Cyberthreat.id – Lembaga pemerintah Chili, Comisión para el Mercado Financiero (CMF), baru-baru ini mengungkapkan ke publik bahwa server perangkat lunak emailnya, Microsoft Exchange Server, telah disusupi peretas melalui kerentanan yang sejak Januari lalu dieksploitasi secara aktif.

CMS adalah lembaga di bawah Kementerian Keuangan Chili yang menjadi regulator dan inspektur untuk lembaga keuangan dan perbankan di negara tersebut.

“Analisis yang dilakukan oleh divisi keamanan informasi dan teknologi CMF bersama dengan dukungan pihak eksternal, sejauh ini tidak menemukan adanya ransomware. Insiden tersebut terbatas pada platform Microsoft Exchange,” ujar CMF seperti dikutip dari BleepingComputer, Rabu (17 Maret 2021).

CMF mengatakan sedang menyelidiki pelanggaran tersebut lebih lanjut dan telah memberitahu insiden tersebut kepada Tim Respons Insiden Keamanan Komputer (CSIRT) dari Kementerian Keuangan Chili.

---

Baca: 

• Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server
• Parlemen Norwegia Terkena Serangan Siber Via Microsoft Exchange
• 60.000 Komputer di Jerman Miliki Kerentanan Microsoft Exchange Server

---

Untuk membantu profesional keamanan dan administrator Microsoft Exchange lainnya, CMF telah merilis indikasi peretasan (IOC) web shell dan file batch yang ditemukan di server mereka.

• 0b15c14d0f7c3986744e83c208429a78769587b5: error_page.aspx (China Chopper web shell)
• bcb42014b8dd9d9068f23c573887bf1d5c2fc00e: supp0rt.aspx (China Chopper web shell)
• 0aa3cda37ab80bbe30fa73a803c984b334d73894: test.bat (batch file to dump lsass.exe)

Dalam indikator peretasan akan memiliki bentuk “file hash” (file disamarkan) yang berbeda untuk setiap korban, tapi dalam banyak serangan, nama filenya sama.

---

Baca:

• Lembaga Keamanan Siber Inggris Sebut 2.300 Mesin Terdampak Peretasan Microsoft Exchange
• Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server
• Geng Ransomware DearCry Eksploitasi Kerentanan Microsoft Exchange Server

---

Web shell (kode-kode perintah untuk mengeksekusi file tertentu) yang menggunakan nama “error_page.asp” dan “supp0rt.aspx” telah digunakan dalam banyak serangan ke Microsoft Exchange Server, dan sebagian besar, identik dengan hanya sedikit perubahan.

Pada 2 Maret lalu, Microsoft memperingatkan tentang eksploitasi aktif atas empat kerentanan oleh kelompok peretas China bernama “Hafnium”. Microsoft pun mendesak pelanggan untuk memperbarui Microsoft Exchange Server secepat mungkin karena kerentanan masuk kategori kritis. 

Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.

Berikut informasi empat kerentanan yang dimaksud Microsoft:

1. CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
2. CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi Hafnium kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
3. CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
4. CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.[]