Penulis: Nanang Sadikin (Konsultan TI)
Tanggal 2 Maret 2021, kehebohan melanda seluruh dunia. Exchange Server, produk dari vendor perangkat lunak terbesar dunia, Microsoft, diserang zero-day vulnerabilities.
Serangan itu utamanya ditujukan pada Exchange Server 2019, Exchange Server 2016, dan Exchange Server 2013. Exchange Server 2010, yang sudah tidak di-support lagi oleh Microsoft sejak bulan Oktober 2020, juga termasuk yang diserang, tapi jumlahnya tidak terlalu banyak. Sementara Exchange Online yang menjadi bagian dari Office 365 tidak diserang.
Jenis Exchange Server yang Diserang
Salah satu customer penulis yang memiliki Exchange Server 2016 juga tidak luput dari serangan ini. Salah satu tanda yang muncul adalah webmail mereka mendadak tidak bisa diakses. Setelah dicek ternyata di event log dinyatakan "Exchange Server tidak bisa menemukan Active Directory". Kami sempat menyangka masalahnya pada server Active Directory. Pengecekan dilakukan pada server Active Directory, namun hasil menunjukan server Active Directory berjalan dengan baik.
Kecurigaan mulai muncul setelah dilakukan pengujian nslookup. DNS Server mengarah pada server Google. Oleh karena itu DNS server diarahkan kembali ke server Active Directory. Namun tidak berapa lama kemudian, DNS Server kembali berubah ke arah Google.
Upaya lain kami coba lakukan, yaitu dengan mengubah network interface card, karena ini server virtual. Namun tetap saja tidak membantu. Akhirnya dilakukan pengecekan kembali menggunakan Virus Removal Tools. Hasilnya ditemukan malicious software berupa trojan dan worm yang menyerang Exchange Server.
Setelah malicious software bisa dihapus, langkah selanjutnya adalah melakukan restart server. Setelah itu, langkah yang dilakukan adalah melakukan instalasi security patch Exchange Server.
Hasilnya, server sudah aman dan kembali beroperasi seperti sedia kala. Dari beberapa customer yang penulis lihat, bahwa serangan ini menimpa Exchange Server yang langsung berhadapan dengan Internet.
Celah Keamanan Exchange Server
Microsoft Threat Intelligence Center (MSTIC) mengatakan bahwa serangan ini didalangi oleh HAFNIUM, kelompok hacker yang didanai oleh dan beroperasi di luar China. HAFNIUM menyerang dengan menggunakan Virtual Private Server (VPS) yang mereka sewa dari data center yang berada di AS.
Exchange Server yang terkena adalah Exchange Server 2019 CU 8 dan versi CU di bawahnya, Exchange Server 2016 CU 19 dan versi CU di bawahnya, Exchange Server 2013 CU 23 dan versi CU di bawahnya, serta Exchange Server 2010 SP3 RU 31 dan versi RU di bawahnya.