Kemungkinan Kerentanan 0 Day Microsoft Exchange Menyebabkan Salah Satu Peretasan Terbesar Yang Pernah Terjadi Di Inggris

Nampaknya semakin jelas bahwa kerentanan Zero Day yang kritis yang tidak diperbaiki selama lebih dari sebulan dalam Microsoft Exchange adalah penyebab salah satu peretasan terbesar yang pernah terjadi di Inggris - peretasan terhadap Komisi Pemilihan negara itu, yang mengakibatkan data hingga 40 juta penduduk terbuka.

Pejabat Komisi Pemilihan mengungkapkan peretasan tersebut pada hari Selasa. Mereka mengatakan bahwa mereka menemukan intrusi tersebut pada bulan Oktober tahun lalu ketika mereka menemukan “aktivitas mencurigakan” di jaringan mereka dan bahwa “pelaku yang bermaksud jahat pertama kali mengakses sistem pada Agustus 2021.” Ini berarti para penyerang berada di jaringan selama 14 bulan sebelum akhirnya diusir. Komisi tersebut menunggu sembilan bulan setelah itu untuk memberi tahu publik.

Kompromi tersebut memberikan para penyerang akses ke berbagai informasi pribadi, termasuk nama dan alamat orang yang terdaftar untuk memilih dari tahun 2014 hingga 2022. Juru bicara Komisi mengatakan jumlah pemilih yang terpengaruh bisa mencapai 40 juta. Komisi tersebut belum mengungkapkan penyebab peretasan atau cara masuk awalnya.

Beberapa penyelidikan online yang dilakukan secara independen oleh wartawan TechCrunch, Zack Whittaker, dan peneliti Kevin Beaumont menunjukkan bahwa sepasang kerentanan kritis dalam Server Microsoft Exchange, yang digunakan oleh organisasi besar untuk mengelola akun email, adalah penyebabnya. Dilacak sebagai CVE-2022-41080 dan CVE-2022-41082, rantai eksekusi kode jarak jauh tersebut terungkap pada tanggal 30 September 2022, setelah sudah aktif dieksploitasi lebih dari sebulan dalam serangan yang menginstal webshell berbahaya pada server yang rentan. Microsoft mengeluarkan panduan untuk mengurangi ancaman tersebut tetapi tidak memperbaiki kerentanannya hingga tanggal 8 November, enam minggu setelah mengkonfirmasi adanya rantai kerentanan Zero Day yang dieksploitasi secara aktif. Dalam beberapa minggu setelah penemuan kerentanan Zero Day tersebut, Beaumont melaporkan bahwa tindakan mitigasi yang direkomendasikan oleh Microsoft dapat dihindari. Pada hari Rabu, dia sekali lagi menyalahkan Microsoft, pertama-tama karena memberikan panduan yang cacat dan kemudian karena memerlukan tiga bulan untuk merilis perbaikan.

“Pada saat itu, Microsoft merilis mitigasi sementara daripada perbaikan keamanan - baru pada bulan November 2022, pembaruan keamanan muncul untuk sepenuhnya menyelesaikan masalah ini,” tulis peneliti tersebut. “Ini adalah penundaan yang signifikan. Sementara itu, mitigasi keamanan yang disediakan oleh Microsoft berkali-kali diabaikan.” Lebih lanjut dalam tulisannya, dia menambahkan, “Microsoft perlu mengirimkan perbaikan keamanan untuk Server Microsoft Exchange lebih cepat. Ini memerlukan semacam saluran perbaikan darurat.”

Dengan mengutip hasil pencarian mesin pencari Shodan untuk perangkat terhubung ke Internet, baik Beaumont maupun Whittaker mengatakan bahwa Komisi tersebut menjalankan Server Exchange di tempat yang terpapar Internet dengan Aplikasi Web Outlook hingga akhir September 2020, ketika tiba-tiba berhenti merespons. Pencarian menunjukkan bahwa staf Komisi terakhir kali memperbarui perangkat lunak server pada bulan Agustus. Seperti yang sudah disebutkan, Agustus adalah bulan yang sama dimulainya eksploitasi aktif kerentanan.

“Untuk menjelaskan, ini berarti Komisi Pemilihan (atau penyedia IT mereka) melakukan hal yang tepat - mereka mengaplikasikan perbaikan keamanan dengan cepat selama waktu ini pada tahun 2022,” tulis peneliti tersebut.

Lebih dikenal sebagai ProxyNotShell, CVE-2022-41082 dan CVE-2022-41080 mempengaruhi server Exchange di lokasi. Microsoft mengatakan pada awal Oktober bahwa mereka hanya mengetahui satu aktor ancaman yang mengeksploitasi kerentanan tersebut dan aktor tersebut hanya menargetkan kurang dari 10 organisasi. Aktor ancaman ini lancar berbahasa Tionghoa Sederhana, menunjukkan adanya kaitan dengan Tiongkok.

Pada bulan Desember, penyedia layanan awan Rackspace mengungkapkan peretasan yang kemudian dikatakan disebabkan oleh eksploitasi “terkait dengan” CVE-2022-41080. Pada saat itu, pembaruan yang dirilis oleh Microsoft sudah tersedia selama empat minggu. Pos terakhir tersebut, yang mengatribusikan serangan tersebut kepada sindikat ransomware yang dilacak sebagai Play, melanjutkan dengan mengkritik pengungkapan awal Microsoft tentang kerentanan tersebut.

“Microsoft mengungkapkan CVE-2022-41080 sebagai kerentanan eskalasi hak istimewa dan tidak mencantumkan catatan untuk bagian dari rantai Eksekusi Kode Jarak Jauh yang dapat dieksploitasi,” tulis pejabat Rackspace.

Peretasan server Exchange Komisi ini adalah pengingat kuat akan kerusakan yang dapat terjadi ketika perangkat lunak disalahgunakan. Ini juga menegaskan bahaya yang dapat terjadi ketika vendor gagal menyediakan pembaruan dengan tepat waktu atau mengeluarkan panduan keamanan yang cacat. Perwakilan Microsoft tidak merespons email yang mencari komentar.