Di dalam Pelanggaran SharePoint: Mengapa Kegagalan Keamanan Microsoft Meninggalkan Agen
Peretas yang didukung Cina telah mengeksploitasi kerentanan server SharePoint yang parah dan dilaporkan telah meretas ratusan sistem di seluruh dunia.
Kerentanan, yang digali pada awal Juli, berkaitan dengan konfigurasi SharePoint di tempat dan memungkinkan penyerang untuk menjalankan perintah jarak jauh tanpa memberikan kredensial yang sah.
Sebelum Microsoft menyiapkan tambalan, cacat sudah dipersenjatai. Lebih dari 400 organisasi, seperti departemen pemerintah terkemuka dan perusahaan internasional, terpukul. Para pejabat mengatakan bahwa istirahat terjadi dengan cepat, mengambil keuntungan dari lubang keamanan sebelum sebagian besar pelanggan dapat bertindak.
Badan Nuklir AS di antara target utama
Di antara sistem yang dikompromikan adalah yang digunakan oleh lembaga pemerintah AS yang sensitif, termasuk Departemen Keamanan Dalam Negeri dan Departemen Energi, yang bertanggung jawab atas senjata nuklir negara. Meskipun tidak ada informasi rahasia yang telah diverifikasi sebagai dicuri, tingkat akses yang dicapai oleh para penyerang telah menyebabkan kekhawatiran serius.
Pejabat menjelaskan bahwa server SharePoint memegang dokumen internal, data karyawan, dan informasi proyek. Akses ke sistem tersebut – tidak peduli seberapa sementara – mewakili ancaman keamanan nasional yang signifikan.
Kelompok berlisensi Cina mempelopori serangan itu
Microsoft telah mengidentifikasi serangan cyber pada tiga kelompok ancaman persisten canggih (APT). Dua di antaranya-'topan linen' dan 'topan violet'-dilaporkan dikaitkan dengan kegiatan yang disponsori negara Cina. Grup ketiga, yang bernama 'Storm-2603,' memiliki sejarah menggunakan ransomware.
Aktor-aktor ini memanfaatkan kerentanan SharePoint untuk mengeluarkan kredensial, memberikan backdoors, dan membangun kegigihan jangka panjang dalam jaringan. Investigasi Microsoft mengungkap bahwa salah satu kelompok bahkan menanam varian ransomware segar bernama 'Warlock,' yang menunjukkan bahwa kelompok memiliki motif ganda untuk memata -matai dan remunerasi keuangan.
Sistem peringatan dini Microsoft di bawah pengawasan
Kebocoran telah memicu kekhawatiran atas prosedur pengungkapan kerentanan Microsoft. Perusahaan menjalankan skema yang dikenal sebagai MAPP (Program Perlindungan Aktif Microsoft), yang memaparkan informasi awal tentang kerentanan kepada sejumlah mitra yang terbatas untuk memungkinkan mereka mengembangkan pertahanan.
Sekarang, Microsoft sedang menyelidiki apakah salah satu mitra tersebut mengungkapkan rincian kerentanan SharePoint. Jika demikian, itu akan menjelaskan seberapa cepat penyerang membangun alat mereka, beberapa hari sebelum perbaikan publik tersedia. Program MAPP sedang ditinjau secara internal sekarang.
Patch diterbitkan, tetapi penyerang tetap di depan
Microsoft merilis perbaikan darurat pada 19 dan 22 Juli. Namun, laporan menunjukkan bahwa penyerang telah merekayasa balik tambalan dan mulai mengeksploitasi sistem sebelum mereka dapat ditambal.
Dalam beberapa kasus, sistem yang ditambal juga tidak aman. Peretas menggunakan kunci mesin curian untuk menyamar sebagai pengguna dan mekanisme otentikasi leapfrog. Pakar keamanan menunjukkan bahwa penyerang bertindak dengan cepat dan tepat, memanfaatkan peluncuran patch yang lamban dan pertahanan server yang lemah.
Sistem yang lebih tua lebih rentan
Pelanggaran saat ini telah membuat fokus satu masalah yang jauh lebih besar-terlalu banyak organisasi mengejar perangkat lunak lama di lokasi. Meskipun masih banyak digunakan, SharePoint Server jarang memiliki fasilitas pembaruan otomatis dan jenis perlindungan skala cloud yang ditawarkan oleh versi modern dari produk Microsoft.
Para ahli memperingatkan bahwa sistem warisan adalah target utama untuk kelompok peretasan yang dibiayai dengan baik. Di sini juga, para penyerang menemukan masuk yang sangat mudah melalui infrastruktur yang sudah ketinggalan zaman. Sebagian besar organisasi yang ditargetkan tidak ada di SharePoint Online, yang tidak rentan terhadap kerentanan tertentu.
Anggota parlemen, ahli menuntut akuntabilitas
Insiden itu telah membangkitkan kritik keras terhadap catatan keamanan Microsoft. Anggota parlemen di AS dan Eropa sekarang menyerukan lebih banyak transparansi dan pengawasan. Ini bukan kesalahan langkah keamanan besar pertama Microsoft. Pada tahun 2021, Grup Hafnium mengeksploitasi kerentanan server pertukaran untuk melanggar ribuan sistem. Pada tahun 2023, aktor Cina melanggar akun email Departemen Luar Negeri AS.
Para kritikus berpendapat Microsoft telah memprioritaskan pertumbuhan produk dan integrasi daripada keamanan siber, terutama untuk alat yang lebih lama yang masih banyak digunakan oleh pemerintah dan perusahaan.
Seruan bangun untuk keamanan siber global
Serangan ini telah menunjukkan seberapa cepat para aktor ancaman akan memanfaatkan platform yang mapan. Pelanggaran SharePoint menunjukkan bahwa bahkan setelah tambalan telah digunakan, implementasi yang lambat dapat membiarkan sistem terbuka lebar. Ini juga menyoroti bagaimana akses awal ke informasi kerentanan dapat memberi keseimbangan yang mendukung para penyerang.
Microsoft telah mengeluarkan rekomendasi baru tentang cara mendeteksi dan melawan pelanggaran. Perusahaan ini menyarankan kunci mesin rotasi, berburu cangkang web, memeriksa log, dan memasang semua tambalan yang tersedia.
Ini adalah peringatan bagi komunitas teknologi dan kebijakan yang lebih luas bahwa harga tanggapan yang tertunda dan manajemen sistem warisan yang ceroboh hanya meningkat. Di dunia yang semakin ditentukan oleh ancaman digital, keamanan harus mendahului kenyamanan.