Peretas menargetkan server email Microsoft setelah serangkaian kerentanan dirinci pada konferensi keamanan komputer awal bulan ini. Meskipun pembaruan perangkat lunak untuk kerentanan ini telah tersedia selama berbulan-bulan, lebih dari 50% server Microsoft Exchange di Inggris belum diperbarui, menurut peneliti keamanan.
Seperti dilansir dari news.sky.com, di antara server yang masih rentan terhadap serangan adalah beberapa di domain gov.uk pemerintah Inggris serta domain police.uk yang digunakan oleh pasukan di Inggris di Wales dan Irlandia Utara.
Kevin Beaumont, seorang peneliti keamanan yang sebelumnya bekerja untuk Microsoft, mengkritik perusahaan tersebut atas apa yang disebutnya sebagai pesan yang “sangat buruk” untuk membuat pelanggan memperbarui perangkat lunak mereka.
Beberapa peneliti dan organisasi keamanan telah melaporkan bahwa mereka telah mendeteksi peretasan penjahat cyber ke server dengan memanfaatkan kerentanan ini dan kemudian menyebarkan ransomware.
Meskipun kode yang cacat tersebut telah diperbaiki pada bulan April dan Mei, Microsoft tidak menetapkan masalah pengenal CVE (Kerentanan Umum dan Eksposur) hingga Juli, menunda metode yang digunakan banyak organisasi untuk melacak dan memperbarui kerentanan.
“Mengingat banyak organisasi mengelola kerentanan melalui CVE, itu menciptakan situasi di mana pelanggan Microsoft salah mendapatkan informasi tentang tingkat keparahan salah satu bug keamanan perusahaan paling kritis tahun ini,” tulis Beaumont.
Seorang juru bicara Microsoft mengatakan bahwa pelanggan mereka yang telah menerapkan pembaruan terbaru sudah terlindungi dari kerentanan ini.
Mereka mengatakan bahwa mereka tidak memiliki apa pun untuk dibagikan sebagai tanggapan atas kritik Beaumont tentang apakah mereka telah secara efektif mengomunikasikan pentingnya menginstal pembaruan ini.
Pada saat Microsoft mengeluarkan patch untuk kerentanan tersebut, tidak ada bukti eksploitasi konsep yang tersedia untuk umum, yang biasanya menginformasikan seberapa parah risiko yang dapat ditimbulkan oleh kerentanan tertentu.
Pengidentifikasi CVE diberikan sebelum masalah tersebut secara teknis dirinci pada konferensi keamanan komputer Black Hat oleh seorang peretas yang menggunakan pegangan Orange Tsai. Berdasarkan perincian teknis inilah peretas lain dapat mengembangkan eksploitasi yang memungkinkan mereka menciptakan kembali metode Orange Tsai untuk mengakses server Exchange.
Beaumont memperlihatkan bagaimana dia mengidentifikasi ribuan Server Exchange yang belum diperbaharui di Inggris yang menjalankan Outlook Web App, termasuk beberapa di domain gov.uk dan dua di domain police.uk.
Pusat Keamanan Siber Nasional Inggris mengatakan kepada Sky New bahwa mereka mengetahui aktivitas global yang sedang berlangsung yang menargetkan kerentanan yang diungkapkan sebelumnya di server Microsoft Exchange.
“Pada tahap ini kami belum melihat bukti organisasi Inggris dikompromikan, tetapi kami terus memantau dampaknya,’ jelas mereka
“NCSC mendesak semua organisasi untuk menginstal pembaruan keamanan terbaru untuk melindungi diri mereka sendiri dan melaporkan setiap dugaan kompromi melalui situs web kami,” tambahnya.
Gelombang baru serangan yang menargetkan server Microsoft Exchange ini merupakan lanjutan dari Microsoft yang telah mengeluarkan peringatan awal tahun ini tentang kampanye peretasan global yang juga menargetkan server mereka dan dikaitkan dengan peretas yang disponsori negara yang berbasis di Tiongkok.
Diperkirakan 400.000 server di seluruh dunia “tanpa pandang bulu” dikompromikan selama kampanye spionase. Pemerintah Inggris mengecam teknik yang digunakan oleh Tiongkok karena metode mata-mata dunia maya yang digunakan untuk mempertahankan akses ke server korban juga membiarkan server tersebut terbuka untuk penjahat.
Sementara pelaku spionase dunia maya umumnya berusaha untuk mengamati tanpa mengganggu jaringan target mereka, penjahat secara teratur akan mengganggu jaringan dengan menyebarkan ransomware, sehingga membuat file penting tidak dapat diambil kembali kecuali korban membayar biaya pemerasan.
Bulan lalu, Inggris dan sekutunya menuduh Tiongkok telah melakukan “sabotase dunia maya yang sistematis” sehubungan dengan kampanye spionase tersebut.
Pada saat yang sama, kontraktor yang digunakan oleh aparat intelijen dunia maya Beijing dituduh melakukan “operasi dunia maya tanpa izin di seluruh dunia, untuk keuntungan pribadi mereka sendiri” tetapi tidak jelas apakah operasi tanpa izin ini didasarkan pada eksploitasi akses yang dibuat oleh pihak yang terkena sanksi dari kampanye spionase.(hh)