Sedang Tambal Celah, Microsoft Exchange Server Diserang Bertubi-tubi

Penyerang cyber memanfaatkan proses mitigasi dan penambalan celah keamanan yang sedang berlangsung di Microsoft Exchange Server. 

 

Mereka menyerang dengan tingkat serangan berlipat ganda setiap beberapa jam.

 

Menurut Check Point Research (CPR), pelaku secara aktif mengeksploitasi empat kerentanan zero-day yang sedang ditangani dengan perbaikan darurat yang dirilis Microsoft pada 2 Maret lalu, dan upaya serangan terus meningkat.

 

Dikutip dari ZDNet, dalam 24 jam terakhir, tim telah mengamati upaya eksploitasi pada Microsoft Exchange Server yang berlipat ganda setiap dua hingga tiga jam.

 

Negara-negara yang merasakan dampak terbesar dari upaya penyerangan ini adalah Turki, Amerika Serikat, dan Italia, masing-masing menyumbang persentase 19%, 18%, dan 10% dari semua upaya eksploitasi yang terlacak. 

 

Pemerintahan, militer, manufaktur, dan layanan keuangan, saat ini menjadi industri yang paling diincar serangan tersebut.

 

CPR memperkirakan setidaknya 125.000 server tetap tidak tertambal di seluruh dunia. 

 

Kerentanan kritis (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) memengaruhi Exchange Server 2013, Exchange Server 2016, dan Exchange Server 2019.

 

Untuk mengatasi masa kritis ini, Microsoft merilis tambalan celah keamanan darurat untuk mengatasi kelemahan keamanan yang dapat dieksploitasi untuk pencurian data dan penyusupan server.

 

Informasi lain yang dirilis perusahaan software keamanan ESET mengungkapkan, setidaknya 10 grup APT telah dikaitkan dengan upaya eksploitasi Server Microsoft Exchange saat ini.

 

Pada 12 Maret, Microsoft mengatakan bahwa ransomware yang dikenal sebagai DearCry, saat ini memanfaatkan kerentanan server dalam serangan yang sedang menimpa salah satu layanannya.

 

Raksasa teknologi itu mengatakan, setelah kompromi awal dari Exchange Server di lokasi yang belum ditambal, ransomware menyerang pada sistem yang rentan. 

 

Situasi ini mengingatkan pada wabah WannaCry di tahun 2017.

 

"Server yang disusupi dapat memungkinkan penyerang mengekstrak email perusahaan Anda dan mengeksekusi kode berbahaya di dalam organisasi Anda dengan hak istimewa tinggi," komentar Lotem Finkelsteen, Manajer Intelijen Ancaman di CPR.

"Organisasi yang berisiko sebaiknya tidak hanya mengambil tindakan pencegahan di Exchange mereka, tetapi juga memindai jaringan mereka untuk mencari adanya ancaman langsung dan menilai semua aset," tutupnya.