Studi Kasus: Eksploitasi Celah Keamanan Zero-Day pada Microsoft SharePoint di Inggris

By - Fuad August 23, 2025 Comments (0) 4 Mins Read

Table of Contents

Insiden Microsoft SharePoint

Dalam dunia keamanan siber, kecepatan respons terhadap penemuan celah keamanan baru menjadi faktor krusial. Sebuah insiden terkini yang melibatkan Microsoft SharePoint menjadi bukti nyata betapa cepatnya sebuah kerentanan dapat dieksploitasi oleh para peretas. Hanya dalam hitungan hari setelah beberapa kerentanan kritis ditemukan pada server Microsoft SharePoint versi on-premise bulan lalu, setidaknya tiga organisasi di Inggris telah melaporkan kepada regulator perlindungan data nasional bahwa peretas berhasil memanfaatkan celah tersebut untuk mengakses dan mencuri informasi pribadi.

Identitas ketiga organisasi yang menjadi korban tersebut hingga kini belum diungkapkan kepada publik. Penemuan kerentanan ini segera memicu kewaspadaan tinggi di kalangan komunitas keamanan siber, terutama karena prevalensi penggunaan server SharePoint on-premise di berbagai sektor sensitif seperti pemerintahan, korporasi besar, dan universitas.

Menanggapi tingkat risiko yang tinggi, Microsoft menerbitkan sebuah peringatan pada 19 Juli yang digambarkan oleh seorang pakar sebagai “sangat mendesak dan drastis”. Dalam peringatan tersebut, para pelanggan yang terdampak diimbau untuk segera melakukan konfigurasi ulang pada sistem mereka atau menonaktifkan server SharePoint mereka hingga patch atau perbaikan keamanan resmi tersedia.

Kerentanan ini dieksploitasi dengan sangat cepat dalam serangan yang dikenal sebagai “ToolShell attacks”. Aktor penyerangnya teridentifikasi berasal dari setidaknya dua kelompok threat actor yang disponsori oleh negara Tiongkok, yang kemudian segera diikuti oleh kelompok lain dari Tiongkok yang diduga memiliki motivasi finansial. Hingga saat ini, belum ada kejelasan mengenai kemungkinan adanya hubungan antara kelompok-kelompok penyerang tersebut.

Pada 22 Juli, National Cyber Security Centre (NCSC) Inggris menyatakan bahwa mereka bersama Microsoft telah mengamati “sejumlah terbatas” serangan aktif di wilayah Britania Raya. Namun, NCSC tidak memberikan rincian lebih lanjut mengenai sektor mana saja yang menjadi target serangan. Perlu dicatat bahwa server SharePoint on-premise merupakan teknologi yang diadopsi secara luas di lingkungan pemerintahan dan sektor publik Inggris.

Berdasarkan permintaan informasi melalui Freedom of Information Act yang diajukan oleh Recorded Future News, tim investigasi dan insiden siber dari Information Commissioner’s Office (ICO) Inggris mengonfirmasi bahwa per tanggal 28 Juli, mereka telah menerima setidaknya tiga laporan pelanggaran data pribadi (personal data breaches) yang terkait langsung dengan kerentanan SharePoint ini.

Angka sebenarnya dari organisasi di Inggris yang mengalami pelanggaran data akibat celah keamanan ini kemungkinan lebih tinggi. Sistem manajemen kasus di ICO tidak dirancang dengan kolom data spesifik untuk mencatat apakah suatu pelanggaran merupakan hasil dari kampanye peretasan (hacking campaign) tertentu, dan organisasi yang melapor pun tidak diwajibkan untuk menyediakan informasi tersebut.

Insiden-insiden yang diungkapkan oleh ICO dan secara spesifik dikaitkan dengan kerentanan SharePoint merupakan hasil pencatatan manual berdasarkan informasi yang diserahkan oleh organisasi pelapor.

ICO menambahkan bahwa beberapa laporan pelanggaran lain yang mereka terima “mungkin terkait dengan kerentanan SharePoint, namun belum dapat dipastikan saat ini.” Mereka juga menyatakan, “Demikian pula, laporan yang pada awalnya diduga terkait dengan kerentanan SharePoint dapat dipahami secara berbeda seiring berjalannya proses investigasi.”

Kesimpulan

Insiden eksploitasi celah keamanan pada Microsoft SharePoint di Inggris ini menyoroti betapa kritisnya jendela waktu antara pengumuman sebuah kerentanan dan upaya eksploitasi oleh para aktor kejahatan siber. Serangan yang cepat dan terkoordinasi, yang diduga dilakukan oleh kelompok peretas profesional, menunjukkan bahwa sistem on-premise yang tidak segera diperbarui (patched) menjadi target utama. Meskipun data resmi menunjukkan tiga organisasi telah menjadi korban, keterbatasan dalam sistem pelaporan insiden mengindikasikan bahwa skala dampak yang sebenarnya bisa jadi jauh lebih besar. Kasus ini menjadi pengingat penting bagi semua organisasi untuk memiliki strategi manajemen patch yang solid dan rencana respons insiden yang efektif.

Poin Kunci Pembelajaran

Kecepatan Eksploitasi Zero-Day: Celah keamanan yang baru diumumkan (zero-day exploit) dapat dieksploitasi oleh peretas dalam hitungan hari, atau bahkan jam. Kecepatan dalam menerapkan perbaikan (patching) adalah pertahanan yang paling esensial.
Risiko Sistem On-Premise: Organisasi yang mengelola infrastruktur IT mereka sendiri (on-premise) memikul tanggung jawab penuh untuk menerapkan pembaruan keamanan. Kelalaian dalam hal ini dapat membuka pintu bagi serangan siber yang merusak.
Tantangan dalam Pelacakan Insiden: Angka resmi insiden siber sering kali tidak mencerminkan skala kerusakan yang sebenarnya. Keterbatasan dalam mekanisme pelaporan dan atribusi serangan membuat banyak kasus tidak tercatat secara akurat.
Ancaman dari Aktor yang Terorganisir: Serangan ini melibatkan kelompok peretas yang disponsori negara (state-sponsored actors) dan kelompok bermotivasi finansial, menunjukkan tingkat kecanggihan dan sumber daya yang dimiliki oleh para penyerang modern.