KOMPAS.com – Microsoft mengonfirmasi adanya dua kerentanan zero-day yang belum lama ini dilaporkan tersembunyi di Microsoft Exchange Server 2013, 2016, dan 2019.
Microsoft Exchange Server merupakan software pengatur pesan dan kolaborasi yang digunakan oleh berbagai perusahaan untuk mengintegrasikan pesan seperti e-mail dengan kalender dan lainnya.
Kerentanan pertama diidentifikasi sebagai CVE-2022-41040, yaitu celah terkait Server-Side Request Forgery (SSRF).
“Kerentanan kedua diidentifikasi sebagai CVE-2022-41082 yang memungkinkan eksekusi dari jarak jauh (RCE) ketika PowerShell diakses oleh penyerang,” kata Microsoft.
Baca juga: Mozilla Merasa Dianaktirikan Apple, Google, dan Microsoft
Menurut Microsoft, bug CVE-2022-41040 hanya dapat dieksploitasi oleh penyerang yang terautentikasi. Setelah mengeksploitasi celah tersebut, mereka kemudian bisa memicu kerentanan lain, yaitu CVE-2022-41082 RCE.
Terlepas dari adanya serangan ini, perusahaan menyarankan pelanggan Exchange Online agar tetap tenang tanpa perlu bertindak apapun, karena Microsoft mengeklaim pihaknya memiliki sistem deteksi dan mitigasi untuk melindungi pelanggan.
“Microsoft juga memantau deteksi yang sudah diterapkan untuk aktivitas jahat dan akan bertindak sesuai kebutuhan untuk melindungi pelanggan. Kami sedang bergegas merilis perbaikan,” demikian klaim Microsoft.
Kerentanan zero-day pada Microsoft Exchange Server awalnya dilaporkan oleh perusahaan keamanan siber Vietnam, GTSC. GTSC menduga bahwa pihak di balik serangan ini adalah kelompok hacker asal China.
Klaim ini didasarkan pada temuan di halaman kode shell web, yaitu set karakter Microsoft untuk menyederhanakan bahasa China.
Kelompok hacker itu juga disebut menggunakan tool Antsword China untuk mengelola web shell.
Baca juga: Microsoft Teams Kini Bisa Tampilkan Transkrip Terjemahan secara Real-Time
Untuk itu, Microsoft menyarankan pelanggan Microsoft Exchange lokal untuk meninjau dan menerapkan Instruksi Penulisan Ulang (Rewrite) URL dan memblokir port Remote PowerShell.
Sebagai upaya mitigasi, Micorosft juga menyarankan pelanggan untuk memblokir serangan dengan pengaturan berikut: IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions. Rincian tahapannya sebagai berikut:
- Buka menu IIS Manager
- Pilih Default Web Site
- Pilih Autodiscover
- Klik URL Rewrite yang ada pada Feature View
- Dari panel Actions, klik menu Add Rules
- Pilih Request Blocking dan klik OK
- Tambahkan String “.*autodiscover\.json.*\@.*Powershell.*” (tanpa tanda kutip), klik OK.
- Selain String, pilih juga pengaturan dengan Pattern “.*autodiscover\.json.*\@.*Powershell.*”, klik Edit under Conditions.
- Ubah input kondisi dari {URL} menjadi {REQUEST_URI}
Microsoft juga menyarankan admin untuk memblokir port Remote PowerShell HTTP: 5985 dan HTTPS: 5986 untuk mencegah serangan ini, sebagaimana dihimpun KompasTekno dari Bleeping Computer, Minggu (2/10/2022).