Serangan Siber Global Serang Server Microsoft SharePoint
Ringkasan Insiden
KAPSUL4D Mulai sekitar 7 Juli 2025, hacker yang terkait dengan pemerintah Tiongkok—termasuk kelompok Linen Typhoon, Violet Typhoon, dan Storm‑2603—aktif menyasar server SharePoint on‑premises, mengeksploitasi kerentanan kritikal untuk mencuri data dan mengendalikan sistem tanpa membutuhkan kredensial pengguna
Diperkirakan lebih dari 400 organisasi di Amerika Serikat, Eropa, dan Asia menjadi korban, termasuk lembaga strategis seperti National Nuclear Security Administration (NNSA) dan National Institutes of Health (NIH) di AS
Mata Rantai Serangan: ToolShell & CVE-2025-53770
Eksploitasi dimulai dari kerentanan CVE‑2025‑53770, turunan dari CVE-2025-49706, memungkinkan remote code execution (RCE) tanpa autentikasi via deserialisasi data tidak dipercaya. Skor CVSS‑nya mencapai 9.8 (Critical)
Skema serangan, dikenal sebagai ToolShell, memanfaatkan dua kerentanan utama:
- CVE‑2025‑49704 / 49706 (diperbaiki bulan Juli)
- CVE‑2025‑53771 (bypass patch sebelumnya)
Melalui exploit ini, penyerang mengunggah web shell (spinstall0.aspx) dan mencuri kunci kriptografi (Machine Key) — memungkinkan akses terus-menerus walaupun sistem sudah dipatch
Dampak & Sektor Terdampak
Target utama adalah entitas pemerintah, lembaga penelitian, LSM, institusi pendidikan, sektor kesehatan dan keuangan . Beberapa korban utama:
- NNSA: breach tanpa data klasifikasi bocor, beberapa server offline
- NIH: delapan server diterpa, satu kompromi dan dua upaya breach berhasil diblokir
- Organisasi di Swedia hingga Asia juga menjadi korban; MSB (sekuritas nasional Swedia) meminta tindakan mendesak
Kini kelompok juga melancarkan serangan ransomware, menggunakan varian Warlock untuk menuntut tebusan dari organisasi yang terinfeksi
Tanggapan & Tindakan Darurat
Microsoft merilis patch darurat untuk SharePoint Server Subscription Edition dan 2019 pada 20 Juli, diikuti update untuk SharePoint 2016 pada tanggal 22 Juli
CISA (USA) juga mengeluarkan peringatan dan mendesak semua organisasi yang belum update untuk segera menambal dan menerapkan mitigasi tambahan, termasuk penghapusan akses internet jika perlu
Panduan Tindakan untuk Organisasi
- Patch segera untuk SharePoint Servers 2019, 2016, dan Subscription Edition.
- Aktifkan AMSI dan Defender Antivirus, serta deploy Defender for Endpoint sebagai deteksi dan mitigasi lanjutan
- Putus koneksi internet dari server SharePoint jika patch belum tersedia.
- Rotasi Machine Key ASP.NET untuk menghindari persistensi akses oleh penyerang.
- Periksa file mencurigakan seperti
spinstall0.aspxdi direktori layouts - Asumsikan sistem sudah terkompromi jika server connected saat serangan berlangsung; lakukan investigasi penuh oleh tim IR.
Serangan ini mencerminkan eskalasi penting dalam ancaman dunia siber global:
- Bukti eksploitasi cepat setelah vulnerability disclosure.
- Target paling sering adalah organisasi pemerintah dan lembaga riset.
- Keterkaitan antara celah keamanan, eksploitasi cepat, dan potensi ransomware menambah dampak serius terutama terhadap infrastruktur digital kritikal.
Link Anti Internet Positif : www.ruangmasuk.com
Whatsapp Resmi Kapsul4D : kapsul4d.link/Whatsapp
About the Author
