Penemu Bug Pertama Microsoft Exchange Adalah

logo-bug

Perusahaan Microsoft kini sedang menyelidiki permasalahan tentang bug di Microsoft Exchange. Pihaknya memeriksa peneliti keamanan dari Taiwan yang diklaim sebagai penemu kerentanan pertama di Microsoft Exchange dan kasusnya merembet kepada penyebaran ransomware DearCry. Informasi ini diberitahu oleh orang yang mengetahui penyelidikan tersebut.

Penemu bugnya yaitu DEVCORE, sebuah perusahaan yang berbasis di Taipei, Taiwan yang berspesialis dalam menemukan kerentanan pada website dan pada bulan Desember, ia mengklaim berhasil menemukan bug yang mempengaruhi perangkat lunak email bisnis Microsoft Exchange yang banyak digunakan oleh perusahaan global. Kemudian pada akhir Februari, Microsoft memberi balasan kepada DEVCORE bahwa timnya sedang memperbaiki masalah tersebut.

Sebelumnya, Microsoft memang telah memperbaiki celah keamanan ini, tetapi tidak diberitahukan ke DEVCORE mungkin untuk menjaga integritas data clientnya. Tetapi, peretas terus melakukan aktivitas serangan massive di jaringan server Microsoft Exchange yang terhubung ke internet, menurut analisis keamanan dari Palo Alto Networks.

Menurut laporan yang disampaikan Bloomberg, Microsoft saat ini terus mengembangkan permasalahan apakah laporan yang dibagikan dengan mitra tersebut telah memicu serangan awal. Namun pada kasus ini, Microsoft hanya memfokuskan penelitian yang diberikan oleh DEVCORE, karena ia adalah penemu bug pertama di email bisnis Microsoft Exchange.

Seorang juru bicara Microsoft mengonfirmasi penyelidikan tersebut, tetapi tidak berkomentar apakah peran DEVCORE sedang dalam pengawasan.

"Kami sedang melihat apa yang mungkin menyebabkan lonjakan aktivitas berbahaya dan belum menarik kesimpulan apa pun," kata juru bicara itu. “Kami belum melihat indikasi kebocoran dari Microsoft terkait serangan ini.”

Bowen Hsu, manajer proyek senior di DEVCORE, mengatakan dalam email bahwa perusahaan tidak menemukan tanda-tanda keamanannya dibobol.

"DEVCORE segera meluncurkan penyelidikan internal pada 3 Maret untuk memverifikasi apakah tim telah diretas atau informasi apa pun telah bocor dari pihak kami," kata Hsu. “Kami telah melakukan penyelidikan menyeluruh terhadap semua komputer / perangkat pribadi yang dimiliki oleh karyawan kami, serta infrastruktur dan sistem internal kami; tidak ada tanda-tanda bahwa perangkat dan sistem kami telah diretas. Selain itu, kami telah menyelidiki sistem internal kami dan tidak menemukan upaya masuk atau akses file yang tidak biasa.”

Beberapa dari kekurangan tersebut telah dieksploitasi oleh para tersangka peretas yang disponsori negara China dan kelompok spionase dunia maya lainnya yang tidak dikenal, yang telah menerobos lebih dari 60.000 server di seluruh dunia dalam salah satu peretasan terbesar dan paling merusak dalam ingatan baru-baru ini. Dalam beberapa kasus, korban yang masih belum menginstal Microsoft patch telah menjadi target ransomware.

Menurut DEVCORE, para peneliti menemukan dua kelemahan keamanan di server pertukaran dari 10 Desember hingga 30 Desember, dan menggunakannya untuk membuat bukti konsep "eksploitasi" yang dapat digunakan untuk membobol server dan mengakses email secara diam-diam. Perusahaan mengungkapkan penemuannya kepada Microsoft pada 5 Januari, dan Microsoft mulai mengerjakan tambalan untuk memperbaiki masalah.

Tetapi pada 3 Januari - dua hari sebelum pengungkapannya kepada Microsoft - peretas mulai menggunakan salah satu kelemahan keamanan yang sama yang ditemukan oleh DEVCORE untuk mendapatkan akses ke server pertukaran dan mencuri email, menurut para peneliti di perusahaan keamanan siber yang berbasis di Virginia, Volexity.

Pada akhir Februari, Microsoft memberi tahu DEVCORE bahwa mereka hampir siap untuk merilis patch keamanan. Pada hari yang sama, ada peningkatan aktivitas peretas, menurut peneliti keamanan di Palo Alto Networks Inc. Para peneliti Palo Alto Networks meninjau kode malware yang digunakan peretas untuk menembus server Microsoft Exchange dan membuat penemuan yang aneh. Beberapa jenis malware mengandung kata sandi, "oranye".

Peneliti di DEVCORE yang pertama kali menemukan kelemahan keamanan di server pertukaran dikenal dengan nama Orange Tsai. Di Twitter, Tsai menunjukkan bahwa exploit yang digunakan selama serangan Februari “terlihat sama” dengan yang dia buat sebagai bukti konsep dan DEVCORE melaporkannya ke Microsoft. Dia mengatakan dia telah melakukan hard-code kata sandi "oranye" ke dalam malware.

Penemuan oleh Palo Alto Networks dan Volexity membuat khawatir para peneliti di DEVCORE, karena temuan tersebut menunjukkan bahwa penelitian DEVCORE telah diperoleh secara diam-diam oleh para peretas, menurut seseorang yang mengetahui masalah tersebut.

Matthieu Faou, seorang peneliti malware di perusahaan keamanan siber Eropa ESET, mengatakan para peretas mungkin secara independen menemukan kerentanan yang sama di Microsoft Exchange. Skenario lain yang paling mungkin, tambahnya, adalah bahwa peretas "entah bagaimana memperoleh informasi dari DEVCORE atau dari mitra Microsoft."

Posting Komentar

0 Komentar