Sebuah investigasi tengah dilakukan setelah kelompok peretas berhasil memanfaatkan celah keamanan pada perangkat lunak Microsoft untuk menyusup ke berbagai lembaga dan perusahaan di seluruh dunia pada akhir pekan lalu.
Amerika Serikat, Kanada, dan Australia bekerja sama dalam penyelidikan terkait bagaimana para peretas yang belum teridentifikasi ini menggunakan kelemahan pada perangkat lunak kolaborasi Microsoft SharePoint. Melalui celah ini, mereka berhasil mengakses sejumlah lembaga pemerintah Amerika, perusahaan energi, universitas, hingga sebuah perusahaan telekomunikasi di Asia.
Microsoft pada hari Sabtu menyatakan bahwa pihaknya “menyadari adanya serangan aktif yang menargetkan pelanggan SharePoint Server on-premises dengan mengeksploitasi kerentanan yang sebagian telah diperbaiki melalui pembaruan keamanan Juli.”
Tim dari perusahaan keamanan siber Eye Security menjadi yang pertama menemukan kelemahan tersebut pada hari Jumat. Mereka menjelaskan bahwa celah ini merupakan rantai kerentanan eksekusi kode jarak jauh di SharePoint yang baru ditemukan di lapangan. Dengan memanfaatkan celah ini, peretas dapat mengakses versi SharePoint yang rentan dan mencuri kunci yang memungkinkan mereka menyamar sebagai pengguna, bahkan setelah server diperbarui atau di-restart.
Akibatnya, peretas dapat mencuri kata sandi serta data sensitif lainnya dan menelusuri jaringan yang telah dibobol melalui layanan yang terhubung dengan SharePoint, seperti Outlook, Teams, dan OneDrive.
Server SharePoint sendiri biasa digunakan untuk berbagi dan mengelola dokumen. Microsoft telah merilis patch keamanan untuk SharePoint 2019 dan SharePoint Subscription Edition, namun untuk SharePoint 2016, pembaruan masih dalam proses pengembangan.
Serangan ini dikategorikan sebagai insiden “zero-day” karena memanfaatkan kerentanan yang sebelumnya belum diketahui. Dampaknya hanya terjadi pada server yang dioperasikan secara on-premises, tidak termasuk layanan cloud seperti Microsoft 365.
Dalam rilis resminya, Microsoft menyarankan pelanggan SharePoint Subscription Edition untuk “segera menerapkan pembaruan keamanan yang tercantum dalam CVE-2025-53771 demi mengurangi risiko kerentanan.” Sementara bagi pengguna SharePoint 2016 atau 2019, disarankan untuk menggunakan atau meningkatkan ke versi server SharePoint yang didukung, lalu menginstal pembaruan keamanan terbaru.
Microsoft juga memperingatkan bahwa peretas secara aktif menargetkan pelanggan perangkat lunak SharePoint miliknya. Para peneliti keamanan menyoroti bahwa risiko kebocoran data berskala global sangat mungkin terjadi akibat celah ini.
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) menegaskan bahwa kerentanan ini memungkinkan akses sistem tanpa autentikasi dan memberikan akses penuh terhadap konten SharePoint. Hal ini bisa dimanfaatkan peretas untuk menjalankan kode berbahaya di jaringan korban.
CISA menambahkan, meski dampak dan cakupan serangan masih dalam proses penilaian, mereka memperingatkan bahwa ancaman ini berpotensi besar membahayakan banyak organisasi.
Microsoft pada Minggu malam merilis perbaikan untuk dua versi perangkat lunak SharePoint, sementara versi 2016 masih rentan dan perusahaan mengatakan sedang mengembangkan patch.
Peneliti dari Palo Alto Networks memperkirakan bahwa aksi peretasan ini telah menjangkau ribuan organisasi di seluruh dunia. Mereka menegaskan, “Eksploitasi ini nyata terjadi dan menjadi ancaman serius.”
Dalam peringatannya pada Sabtu lalu, Microsoft menegaskan bahwa serangan ini hanya berdampak pada server SharePoint on-premises, bukan layanan cloud seperti Microsoft 365. SharePoint sendiri banyak digunakan perusahaan dan organisasi global untuk menyimpan serta berkolaborasi dokumen.
Celah keamanan ini sangat mengkhawatirkan karena memungkinkan peretas untuk menyamar sebagai pengguna atau layanan, bahkan setelah server SharePoint diperbaiki. Eye Security menegaskan bahwa mereka pertama kali mengidentifikasi kerentanan tersebut.
Server SharePoint yang terhubung dengan layanan lain seperti Outlook dan Teams membuat risiko pencurian data dan sandi menjadi lebih cepat menyebar, menurut tim Eye Security.
“Setelah berhasil masuk, mereka mengekstrak data sensitif, menanam backdoor, dan mencuri kunci kriptografi,” ujar Michael Sikorski, CTO Palo Alto Networks Unit 42. “Para penyerang sudah memanfaatkan kerentanan ini untuk menembus sistem dan mulai membangun pijakan mereka di dalam jaringan.”
