Berita Terbaru

Microsoft Peringatkan Celah Berbahaya di Exchange Hybrid

Ilustrasi Cyber Security 18

Ilustrasi Cyber Security

Microsoft mengeluarkan peringatan serius terkait kerentanan keamanan tingkat tinggi pada Exchange Server versi lokal (on-premise) yang digunakan dalam konfigurasi hybrid dengan Exchange Online. Celah ini, yang dilacak dengan kode CVE-2025-53786, memiliki skor CVSS 8.0 dan berpotensi memberikan akses cloud secara diam-diam kepada penyerang.

Kerentanan ini pertama kali dilaporkan oleh Dirk-jan Mollema dari Outsider Security. Dalam peringatannya, Microsoft menegaskan bahwa celah ini memungkinkan penyerang yang sudah memiliki akses administrator pada Exchange Server lokal untuk meningkatkan hak akses di lingkungan cloud organisasi yang terhubung tanpa meninggalkan jejak yang mudah terdeteksi atau diaudit.

 
Bagaimana Celah Ini Terjadi?

Masalah ini timbul karena Exchange Server dan Exchange Online berbagi service principal yang sama pada konfigurasi hybrid. Akibatnya, jika kredensial tersebut berhasil disalahgunakan, pelaku dapat masuk ke layanan cloud organisasi dan mengambil alih akun tanpa terdeteksi.

Menurut Microsoft, serangan ini tidak dapat dilakukan secara sembarangan. Pelaku harus terlebih dahulu memiliki akses administratif penuh pada Exchange Server lokal. Namun, setelah akses tersebut didapat, kerusakan yang diakibatkan bisa sangat luas.

 
Dampak Eksploitasi

Jika dieksploitasi dengan sukses, penyerang dapat:

  • Mengambil alih akun di Exchange Online.
  • Mengakses email dan data sensitif organisasi.
  • Menyamar sebagai pengguna hybrid tertentu di tenant cloud.
  • Menghindari mekanisme keamanan seperti Conditional Access.

Yang lebih mengkhawatirkan, token yang digunakan untuk akses ini berlaku hingga 24 jam jika properti trustedfordelegation aktif, dan tidak meninggalkan log penerbitan. Artinya, pelaku bisa beroperasi secara senyap di dalam sistem tanpa diketahui oleh administrator keamanan.

 
Konfirmasi dari CISA

Badan Keamanan Siber dan Infrastruktur AS (CISA) juga merilis peringatan serupa. CISA menegaskan bahwa kerentanan ini dapat mengganggu integritas identitas layanan di Exchange Online, sehingga perusahaan harus segera melakukan pembaruan dan mitigasi.

CISA mengingatkan bahwa penyerang yang memanfaatkan celah ini dapat mencuri kunci kriptografi, menjalankan skrip PowerShell berbahaya, dan mengekstrak data penting dari server target.

 
Temuan di Black Hat USA 2025

Dalam konferensi keamanan Black Hat USA 2025, Mollema memaparkan bahwa Exchange Server versi lokal menyimpan sertifikat kredensial yang digunakan untuk mengautentikasi ke Exchange Online. Sertifikat ini dapat dipakai untuk meminta Service-to-Service (S2S) actor tokens dari Microsoft Access Control Service (ACS).

Token ini memberikan akses penuh ke Exchange Online dan SharePoint tanpa melalui pemeriksaan keamanan tambahan.

 
Keterkaitan dengan Malware ToolShell

Peringatan Microsoft kali ini bertepatan dengan laporan CISA mengenai temuan artefak berbahaya terkait ToolShell, malware yang digunakan pasca eksploitasi celah SharePoint baru-baru ini.

Artefak berbahaya tersebut meliputi:

  • Dua file DLL yang dikodekan dalam Base64.
  • Empat file Active Server Page Extended (ASPX), yang berfungsi untuk mengambil machine key ASP.NET, menjalankan perintah, dan mengunggah file.

Dengan malware ini, pelaku dapat menjalankan perintah PowerShell berbahaya, mengidentifikasi sistem target, hingga mencuri data rahasia.

 
Langkah Mitigasi yang Direkomendasikan

Microsoft dan CISA mengimbau organisasi untuk segera mengambil tindakan pencegahan berikut:

  1. Tinjau perubahan keamanan pada konfigurasi Exchange hybrid.
  2. Pasang Hot Fix April 2025 atau pembaruan yang lebih baru.
  3. Ikuti instruksi konfigurasi resmi dari Microsoft.
  4. Jika sudah tidak menggunakan konfigurasi hybrid atau autentikasi OAuth, atur ulang keyCredentials milik service principal.
  5. Putuskan koneksi server Exchange atau SharePoint yang sudah mencapai end-of-life (EOL) atau end-of-service dari internet.
  6. Hentikan penggunaan versi lama yang rentan.
     

Langkah Preventif Microsoft

Sebagai tindak lanjut, Microsoft berencana mewajibkan pemisahan service principal antara Exchange lokal dan Exchange Online paling lambat Oktober 2025.
Mulai bulan ini, Microsoft juga akan memblokir sementara lalu lintas Exchange Web Services (EWS) yang menggunakan shared service principal, demi memaksa pelanggan beralih ke aplikasi hybrid khusus yang lebih aman.

 
Peringatan untuk Organisasi

Celah ini menjadi pengingat kuat bahwa konfigurasi hybrid, meski menawarkan fleksibilitas, juga membawa risiko keamanan baru jika tidak dikelola dengan benar. Dengan potensi akses tanpa jejak ke cloud, organisasi yang tidak segera mengambil tindakan dapat menjadi sasaran empuk bagi penyerang.

Langkah cepat dalam menerapkan patch, memisahkan kredensial layanan, dan memutus koneksi ke server usang akan sangat menentukan seberapa aman lingkungan IT suatu organisasi.

CVE-2025-53786 bukan sekadar celah teknis biasa, tetapi ancaman serius yang dapat memberikan akses “backdoor” ke sistem cloud perusahaan. Microsoft dan CISA telah memberikan peringatan dan panduan mitigasi yang jelas.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait