Pendahuluan: Ancaman Baru yang Mengancam Lingkungan SharePoint
Dalam dunia keamanan siber yang terus berkembang, munculnya kerentanan baru seperti CVE-2025-53770 dan CVE-2025-53771 menjadi peringatan serius bagi organisasi yang menggunakan Microsoft SharePoint Server on-premise. Kerentanan ini, dengan skor CVSS v3.1 sebesar 9,8 (kritis), memungkinkan penyerang tidak terotentikasi untuk menjalankan kode jarak jauh (RCE), mencuri kunci kriptografi, dan membangun backdoor persisten. Ditemukan pertama kali pada 18 Juli 2025 sebagai bagian dari rantai serangan “ToolShell”, kerentanan ini telah memengaruhi ratusan organisasi secara global, termasuk sektor pemerintahan, kesehatan, dan keuangan. Microsoft telah merilis patch darurat, dan Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah menambahkannya ke katalog Known Exploited Vulnerabilities (KEV), mewajibkan remediasi segera untuk agensi federal. Bagaimana organisasi dapat mendeteksi dan merespons ancaman ini? Artikel ini akan membahas detail kerentanan, dampaknya, dan solusi untuk melindungi lingkungan Anda.
Lebih dari 400 Organisasi Terkena Dampak secara Global
Laporan awal menunjukkan bahwa serangan skala besar ini mengkompromikan setidaknya 75 server perusahaan, termasuk korporasi besar dan agensi pemerintah AS. Namun, pemindaian lanjutan oleh Eye Security memperluas estimasi jumlah korban menjadi lebih dari 400 organisasi secara global. Para ahli dari Eye Security memperingatkan bahwa angka ini kemungkinan merupakan estimasi rendah, karena tidak semua metode serangan meninggalkan jejak yang mudah dideteksi. Hal ini berarti banyak organisasi mungkin telah dikompromikan tanpa disadari, sehingga diperlukan sikap “asumsi kompromi” untuk setiap server SharePoint yang terpapar ke internet.
Pemindaian Eye Security terhadap lebih dari 8.000 server SharePoint yang terhubung ke internet mengungkapkan bahwa ratusan di antaranya masih rentan. Bahkan instance SharePoint Server yang dikelola sendiri di lingkungan cloud seperti Azure, AWS, atau GCP rentan, dengan data menunjukkan bahwa 9% lingkungan cloud memiliki sumber daya yang menjalankan versi rentan. Volume upaya eksploitasi yang tinggi dibuktikan oleh Cloudflare, yang mengamati puncak sekitar 300.000 permintaan HTTP yang cocok dengan kerentanan ini sekitar 22 Juli, menandakan pemindaian dan eksploitasi otomatis yang luas secara global.
Sektor Industri yang Menjadi Sasaran
Kampanye ToolShell telah berdampak luas di berbagai sektor kritis secara global. Meskipun identitas entitas yang terkena dampak dirahasiakan, beberapa agensi pemerintah AS telah diidentifikasi secara publik. Sektor yang terpengaruh meliputi:
- Pemerintahan
- Kesehatan
- Keuangan dan perbankan
- Pendidikan, termasuk institusi akademik
- Manufaktur
- Penyedia energi
- Telekomunikasi di Asia
Penargetan yang konsisten terhadap sektor-sektor ini menunjukkan bahwa aktor ancaman melihat server SharePoint sebagai target bernilai tinggi. Platform ini biasanya menyimpan data sensitif seperti dokumen internal, kekayaan intelektual, dan catatan pasien, serta berfungsi sebagai pusat kolaborasi yang dapat menjadi gerbang ke akses jaringan yang lebih luas. Organisasi di sektor-sektor ini harus memprioritaskan keamanan SharePoint dan menerapkan mekanisme pertahanan yang kuat.
Penjelasan Ancaman: Apa Itu ToolShell?
CVE-2025-53770 adalah kerentanan RCE kritis yang berasal dari deserialisasi data tidak terpercaya di SharePoint. Ini merupakan bypass dari kerentanan sebelumnya yang telah dipatch, CVE-2025-49704, menunjukkan kemampuan penyerang untuk mengelak perbaikan awal. Rantai eksploitasi “ToolShell” menggabungkan CVE-2025-53770 dengan CVE-2025-53771, sebuah bypass otentikasi, untuk meningkatkan RCE menjadi RCE tidak terotentikasi. Penyerang hanya perlu mengirim permintaan POST yang berisi muatan serialisasi yang dieksekusi oleh server.
Setelah terotentikasi, penyerang menyebarkan file ASPX berbahaya (umumnya spinstall0.aspx) untuk mengekstrak kunci kriptografi sensitif (ValidationKey dan DecryptionKey) dari konfigurasi machineKey server. Dengan kunci curian ini, penyerang dapat memalsukan muatan __VIEWSTATE yang valid, memungkinkan eksekusi kode jarak jauh persisten meskipun web shell awal dihapus atau patch diterapkan.
Versi yang Terpengaruh: SharePoint Server 2016, 2019, dan Subscription Edition rentan. Bahkan SharePoint Server 2010 dan 2013 yang tidak didukung juga rentan. SharePoint Online (Microsoft 365) tidak terpengaruh, tetapi instance SharePoint yang dikelola sendiri di cloud tetap rentan.
Siapa Aktor Ancaman di Baliknya?
Analisis awal menghubungkan kampanye eksploitasi ToolShell dengan aktor ancaman berbasis di China. Konsultan Mandiant dari Google Cloud secara spesifik mengaitkan serangan awal dengan setidaknya satu kelompok nexus China. Microsoft mengaitkan eksploitasi ToolShell dengan tiga kelompok aktor ancaman berbasis China yang berbeda: Linen Typhoon, Violet Typhoon, dan Storm-2603. Linen Typhoon dan Violet Typhoon keduanya diidentifikasi sebagai kelompok Advanced Persistent Threat (APT) yang didukung negara, terutama fokus pada spionase dan pencurian kekayaan intelektual.
Strategi Deteksi dan Respons
Untuk mendeteksi dan merespons ancaman ini, organisasi perlu mengadopsi pendekatan yang komprehensif. Mengandalkan hanya pertahanan endpoint atau perimeter tidak cukup. ExtraHop RevealX menyediakan visibilitas kritis untuk mendeteksi dan merespons ancaman yang mungkin berasal dari atau melintasi lingkungan pihak ketiga.
ExtraHop RevealX menawarkan:
- Visibilitas Jaringan Komprehensif: Visibilitas tanpa agen di lingkungan hybrid dan multi-cloud, termasuk lalu lintas terenkripsi, memastikan tidak ada titik buta bagi penyerang.
- Deteksi Anomali Berbasis Perilaku: Menggunakan pembelajaran mesin lanjutan untuk mendeteksi perilaku anomali seperti pola akses tidak biasa, akses jarak jauh tak terduga, atau transfer data mencurigakan.
- Integrasi Intelijen Ancaman Real-Time: Mengkorelasikan aktivitas jaringan dengan intelijen ancaman untuk mendeteksi TTP yang diketahui dan indikator kompromi.
- Respons Insiden yang Dipercepat: Peringatan fidelitas tinggi dengan konteks jaringan kaya memungkinkan tim keamanan untuk memahami ruang lingkup intrusi dengan cepat dan mempercepat penahanan.
- Penangkapan Paket Berkelanjutan: Meningkatkan akurasi deteksi dengan wawasan tingkat paket yang tidak dapat diubah.
- Dekripsi Out-of-Band: Mengungkap penyalahgunaan kredensial dan eskalasi hak istimewa di jaringan tanpa memengaruhi performa.
- Pembelajaran Mesin Skala Cloud: Memanfaatkan kekuatan komputasi tak terbatas untuk deteksi berkualitas tinggi dengan lebih sedikit positif palsu.
Kata Penutup
Detail teknis eksploitasi, terutama bypass otentikasi melalui header Referer yang dipalsukan dan mekanisme persistensi “kunci emas” melalui kunci ValidationKey dan DecryptionKey yang dicuri, menunjukkan bahwa patching saja tidak cukup untuk remediasi lengkap. Organisasi harus mengadopsi postur keamanan proaktif yang mencakup patching segera, penerapan ketat kontrol keamanan yang direkomendasikan, dan rotasi kunci mesin ASP.NET SharePoint Server jika dicurigai paparan publik. Secara lebih luas, manajemen kerentanan yang kuat, pemantauan lalu lintas jaringan berkelanjutan untuk Indikator Kompromi, dan rencana respons insiden yang terlatih dengan baik sangat penting untuk menghadapi ancaman yang terus berkembang ini.
Lindungi organisasi Anda dari ancaman seperti CVE-2025-53770 dengan solusi deteksi dan respons lanjutan dari ExtraHop RevealX. Dengan visibilitas jaringan komprehensif, deteksi anomali berbasis AI, dan integrasi intelijen ancaman real-time, Anda dapat mendeteksi dan merespons eksploitasi sebelum menyebabkan kerusakan. Kunjungi situs extrahop.ilogoindonesia.com untuk mempelajari lebih lanjut tentang bagaimana RevealX dapat memperkuat pertahanan Anda terhadap ancaman zero-day. Mulailah mengimplementasikan strategi keamanan proaktif hari ini!
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan extrahop indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi extrahop.ilogoindonesia.id untuk informasi lebih lanjut!