk kategori kritis. "Kami sangat mendorong semua pelanggan Exchange Server untuk segera menerapkan pembaruan ini," kata perusahaan seperti dikutip ZDNet, diakses Minggu (7 Maret 2021). (Untuk update perangkat lunak klik di sini)

Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.

Dalam analisisnya, perusahaan keamanan siber AS, Volexity, mengatakan, kerentanan CVE-2021-26855 digunakan untuk mencuri konten lengkap dari beberapa kotak surat pengguna. Bug tidak memerlukan otentikasi dan dapat dieksploitasi dari jarak jauh.

"Penyerang hanya perlu mengetahui server yang menjalankan Exchange dan akun dari mana mereka ingin mengekstrak email," kata Volexity.

Velocity mengatakan serangan tersebut diduga sejak 6 Januari 2021.

Hafnium terutama menargetkan entitas AS dalam penelitian penyakit menular, firma hukum, lembaga pendidikan tinggi, kontraktor pertahanan, thinktanks kebijakan, dan LSM, menurut Microsoft. Grup ini juga terutama beroperasi dari server pribadi virtual (VPS) yang disewa di Amerika Serikat..

Berikut informasi empat kerentanan yang dimaksud Microsoft:

1. CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
2. CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi Hafnium kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
3. CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
4. CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.[]