Cyberthreat.id – Microsoft menerbitkan panduan untuk memperbaiki kerentanan “ProxyShell” pada aplikasi Microsoft Exchange Server yang aktif dieksploitasi peretas.

ProxyShell merupakan tiga kerentanan yang ditambal pada April dan Mei lalu yang mempengaruhi Microsoft Exchange Server. Kerentanan ini ditemukan oleh peneliti keamanan Devcore, Orange Tsai, saat kontes peretasan Pwn2Own 2021.

Tiga kerentanan tersebut, antara lain: CVE-2021-34473 berupa pre-auth confusion yang mengarah ke ACL Bypass yang ditambal pada April lalu dengan KB5001779.

Lalu, CVE-2021-34523 berupa peningkatan hak istimewa pada backend “Exchange PowerShell” yang ditambal pada April dengan KB5001779 dan CVE-2021-31207 berupa posth-auth abritrary-file-write yang mengarah pada eksekusi kode jarak jauh (remote code execution/RCE).

Meski sepenuhnya menambal bug tersebut pada Mei lalu, sampai Juli lalu Microsoft tidak menetapkan kode atau identitas CVE untuk kerentanan. Padahal, dengan pengumuman CVE, organisasi yang memakai Exchange Server rentan bisa mencegah eksploitasi di alam liar oleh peretas, tulis BleepingComputer, diakses Kamis (26 Agustus 2021).

"Pekan lalu, peneliti keamanan membahas beberapa kerentanan ProxyShell, termasuk yang mungkin dieksploitasi pada peladen Exchange yang belum ditambal untuk menyebarkan ransomware atau melakukan aktivitas pasca-eksploitasi lainnya," kata tim internal Exchange.

"Jika Anda telah menginstal pembaruan keamanan Mei 2021 atau pembaruan keamanan Juli 2021 di peladen Exchange Anda, maka Anda dilindungi dari kerentanan ini. Pelanggan Exchange Online juga dilindungi (tetapi harus memastikan bahwa semua peladen Exchange hibrida diperbarui)."

Microsoft mengatakan bahwa pelanggan harus menginstal setidaknya satu dari pembaruan kumulatif terbaru yang didukung dan semua pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Sebelumnya sejumlah peneliti keamanan siber juga Badan Keamanan Siber dan Infrastruktur (CISA) AS telah memperingatkan pengguna Microsoft Exchange Server untuk segera menambal bug lantaran adanya aktivitas yang terindikasi mengeksploitasinya pada awal Agustus lalu.

Pada Maret lalu, Exchange Server juga menjadi target serangan yang diduga oleh peretas China. Serangan ini berimbas ke puluhan ribu organisasi di sejumlah negara. Peretas mengeksploitasi kerentanan zero-day yang secara kolektif dijuluki “ProxyLogon”.

Seperti yang terjadi pada Maret, peretas sekarang memindai dan meretas peladen Microsoft Exchange menggunakan kerentanan ProxyShell.

Ransomware

Pada awalnya, muatan ProxyShell yang dijatuhkan di peladen Exchange tidak berbahaya, tapi penyerang sekarang menyebarkan muatan ransomware “LockFile” yang dikirimkan ke seluruh domain Windows yang diretas melalui eksploitasi Windows PetitPotam.

Untuk mengetahui skala masalah itu, firma keamanan Huntress Labs baru-baru ini mengatakan telah menemukan lebih dari 140 web shell yang disebarkan oleh penyerang di lebih dari 1.900 peladen Microsoft Exchange yang disusupi pada Jumat pekan lalu.

Shodan, perusahaan mesin pencari, juga melacak puluhan ribu peladen Exchange yang rentan terhadap serangan ProxyShell, sebagian besar berlokasi di AS dan Jerman

"Lonjakan baru dalam eksploitasi peladen Microsoft Exchange sedang berlangsung. Anda harus memastikan (sistem) Anda ditambal dan memantau jika Anda sedang meng-hosting sebuah instance,” ujar Direktur Keamanan Siber NSA Rob Joyce akhir pekan lalu.

Menurut Microsoft, peladen Exchange rentan jika salah satu dari kondisi berikut ini benar:

• Server menjalankan pembaruan kumulatif yang lebih lama dan tidak didukung;
• Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
• Server menjalankan pembaruan kumulatif yang lebih lama dan tidak didukung mitigasi satu klik Exchange On-premises Mitigation Tool (EOMT) yang telah diterapkan Maret 2021.[]