318.000 Server Microsoft Exchange Berhasil Diamankan dari Serangan Ransomware DearCry

microsoft-exchange-server-images

Hampir total 400.000 server Microsoft Exchange sebelumnya rawan diserang ransomware varian baru yang dijuluki sebagai DearCry, tetapi perlahan mulai berkurang karena sudah tersedia tambalan berdasarkan versi yang rentan. Bug tersebut diungkapkan secara publik pada 2 Maret, ketika raksasa teknologi yang berbasis di Redmond mengumumkan tidak hanya patch untuk mereka, tetapi juga fakta bahwa aktor ancaman China telah secara aktif mengeksploitasinya dalam serangan yang bertubi-tubi.

Pada tanggal 2 Maret, dunia diperkenalkan dengan empat kerentanan zero-day berbahaya yang mempengaruhi beberapa versi Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065). Bersamaan dengan mengungkap kerentanan ini, Microsoft menerbitkan pembaruan keamanan dan panduan teknis yang menekankan pentingnya penambalan segera, sementara secara bersamaan, Microsoft telah mendeteksi eksploitasi yang masih aktif dari aktor ancaman siber yang disponsori China yaitu Hafnium.

Selama minggu lalu, Microsoft merilis perbaikan tambahan untuk kerentanan ini, termasuk Security Update (SU) untuk versi Exchange Server yang lebih lama dan tidak didukung, atau Cummulative Update (CU), sebagaimana perusahaan menyebutnya.

Perusahaan juga mengungkapkan bahwa, sementara sebagian besar target berada di Amerika Serikat, serangan terhadap server di Eropa, Asia, dan Timur Tengah juga telah diidentifikasi. Serangan itu ditujukan pada organisasi pemerintah, firma hukum, fasilitas medis, dan perusahaan swasta.

“Serangan ini sangat parah karena setiap organisasi harus memiliki email, dan Microsoft Exchange digunakan secara luas. Server ini biasanya dapat diakses publik di internet terbuka dan dapat dieksploitasi dari jarak jauh. Kerentanan ini dapat dimanfaatkan untuk mendapatkan eksekusi kode jarak jauh dan sepenuhnya membahayakan target,” kata peneliti dari Huntress.

“Penelitian yang sedang berlangsung menggambarkan bahwa kerentanan ini digunakan oleh berbagai kelompok ancaman. Meskipun bukanlah hal baru bagi penyerang yang sangat terampil untuk memanfaatkan kerentanan baru di berbagai ekosistem produk, cara serangan ini dilakukan untuk melewati otentikasi - sehingga memberikan akses tidak sah ke email dan memungkinkan eksekusi kode jarak jauh (RCE) - sangat jahat,” menurut peneliti Palo Alto Networks.

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mengeluarkan peringatan (AA21-062A) tentang kerentanan ini, dan Departemen Keamanan Dalam Negeri (DHS) telah mengeluarkan arahan darurat yang mewajibkan lembaga untuk mencari indikator kompromi (IOC) dan melakukan penyelidikan forensik jika terjadi kompromi. telah diidentifikasi atau menerapkan patch yang tersedia di mana tidak ada IOC yang ditemukan.

"Untuk menggambarkan ruang lingkup serangan ini dan menunjukkan kemajuan yang dibuat dalam memperbarui sistem, kami telah bekerja dengan RiskIQ. Berdasarkan telemetri dari RiskIQ, kami melihat total hampir 400.000 server Exchange pada 1 Maret. Pada 9 Maret, ada lebih dari 100.000 server yang masih rentan. Jumlah itu terus menurun, dengan hanya sekitar 82.000 yang tersisa untuk diperbarui. Kami merilis satu set pembaruan tambahan pada 11 Maret, dan dengan ini, kami telah merilis pembaruan yang mencakup lebih dari 95% dari semua versi yang terekspos di Internet." kata Microsoft pada posting blognya.

"Kami terus memantau serangan canggih ini dengan cermat dan menerapkan luas dan mendalam teknologi kami, keahlian manusia, dan intelijen ancaman untuk mencegah, mendeteksi, dan merespons dengan lebih baik." Microsoft menambahkannya.

Amerika Serikat menjadi sasaran terbesar, terhitung 21% dari semua upaya eksploitasi, diikuti oleh Belanda dan Turki, keduanya sebesar 12%. Menurut Check Point, pemerintah / militer adalah sektor yang paling banyak menjadi sasaran (27%), diikuti oleh manufaktur (22%) dan perangkat lunak (9%).

Awal Mula Serangan Microsoft Exchange

Pada saat itu, serangan sudah muncul yang langsung menargetkan server Exchange. Volexity, sebuah perusahaan keamanan yang berbasis di AS, melaporkan serangan yang melibatkan kerentanan ProxyLogon paling cepat 3 Januari. Pada 2 Februari, perusahaan tersebut juga melaporkan kepada Microsoft informasi tentang serangan yang terjadi pada 6 Januari.

Secara bersamaan, sumber lain juga menemukan insiden ini yaitu dari Dubex, sebuah firma keamanan yang berbasis di Denmark, pertama kali mencatat eksploitasi aktif Microsoft Exchange UMWorkerProcess pada 18 Januari 2021. Kerentanan ini sekarang dikenal sebagai CVE-2021-26857. Itu digunakan oleh musuh untuk menginstal webshell di server rentan yang konsisten dengan serangan yang dicatat oleh Volexity. Telah dilaporkan bahwa Dubex memberi tahu Microsoft tentang temuannya pada 27 Januari, kurang dari 10 hari setelah penemuan awal.

Pada 27 Februari 2021, Microsoft memberitahu DevCore bahwa mereka hampir siap untuk merilis patch keamanan. Pada hari yang sama, komunitas keamanan siber mengamati peningkatan aktivitas webshell yang tidak biasa, dan selama dua hari berikutnya, bukti menunjukkan beberapa kelompok ancaman memulai aktivitas eksploitasi aktif. Selain itu, perusahaan keamanan dari ESET juga mengidentifikasi adanya kelompok peretas lain yang juga turut melakukan serangan ke server Microsoft Exchange seperti yang kami tulis di artikel lain. (10 Kelompok Hacker Exploitasi Server Exchange).

Posting Komentar

0 Komentar