Penulis: Nanang Sadikin (Konsultan TI)
Tanggal 2 Maret 2021, kehebohan melanda seluruh dunia. Exchange Server, produk dari vendor perangkat lunak terbesar dunia, Microsoft, diserang zero-day vulnerabilities.
Serangan itu utamanya ditujukan pada Exchange Server 2019, Exchange Server 2016, dan Exchange Server 2013. Exchange Server 2010, yang sudah tidak di-support lagi oleh Microsoft sejak bulan Oktober 2020, juga termasuk yang diserang, tapi jumlahnya tidak terlalu banyak. Sementara Exchange Online yang menjadi bagian dari Office 365 tidak diserang.
Jenis Exchange Server yang Diserang
Salah satu customer penulis yang memiliki Exchange Server 2016 juga tidak luput dari serangan ini. Salah satu tanda yang muncul adalah webmail mereka mendadak tidak bisa diakses. Setelah dicek ternyata di event log dinyatakan "Exchange Server tidak bisa menemukan Active Directory". Kami sempat menyangka masalahnya pada server Active Directory. Pengecekan dilakukan pada server Active Directory, namun hasil menunjukan server Active Directory berjalan dengan baik.
Kecurigaan mulai muncul setelah dilakukan pengujian nslookup. DNS Server mengarah pada server Google. Oleh karena itu DNS server diarahkan kembali ke server Active Directory. Namun tidak berapa lama kemudian, DNS Server kembali berubah ke arah Google.
Upaya lain kami coba lakukan, yaitu dengan mengubah network interface card, karena ini server virtual. Namun tetap saja tidak membantu. Akhirnya dilakukan pengecekan kembali menggunakan Virus Removal Tools. Hasilnya ditemukan malicious software berupa trojan dan worm yang menyerang Exchange Server.
Setelah malicious software bisa dihapus, langkah selanjutnya adalah melakukan restart server. Setelah itu, langkah yang dilakukan adalah melakukan instalasi security patch Exchange Server.
Hasilnya, server sudah aman dan kembali beroperasi seperti sedia kala. Dari beberapa customer yang penulis lihat, bahwa serangan ini menimpa Exchange Server yang langsung berhadapan dengan Internet.
Celah Keamanan Exchange Server
Microsoft Threat Intelligence Center (MSTIC) mengatakan bahwa serangan ini didalangi oleh HAFNIUM, kelompok hacker yang didanai oleh dan beroperasi di luar China. HAFNIUM menyerang dengan menggunakan Virtual Private Server (VPS) yang mereka sewa dari data center yang berada di AS.
Exchange Server yang terkena adalah Exchange Server 2019 CU 8 dan versi CU di bawahnya, Exchange Server 2016 CU 19 dan versi CU di bawahnya, Exchange Server 2013 CU 23 dan versi CU di bawahnya, serta Exchange Server 2010 SP3 RU 31 dan versi RU di bawahnya.
Serangan yang menimpa Exchange Server ini memanfaatkan celah keamanan atau vulnerability yang terdapat pada Exchange Server On-Premise. Microsoft sudah memaparkan bahwa celah keamanan yang terdapat pada Exchange Server ini pada CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065. CVE-2021-26855 menerangkan adanya celah keamanan server-side request forgery (SSRF) yang terdapat pada Exchange yang mengijinkan penyerang untuk mengirim arbitrary HTTP requests dan mengotentikasi dirinya sebagai Exchange server.
CVE-2021-26855 merupakan celah keamanan server-side request forgery (SSRF) vulnerability yang terdapat pada Exchange yang memungkinkan penyerang untuk mengirim arbitrary HTTP requests dan mengautentikasi dirinya sebagai Exchange server.
CVE-2021-26857 merupakan celah keamanan insecure deserialization yang terdapat pada Unified Messaging service. Insecure deserialization adalah situasi di mana untrusted user-controllable data di deserialized dengan menggunakan program. Dengan memanfaatkan kelemahan ini, HAFNIUM dapat menjalankan kode sebagai SYSTEM pada Exchange server. Hal ini membutuhkan administrator permission atau celah keamanan lainnya yang bisa dimanfaatkan.
CVE-2021-26858 merupakan celah keamanan post-authentication arbitrary file write yang terdapat pada Exchange. Jika HAFNIUM bisa mengautentikasi dengan Exchange server kemudian mereka bisa menggunakan celah keamanan ini untuk menulis file kemanapun di server. Mereka bisa mengautentikasi dirinya dengan memanfaatkan celah keamanan CVE-2021-26855 SSRF atau dengan mencuri user dan password administrator.
CVE-2021-27065 merupakan celah keamanan post-authentication arbitrary file write yang terdapat pada Exchange. Jika HAFNIUM bisa mengautentikasi dengan Exchange server, mereka bisa menggunakan celah keamanan ini untuk menulis file di manapun di server. Mereka bisa mengautentikasi dengan memanfaatkan celah keamanan CVE-2021-26855 SSRF atau dengan mencuri user dan password administrator.
Serangan ini memaksa Microsoft mengeluarkan Security Patch terhadap Exchange Server 2019, 2016, dan bahkan terhadap Exchange Server 2010 yang sudah dinyatakan End of Life Support. Microsoft mengeluarkan Security Patch untuk Exchange Server 2019 CU 8, Exchange Server 2016 CU 19 dan Exchange Server 2010 SP3 RU 31.
Setelah Security Patch, Microsoft juga mengeluarkan Cumulative Update atau update besar-besaran terhadap Exchange Server. Exchange Server 2019 CU 9 keluar menggantikan Exchange Server 2019 CU 8 dengan memasukkan update untuk security, selain update untuk bug lain yang terdapat pada Exchange. Exchange Server 2016 CU 20 juga keluar menggantikan Exchange Server 2016 CU 19. Masih banyaknya customer yang menggunakan Exchange Server 2010 memaksa Microsoft untuk mengeluarkan Release Update 32 terhadap Service Pack 3 Exchange Server 2010.
Perlindungan End-to-End
Sebetulnya serangan ini bisa diantisipasi jika memiliki perlindungan end-to-end yang bagus.
Jangan pernah menempatkan Exchange Server berhadapan dengan Internet menggunakan IP Public. Meskipun itu Client Access Server untuk Outlook Web Access (OWA) atau Web Mail Accessn sekalipun. Exchange Server harus berada di belakang firewall dengan IP Private.
Selain itu Exchange Server juga jangan digunakan langsung sebagai MX yang berhadapan dengan Internet. Gunakan Appliance atau perangkat anti spam anti virus (ASAV) sebagai perisai pertama untuk melindungi SMTP Server Exchange. Jika perlu gunakan Cloud Filter yang diberikan oleh pihak ketiga sebelum e-mail tersebut masuk ke Antispam dan Antivirus device.
Exchange Server sendiri juga harus dilindungi oleh perangkat lunak antivirus, baik untuk sistem operasi Windows Server itu sendiri maupun untuk Exchange Server.
Pastikan juga menggunakan firewall dan web application filter yang mampu mengenali berbagai serangan yang sudah semakin canggih, tidak cukup hanya dengan firewall biasa.
Selain itu yang penting adalah perlindungan juga harus diberikan kepada komputer client secara menyeluruh, tidak hanya server. Dengan begitu maka ancaman terhadap celah keamanan apapun bisa diantisipasi.