Sampai bulan Agustus, jumlah pengguna Microsoft Exchange Server yang mengalami serangan siber meningkat 170 persen.
Serangan berupa eksploitasi terhadap kerentanan (vulnerability) pada Microsoft Exchange Server itu telah dialami oleh 19.839 pengguna, dari semula 7.342 pengguna. Angka tersebut diperoleh Kaspersky berdasarkan data serangan yang berhasil diblokir produknya.
Menurut pakar Kaspersky, lonjakan ini terjadi karena meningkatnya jumlah serangan yang mencoba mengeksploitasi kerentanan yang diungkapkan sebelumnya dalam produk. Sementara faktanya, pengguna tidak segera menambal perangkat lunak yang rentan, sehingga memperluas permukaan serangan potensial.
Menurut Kaspersky, kerentanan pada Microsoft Exchange Server menyebabkan banyak kekacauan tahun ini. Pada tanggal 2 Maret 2021, publik mengetahui tentang eksploitasi 'secara luas’ dari kerentanan zero-day di dalam Microsoft Exchange Server. Eksploitasi tersebut kemudian diikuti gelombang serangan terhadap organisasi di seluruh dunia.
Tahun ini juga, Microsoft telah menambal serangkaian kerentanan yang disebut ProxyShell – CVE-2021-34473, CVE-2021-34523 dan CVE-2021-31207. Secara bersama-sama, kerentanan ini mewakili ancaman kritis dan memungkinkan pelaku kejahatan siber untuk melewati autentikasi dan mengeksekusi kode layaknya pengguna yang memiliki hak istimewa.
Meskipun penambalan (patch) untuk kerentanan ini dirilis beberapa waktu lalu, para pelaku kejahatan siber tidak ragu untuk mengeksploitasinya. Sebanyak 74.274 pengguna Kaspersky dihadapkan pada eksploitasi kerentanan MS Exchange ini dalam enam bulan terakhir.
Selain itu, seperti yang diperingatkan oleh Badan Keamanan Siber dan Infrastruktur (CISA) di AS pada 21 Agustus lalu, kerentanan ProxyShell sekarang secara aktif dieksploitasi oleh para pelaku kejahatan siber dalam gelombang serangan baru-baru ini. Kemudian pada 26 Agustus, Microsoft menjelaskan bahwa server Exchange rentan jika tidak menjalankan Pembaruan Kumulatif (CU) dengan setidaknya Pembaruan Keamanan Mei (SU).
Menurut telemetri Kaspersky, pada minggu terakhir musim panas, lebih dari 1.700 pengguna diserang menggunakan eksploitasi ProxyShell setiap harinya, menyebabkan jumlah pengguna yang diserang pada Agustus 2021 tumbuh sebesar 170% dibandingkan dengan Juli 2021. Ini menunjukkan besarnya akibat yang dapat ditimbulkan dari kerentanan server tersebut, jika dibiarkan tidak ditambal atau di-patch.
“Fakta bahwa kerentanan ini sedang dieksploitasi secara aktif menunjukkan bahwa para pelaku kejahatan siber terus mencoba peruntungan untuk menembus jaringan apa pun yang bisa mereka dapatkan. Pertumbuhan serangan yang aktif ini juga menunjukkan sekali lagi mengapa sangat penting untuk menambal kerentanan sesegera mungkin untuk mencegah jaringan berada dalam kondisi berisiko. Kami sangat menyarankan untuk mengikuti saran terbaru Microsoft untuk mengurangi risiko yang lebih luas,” komentar Evgeny Lopatin, peneliti keamanan, Kaspersky.
Kaspersky sendiri telah melengkapi produknya dengan kemampuan proteksi dari penyalahgunaan kerentanan ProxyShell, yaitu melalui komponen Behavior Detection and Exploit Prevention. Komponen tersebut dapat mendeteksi eksploitasi dengan hasil sebagai berikut:
PDM:Exploit.Win32.Generic
HEUR:Exploit.Win32.ProxyShell.*