Serangan yang menimpa Exchange Server ini memanfaatkan celah keamanan atau vulnerability yang terdapat pada Exchange Server On-Premise. Microsoft sudah memaparkan bahwa celah keamanan yang terdapat pada Exchange Server ini pada CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065. CVE-2021-26855 menerangkan adanya celah keamanan server-side request forgery (SSRF) yang terdapat pada Exchange yang mengijinkan penyerang untuk mengirim arbitrary HTTP requests dan mengotentikasi dirinya sebagai Exchange server.
CVE-2021-26855 merupakan celah keamanan server-side request forgery (SSRF) vulnerability yang terdapat pada Exchange yang memungkinkan penyerang untuk mengirim arbitrary HTTP requests dan mengautentikasi dirinya sebagai Exchange server.
CVE-2021-26857 merupakan celah keamanan insecure deserialization yang terdapat pada Unified Messaging service. Insecure deserialization adalah situasi di mana untrusted user-controllable data di deserialized dengan menggunakan program. Dengan memanfaatkan kelemahan ini, HAFNIUM dapat menjalankan kode sebagai SYSTEM pada Exchange server. Hal ini membutuhkan administrator permission atau celah keamanan lainnya yang bisa dimanfaatkan.
CVE-2021-26858 merupakan celah keamanan post-authentication arbitrary file write yang terdapat pada Exchange. Jika HAFNIUM bisa mengautentikasi dengan Exchange server kemudian mereka bisa menggunakan celah keamanan ini untuk menulis file kemanapun di server. Mereka bisa mengautentikasi dirinya dengan memanfaatkan celah keamanan CVE-2021-26855 SSRF atau dengan mencuri user dan password administrator.
CVE-2021-27065 merupakan celah keamanan post-authentication arbitrary file write yang terdapat pada Exchange. Jika HAFNIUM bisa mengautentikasi dengan Exchange server, mereka bisa menggunakan celah keamanan ini untuk menulis file di manapun di server. Mereka bisa mengautentikasi dengan memanfaatkan celah keamanan CVE-2021-26855 SSRF atau dengan mencuri user dan password administrator.
Serangan ini memaksa Microsoft mengeluarkan Security Patch terhadap Exchange Server 2019, 2016, dan bahkan terhadap Exchange Server 2010 yang sudah dinyatakan End of Life Support. Microsoft mengeluarkan Security Patch untuk Exchange Server 2019 CU 8, Exchange Server 2016 CU 19 dan Exchange Server 2010 SP3 RU 31.
Setelah Security Patch, Microsoft juga mengeluarkan Cumulative Update atau update besar-besaran terhadap Exchange Server. Exchange Server 2019 CU 9 keluar menggantikan Exchange Server 2019 CU 8 dengan memasukkan update untuk security, selain update untuk bug lain yang terdapat pada Exchange. Exchange Server 2016 CU 20 juga keluar menggantikan Exchange Server 2016 CU 19. Masih banyaknya customer yang menggunakan Exchange Server 2010 memaksa Microsoft untuk mengeluarkan Release Update 32 terhadap Service Pack 3 Exchange Server 2010.
Perlindungan End-to-End
Sebetulnya serangan ini bisa diantisipasi jika memiliki perlindungan end-to-end yang bagus.
Jangan pernah menempatkan Exchange Server berhadapan dengan Internet menggunakan IP Public. Meskipun itu Client Access Server untuk Outlook Web Access (OWA) atau Web Mail Accessn sekalipun. Exchange Server harus berada di belakang firewall dengan IP Private.
Selain itu Exchange Server juga jangan digunakan langsung sebagai MX yang berhadapan dengan Internet. Gunakan Appliance atau perangkat anti spam anti virus (ASAV) sebagai perisai pertama untuk melindungi SMTP Server Exchange. Jika perlu gunakan Cloud Filter yang diberikan oleh pihak ketiga sebelum e-mail tersebut masuk ke Antispam dan Antivirus device.
Exchange Server sendiri juga harus dilindungi oleh perangkat lunak antivirus, baik untuk sistem operasi Windows Server itu sendiri maupun untuk Exchange Server.
Pastikan juga menggunakan firewall dan web application filter yang mampu mengenali berbagai serangan yang sudah semakin canggih, tidak cukup hanya dengan firewall biasa.
Selain itu yang penting adalah perlindungan juga harus diberikan kepada komputer client secara menyeluruh, tidak hanya server. Dengan begitu maka ancaman terhadap celah keamanan apapun bisa diantisipasi.
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR