Microsoft SharePoint Temukan Celah Serius – Rekomendasi Darurat
KAPSUL4D 22 Juli 2025 – Microsoft sedang menghadapi segala eksposur besar untuk vulnerabilitas zero-day kritis pada server SharePoint versi on-premise (bukan SharePoint Online/Office 365). Celah ini telah dieksploitasi secara aktif sejak pertengahan Juli oleh kelompok peretas dalam kampanye bernama ToolShell.
CVE-2025-53770: Pemicu Eksekusi Kode Tanpa Otentikasi
- Bentuk baru dari kerentanan sebelumnya, CVE-2025-49704 dan CVE-2025-49706, yang dapat digabung (exploit chain) untuk mencapai remote code execution tanpa perlu login.
- Diberi skor CVSS 9.8 oleh Microsoft, menunjukkan risiko sangat tinggi. Celah ini memanfaatkan proses deserialisasi data tak tepercaya.
- Versi terdampak: SharePoint Server 2016, 2019, dan Subscription Edition (on-prem only). SharePoint Online (cloud) tidak terdampak.
Ekploitasi Aktif & Dampak Serius
- Lebih dari 75 organisasi global telah terkena dampak, termasuk lembaga pemerintah, perusahaan energi, universitas, dan operator telekomunikasi.
- Peretas menggunakan file ASPX hidden bernama
spinstall0.aspxuntuk mencuri kunci kriptografi dari SharePoint—besarannya termasuk ValidationKey dan DecryptionKey, memungkinkan mereka menjaga akses bahkan setelah patch diterapkan. - CISA telah memasukkan CVE-2025-53770 ke dalam Known Exploited Vulnerabilities Catalog dan menetapkan batas penanganan darurat bagi lembaga AS hingga 21 Juli 2025.
Mitigasi Kritikal: Langkah Keamanan Mendesak
- Patch darurat: Microsoft telah merilis pembaruan untuk SharePoint 2019 dan Subscription Edition per 21 Juli. Patch untuk SharePoint 2016 menyusul segera.
- Aktifkan AMSI (Antimalware Scan Interface) ditambah Microsoft Defender Antivirus di semua server SharePoint. Ini penting untuk memblokir serangan deserialisasi.
- Jika AMSI tidak mungkin diaktifkan, segera putus koneksi server SharePoint dari internet sampai patch diterapkan.
- Rotasi ulang semua machine key ASP.NET di SharePoint setelah patch atau mitigasi diterapkan—penting karena kunci lama bisa disalahgunakan meskipun sudah ditambal.
- Gunakan Microsoft Defender for Endpoint atau solusi EDR setara untuk mendeteksi aktivitas post-exploit seperti pembuatan
spinstall0.aspxatau proses w3wp.exe yang mencurigakan. - Tambahkan aturan WAF atau IPS untuk memblokir pola serangan seperti request ke
/_layouts/15/ToolPane.aspx?DisplayMode=Edit. - Audit log sistem dan jalankan advanced hunting queries untuk mencari indikasi kompromi—terutama file
spinstall0.aspxdan aktivitas abnormal dari SharePoint server.
Anjuran Ahli & Risiko Jangka Panjang
- Menurut pakar CISA dan Mandiant, ini bukan skenario apply patch lalu selesai. Organisasi harus menganggap server mungkin telah dikompromikan sebelum patch diterapkan dan melakukan investigasi menyeluruh.
- Charles Carmakal, CTO Mandiant, menyebut tindakan ini sebagai “darurat unik”—paket mitigasi & respon insiden wajib dilakukan secepat mungkin.
Ringkasan Cepat
| Aspek | Detail |
|---|---|
| Celah kritis | CVE-2025-53770 (RCE tanpa autentikasi via deserialization) |
| Aktif dieksploitasi oleh | ToolShell campaign, lebih dari 75 organisasi terdampak |
| Sistem terdampak | SharePoint Server on‑prem 2016, 2019, Subscription Edition |
| Tindakan mitigasi darurat | Patch, aktifkan AMSI & Defender AV, rotasi kunci, blokir WAF, isolasi server jika perlu |
| Penegasan CISA | Termasuk dalam KEV, wajib dipatch oleh lembaga federal USA pada 21 Juli 2025 |
Celah SharePoint ini adalah skenario darurat keamanan siber. Jika organisasi Anda menjalankan SharePoint on-prem, bertindaklah sekarang juga:
- Terapkan patch segera setelah tersedia
- Aktifkan AMSI & Defender Antivirus
- Rotasi machine key ASP.NET
- Audit sistem untuk indikasi kompromi
- Siapkan tim insiden untuk penanganan lebih lanjut
🚫 Mengabaikan ancaman ini berarti memberikan akses penuh kepada penyerang ke seluruh data dan konfigurasi SharePoint bahkan setelah patch dipasang.
Link Anti Internet Positif : www.ruangmasuk.com
Whatsapp Resmi Kapsul4D : kapsul4d.link/Whatsapp
About the Author
