Taktik Pintar Ala Hacker Taklukkan Microsoft Exchange, Begini Penjelasannya!

Microsoft Exchange Server Diretas

Microsoft Exchange Diretas - Berita tentang peretasan Microsoft Exchange yang memengaruhi ratusan ribu organisasi global sebagian besar tidak diketahui dan ini baru saja terjadi pada tanggal 3 Maret lalu. Akibatnya, beberapa layanan dari Microsoft mengalami sedikit gangguan terutama pada Exchange Server Mail.

Pada 3 Maret, perusahaan raksasa Microsoft mengumumkan dalang dibalik penyerangan server Exchange yang mereka miliki dan hasil penelitian ditemukan bahwa kelompok hacker tersebut bernama Hafnium yang diduga disponsori negara China. Tim Microsoft mengatakan bahwa kelompok hacker ini meninggalkan jejaknya berupa webshell, sebagai alat yang membantu mereka mengakses sistem jarak jauh.

Menurut penelitian yang dilakukan, serangan itu berdampak pada ratusan ribu organisasi global terutama 30.000 organisasi di AS. Bahkan para ahli juga mengatakan itu bisa "1000 kali lebih berbahaya yang melumpuhkan sistem korban" dibanding serangan ke SolarWinds yang pernah dipublikasikan secara publik.

Kelompok hacker Hafnium sendiri sudah sangat terkenal dalam melakukan peretasan yang menargetkan perusahaan global ternama. Penargetan yang ia incar adalah data-data penting dari perusahaan, lembaga pendidikan, organisasi non-pemerintah dan masih banyak lagi.

Exploitasi yang dilakukan oleh Hafnium menggunakan framework Covenant untuk perintah dan kontrol server jarak jauh. Data curian yang berhasil didapat kelompok Hafnium mereka tempatkan di salah satu penyedia penyimpanan data secara online yakni Mega.nz. Dalam aksinya, Microsoft mengetahui bahwa Hafnium menggunakan Virtual Private Server (VPS) yang menggunakan server di AS.

Tim Microsoft saat itu juga telah bergerak cepat untuk mengatasi permasalahan ini dan pelanggan yang terpengaruhi untuk diminta melakukan pembaruan sistem lokal. Kerentanan yang berhasil di exploitasi tercatat sebagai CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065.

Berikut ini adalah lokasi path yang terpengaruhi webshell berbahaya dari Hafnium :
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\8Lw7tAhF9i1pJnRo.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\OutlookZH.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\authhead.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\bob.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\current\\one1.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\errorPage.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\errorPages.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\fatal-erro.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\log.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\logg.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\logout.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\one.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\one1.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\shel.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\shel2.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\shel90.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\a.aspx
  • C:\\Program Files\\Microsoft\\Exchange Server\\V15\\FrontEnd\\HttpProxy\\owa\\auth\\default.aspx
  • C:\\inetpub\\wwwroot\\aspnet_client\\shell.aspx
  • C:\\inetpub\\wwwroot\\aspnet_client\\shell.aspx
  • C:\\inetpub\\wwwroot\\aspnet_client\\system_web\\log.aspx
  • C:\\inetpub\\wwwroot\\aspnet_client\\HttpProxy.aspx
  • C:\\inetpub\\wwwroot\\aspnet_client\\OutlookEN.aspx
"Serangan ini menggarisbawahi betapa rentannya bahkan organisasi atau individu yang paling aman sekalipun saat menjadi sasaran penjahat dunia maya yang terampil," kata Marcin Klecyznski, CEO Malwarebytes.

Kelvin Coleman, direktur eksekutif di National Cyber Security Alliance, mengatakan para ahli keamanan masih tidak yakin dengan motivasi peretas, dan apakah insiden itu mungkin merupakan "uji coba" untuk serangan yang lebih besar - yang membuat melindungi akun pengguna dengan kata sandi yang berkualitas. dan otentikasi multi-faktor sangat penting.

Untuk mencegah terjadinya serangan lanjutan, Microsoft telah merilis perbaikan sementara melalui laman GitHub resmi mereka.

Posting Komentar

0 Komentar