Sekitar 100 organisasi global menjadi korban serangan siber yang menyasar server SharePoint milik Microsoft pada akhir pekan lalu. Serangan ini mengeksploitasi kerentanan zero-day, yang membuat lebih dari 10.000 organisasi lain berisiko mengalami dampak serupa.
Peringatan resmi dikeluarkan oleh Microsoft pada Sabtu (19/7), menyusul ditemukannya aktivitas peretasan aktif terhadap SharePoint yang dihosting secara mandiri oleh organisasi.
Platform SharePoint sendiri umum digunakan untuk kolaborasi internal dan berbagi dokumen antar divisi dalam sebuah institusi. Microsoft menegaskan bahwa layanan SharePoint berbasis cloud miliknya tidak terpengaruh oleh serangan ini.
Perusahaan keamanan siber Eye Security menjadi pihak pertama yang mengungkap kampanye peretasan tersebut. Salah satu kliennya menjadi target serangan pada Jumat (18/7).
Menurut Chief Hacker Eye Security, Vaisha Bernard, pemindaian yang dilakukan bersama Shadowserver Foundation mengidentifikasi hampir 100 organisasi korban, sebelum eksploitasi ini diketahui secara luas.
“Siapa yang tahu apa yang telah dilakukan oleh aktor-aktor jahat lainnya sejak saat itu untuk memasang backdoor tambahan?” ujar Bernard, dikutip dari Reuters, Selasa (22/7).
Bernard enggan menyebut nama-nama organisasi terdampak, namun memastikan bahwa otoritas nasional terkait telah diberi tahu.
Potensi Bencana bagi Keamanan Global
Lembaga keamanan siber Censys dan Shadowserver Foundation membenarkan jumlah korban, dan mencatat bahwa sebagian besar berasal dari Amerika Serikat dan Jerman, termasuk beberapa instansi pemerintahan.
Celah keamanan pada SharePoint ini memungkinkan peretas untuk:
- Mengakses sistem file internal
- Mengubah konfigurasi server
- Menanamkan kode jahat
- Menguasai sistem sepenuhnya secara jarak jauh
“Ini adalah mimpi bagi operator ransomware. Banyak penyerang kemungkinan besar bekerja sepanjang akhir pekan,” ujar Censys, dikutip dari Engadget.
Google melalui Threat Intelligence Group turut mengonfirmasi bahwa kerentanan ini dapat memberikan akses tak terautentikasi yang bersifat persisten, dan bahkan bisa melewati tambalan keamanan di masa mendatang.
Dugaan Keterlibatan Aktor Asing
Sementara belum ada konfirmasi resmi soal pelaku, Google menyebut sebagian serangan ini diyakini terkait aktor ancaman siber yang berafiliasi dengan China (China-nexus).
Microsoft mengatakan telah menyediakan pembaruan keamanan untuk menanggulangi celah tersebut dan mendorong semua pelanggan untuk segera menginstalnya guna mencegah eskalasi lebih lanjut.
Serangan ini menjadikan infrastruktur digital organisasi, termasuk yang dikelola secara internal, rentan dieksploitasi jika tidak diperbarui secara rutin.
SharePoint yang selama ini menjadi tulang punggung kolaborasi internal justru kini menjadi celah paling berbahaya jika tak ditambal tepat waktu.