JagoSatu.com - Ada kabar genting bagi dunia keamanan siber, khususnya bagi para profesional TI dan administrator sistem. Server Microsoft SharePoint yang dihosting secara lokal (on-premise) dilaporkan sedang menjadi target serangan siber besar-besaran. Serangan ini mengeksploitasi celah keamanan kritis dan telah memakan korban dari berbagai organisasi, mulai dari lembaga pemerintah AS, instansi negara, universitas, hingga perusahaan swasta. Ini bukan sekadar bug biasa, melainkan ancaman serius dengan dampak global yang patut diwaspadai.
Microsoft sendiri telah mengonfirmasi adanya "serangan aktif" yang menyasar pelanggan SharePoint Server lokal, khususnya yang terkait dengan dua celah keamanan spesifik, yaitu CVE-2025-53770 dan CVE-2025-53771. Sebagai respons, mereka bergerak cepat merilis patch darurat untuk SharePoint Server Subscription Edition dan SharePoint Server 2019. Namun, ada masalah besar: hingga artikel ini ditulis, patch untuk SharePoint Server 2016 justru belum tersedia. Hal ini menempatkan para pengguna versi lawas tersebut dalam posisi yang sangat rawan.
Badan Keamanan Siber dan Infrastruktur AS (CISA) juga membenarkan bahwa celah keamanan CVE-2025-53770, yang diberi julukan "ToolShell", sedang dieksploitasi secara aktif. Kerentanan ini begitu berbahaya karena memungkinkan eksekusi kode dari jarak jauh dan memberikan peretas "akses tanpa perlu autentikasi ke sistem". Sederhananya, peretas bahkan tidak memerlukan username dan password untuk bisa masuk dan mengambil alih kendali. Menurut laporan dari CRN, pelaku bisa mendapatkan "akses penuh ke konten SharePoint, termasuk sistem file dan konfigurasi internal, serta mengeksekusi kode melalui jaringan."
Michael Sikorski, CTO dari Unit 42 Palo Alto Networks, menyebut insiden ini sebagai "kampanye ancaman berkelanjutan yang berdampak tinggi." Ia memberikan peringatan keras, "Jika server SharePoint on-premise Anda terhubung ke internet, Anda harus berasumsi bahwa Anda telah disusupi saat ini. Sekadar melakukan patching tidaklah cukup untuk menghilangkan ancaman sepenuhnya," seperti dikutip oleh CRN. Para peretas dilaporkan mampu menembus sistem kontrol identitas, termasuk MFA (Multi-Factor Authentication) dan SSO (Single Sign-On), untuk mendapatkan akses tertinggi, mencuri data, menanam backdoor (pintu belakang), dan mengambil kunci enkripsi. Ini adalah skenario terburuk: bahkan setelah patch dipasang, kerusakan mungkin sudah terjadi.
Sikorski juga menyoroti bahwa masalah ini menjadi "sangat mengkhawatirkan" karena integrasi SharePoint yang mendalam dengan layanan Microsoft lainnya seperti Office, Teams, OneDrive, dan Outlook, yang menyimpan begitu banyak informasi berharga. Sarannya sangat tegas: segera pasang semua patch yang tersedia, ganti semua kunci kriptografi, dan pertimbangkan untuk memutuskan koneksi server SharePoint dari internet hingga semua versi telah ter-patch sepenuhnya. Bagi para pengelola server SharePoint, ini bukan lagi sekadar latihan, melainkan situasi darurat yang menuntut tindakan cepat.
Melihat skala serangannya, apakah langkah yang diambil Microsoft sudah cukup untuk menenangkan para pengguna? Atau mungkinkah ini hanya puncak dari gunung es masalah keamanan yang lebih besar? (tmtiwow)
Editor : Toar Rotulung