Serangan siber canggih yang menargetkan perangkat lunak SharePoint milik Microsoft telah mengkompromikan ratusan organisasi di seluruh dunia, termasuk US National Nuclear Security Administration ( NNSA ), yang mengawasi persenjataan nuklir Amerika. Pelanggaran ini menyoroti risiko keamanan yang semakin meningkat saat organisasi terus menggunakan perangkat lunak lama berbasis on-premises sementara Microsoft mentransisikan pengguna ke alternatif berbasis cloud.
Kerentanan Zero-Day Dieksploitasi oleh Aktor Negara
Serangan dimulai pada 18 Juli 2024, ketika beberapa kelompok hacker, termasuk aktor yang disponsori negara China yang diidentifikasi sebagai Linen Typhoon , Violet Typhoon , dan Storm-2603 , mengeksploitasi kerentanan zero-day pada versi lama SharePoint Server yang di-host sendiri. Kerentanan tersebut secara khusus memengaruhi instalasi on-premises dan tidak berdampak pada platform M365 berbasis cloud milik Microsoft . Yang membuat serangan ini sangat mengkhawatirkan adalah bahwa serangan tersebut menargetkan kelemahan dalam patch keamanan Microsoft sendiri, yang berarti bahkan organisasi yang rajin menerapkan pembaruan tetap rentan.
Grup Hacker Tiongkok yang Teridentifikasi
- Linen Typhoon - Grup yang disponsori negara
- Violet Typhoon - Grup yang disponsori negara
- Storm-2603 - Grup yang disponsori negara
Grup-grup ini mengeksploitasi kerentanan SharePoint untuk mencuri kredensial dan mempertahankan akses jangka panjang ke sistem pemerintah.
Badan Keamanan Nuklir di Antara Korban Profil Tinggi
NNSA , cabang semi-otonom dari Department of Energy yang bertanggung jawab untuk merancang, memelihara, dan membongkar hulu ledak nuklir, mengkonfirmasi bahwa mereka termasuk di antara korban. Namun, Department of Energy menekankan bahwa tidak ada data rahasia atau sensitif yang dikompromikan karena penggunaan platform cloud M365 milik Microsoft secara luas oleh badan tersebut dan sistem keamanan siber yang kuat. Ini menandai pelanggaran besar kedua yang memengaruhi NNSA dalam beberapa tahun terakhir, menyusul serangan SolarWinds 2020 yang juga melibatkan aktor negara.
Dampak Global Mencakup Sektor Pemerintah dan Pendidikan
Jangkauan serangan meluas jauh melampaui fasilitas nuklir AS . Korban termasuk US Department of Education , Florida Department of Revenue , Rhode Island General Assembly , dan berbagai pemerintah nasional di seluruh Eropa dan Timur Tengah . Sifat luas dari pelanggaran ini menunjukkan bagaimana penyerang secara sistematis menargetkan organisasi yang masih mengandalkan instalasi SharePoint lama yang terpapar internet.
Organisasi yang Terkena Dampak Pelanggaran
- US National Nuclear Security Administration ( NNSA )
- US Department of Education
- Florida Department of Revenue
- Rhode Island General Assembly
- Berbagai pemerintahan nasional di Eropa
- Berbagai pemerintahan nasional di Timur Tengah
- Ratusan organisasi lain di seluruh dunia
Perangkat Lunak Lama Menciptakan Titik Buta Keamanan
Para ahli keamanan menunjuk pada tren berbahaya di mana organisasi terus mengoperasikan server SharePoint lama tanpa pemeliharaan atau pengawasan keamanan yang memadai. Instalasi on-premises ini sering kali tetap dapat diakses internet sambil menerima perhatian minimal atau alokasi anggaran untuk pembaruan dan pemantauan. Jake Williams , wakil presiden penelitian dan pengembangan di Hunter Strategy , memperingatkan bahwa organisasi yang mengekspos server SharePoint ke internet harus menganggarkan respons insiden karena kompromi tidak dapat dihindari.
Patch Microsoft yang Cacat Memperparah Masalah
Kerentanan ini dapat ditelusuri kembali ke kelemahan SharePoint yang ditemukan di kompetisi hacking Pwn2Own di Berlin pada Mei 2024. Patch awal Microsoft , yang dirilis pada awal bulan, mengandung kelemahan keamanannya sendiri, membuat bahkan organisasi yang sadar keamanan tetap rentan. Perusahaan kemudian merilis apa yang disebutnya perlindungan yang lebih kuat untuk mengatasi perbaikan yang cacat, tetapi tidak sebelum penyerang telah mulai eksploitasi yang meluas.
Timeline End-of-Life Menekan Organisasi
Microsoft saat ini mendukung SharePoint Server versi 2016 dan 2019 dengan pembaruan keamanan, tetapi keduanya akan mencapai End of Support pada 14 Juli 2026. SharePoint Server 2013 dan versi sebelumnya telah mencapai status end-of-life dan hanya menerima pembaruan keamanan kritis melalui layanan SharePoint Server Subscription Edition berbayar milik Microsoft . US Cybersecurity and Infrastructure Security Agency telah merekomendasikan untuk memutuskan instalasi SharePoint Server yang menghadap publik yang telah mencapai end-of-life, khususnya SharePoint Server 2013 dan versi sebelumnya.
Timeline Dukungan SharePoint Server
| Versi | Status Saat Ini | Tanggal Berakhirnya Dukungan |
|---|---|---|
| SharePoint Server 2019 | Didukung | 14 Juli 2026 |
| SharePoint Server 2016 | Didukung | 14 Juli 2026 |
| SharePoint Server 2013 | Berakhir Masa Hidup | Hanya pembaruan kritis melalui layanan berbayar |
| Versi sebelumnya | Berakhir Masa Hidup | Hanya pembaruan kritis melalui layanan berbayar |
Tantangan dan Biaya Migrasi Cloud
Organisasi menghadapi keputusan sulit antara mempertahankan sistem on-premises yang familiar tanpa biaya lisensi tambahan versus bermigrasi ke layanan cloud berbasis langganan milik Microsoft . Banyak badan pemerintah dan institusi awalnya berinvestasi dalam SharePoint sebagai pengganti yang aman untuk alat berbagi file Windows tradisional, membuat transisi ke alternatif berbasis cloud menjadi mahal dan kompleks. Secure Future Initiative milik Microsoft mengakui tantangan ini, dengan perusahaan menyatakan komitmennya untuk mendukung organisasi di seluruh spektrum adopsi cloud.