Olemedia / Getty Images
Microsoft telah memperbaiki tiga kerentanan zero-day kritis di SharePoint yang sudah dimanfaatkan peretas untuk menyerang berbagai organisasi rentan. Awalnya, raksasa perangkat lunak itu hanya merilis perbaikan untuk SharePoint Server Subscription Edition dan SharePoint Server 2019, tapi kemudian juga mengeluarkan tambalan untuk SharePoint Server 2016.
Diberi kode CVE-2025-53771 dan CVE-2025-53770, kedua kerentanan ini hanya memengaruhi versi on-premises SharePoint, sehingga organisasi yang menggunakan SharePoint Online berbasis awan tidak terdampak.
CVE-2025-53771, yang dinilai penting, merupakan kerentanan spoofing di SharePoint Server, memungkinkan penyerang menyamar sebagai pengguna atau sumber daya tepercaya. Sementara itu, CVE-2025-53770—yang dikategorikan kritis—adalah kerentanan remote code execution, memungkinkan peretas menjalankan kode jarak jauh di lingkungan SharePoint.
"CVE-2025-53770 memberi pelaku ancaman kemampuan mengeksekusi kode jarak jauh, melewati proteksi identitas (seperti single sign-on dan multi-factor authentication), mengakses konten di server SharePoint termasuk konfigurasi dan berkas sistem, serta membuka akses lateral di seluruh domain Windows," jelas Trey Ford, Chief Information Security Officer di Bugcrowd, kepada ZDNET.
Gabungan kedua kerentanan ini memungkinkan kriminal siber memasang program jahat yang bisa membahayakan lingkungan SharePoint—dan itulah yang telah terjadi.
Pejabat negara dan peneliti swasta memberi tahu The Washington Post bahwa peretas sudah melancarkan serangan terhadap lembaga federal dan negara bagian AS, universitas, perusahaan energi, dan lainnya. Menurut para peneliti, server SharePoint di setidaknya dua lembaga federal AS telah dibobol. The Post menambahkan, seorang pejabat AS menyebut penyerang telah "membajak" dokumen yang dirancang untuk membantu masyarakat memahami cara kerja pemerintah.
Yang mengkhawatirkan, bahkan US National Nuclear Security Administration pun jadi korban kerentanan SharePoint ini.
"Pembobolan baru-baru ini terhadap sistem berbagai pemerintah, termasuk US National Nuclear Security Administration, yang berasal dari kerentanan Microsoft, adalah pengingat mendesak tentang risiko yang kita hadapi," kata Bob Huber, Chief Security Officer di Tenable, dalam pernyataan untuk ZDNET. "Ini bukan sekadar satu celah, tapi bagaimana aktor canggih memanfaatkannya untuk keuntungan jangka panjang."
Siapa dalang di balik serangan ini?
Pada Selasa lalu, Microsoft menyalahkan tiga aktor negara-negara China—Linen Typhoon, Violet Typhoon, dan Storm-2603—atas eksploitasi kerentanan SharePoint.
Linen Typhoon, aktif sejak 2012, berspesialisasi dalam mencuri kekayaan intelektual dan biasanya menargetkan pemerintah, pertahanan, perencanaan strategis, serta organisasi HAM. Kelompok ini mengandalkan eksploitasi kerentanan keamanan untuk melancarkan serangan.
Violet Typhoon, beroperasi sejak 2015, fokus pada spionase terhadap berbagai target, termasuk mantan personel pemerintah dan militer, LSM, think tank, perguruan tinggi, media, bisnis keuangan, dan perusahaan kesehatan di AS. Mereka juga mencari kerentanan keamanan untuk dieksploitasi.
Microsoft menduga Storm-2603 berbasis di China tapi belum menemukan kaitannya dengan peretas China lain. Kelompok ini mencoba memanfaatkan kerentanan SharePoint untuk mencuri folder Windows MachineKeys yang menyimpan kriptografi.
"Kelompok ancaman China yang diduga di balik serangan ini dikenal menggunakan kredensial curian untuk membangun backdoor persisten," kata Huber. "Artinya, meski kerentanan awal sudah ditambal, penyerang bisa tetap bersembunyi di dalam jaringan, siap melancarkan kampanye spionase di masa depan. Saat organisasi melihat bukti intrusi baru, kerusakan sudah terjadi."
Mengapa Microsoft membiarkan kerentanan ini meluas?
Perusahaan ini mencoba memperbaiki kerentanan spoofing dan remote code execution melalui pembaruan Patch Tuesday 8 Juli lewat CVE-2025-49706, CVE-2025-49704, dan CVE-2025-49701. Namun, perbaikan ini ternyata tidak sepenuhnya efektif karena peretas tetap bisa menghindarinya.
Semoga tambalan baru kali ini berhasil. Dalam FAQ, Microsoft menyatakan, "Ya, pembaruan untuk CVE-2025-53770 mencakup proteksi lebih kuat dibanding pembaruan untuk CVE-2025-49704. Pembaruan untuk CVE-2025-53771 juga lebih kuat dari CVE-2025-49706."
Pertanyaannya: mengapa perusahaan seperti Microsoft terus membiarkan pelanggan terpapar kerentanan semacam ini? Salah satu masalahnya adalah kompleksitas beragam lingkungan pelanggan.
"Tambalan jarang benar-benar komprehensif, dan basis kode sangat rumit dengan implementasi yang sangat bervariasi," kata Ford. "Itulah mengapa proses pengujian dan regresi begitu kompleks. Idealnya, semua orang menjalankan versi kode terbaru yang sudah diperbaiki. Tapi itu tidak mungkin, jadi pengembangan fitur harus diuji di permukaan yang jauh lebih rumit."
Sebelum Microsoft merilis tambalan baru pada Minggu lalu, firma keamanan Eye Security sudah memperingatkan tentang kerentanan SharePoint dalam riset pada Sabtu.
"Pada 18 Juli 2025 malam, Eye Security menjadi yang pertama mengidentifikasi eksploitasi besar-besaran kerentanan remote code execution (RCE) SharePoint baru di alam liar," tulis firma itu. "Eksploit ini, yang didemonstrasikan di X beberapa hari lalu, digunakan untuk membobol server SharePoint on-premise di seluruh dunia. Sebelum kerentanan ini dikenal luas Jumat lalu, tim kami memindai 8000+ server SharePoint global. Kami menemukan puluhan sistem yang sudah dikompromikan dalam dua gelombang serangan—sekitar 18:00 UTC pada 18 Juli dan 07:30 UTC pada 19 Juli."
Menyebut kerentanan ini sebagai ToolShell, Eye Security menjelaskan cara lingkungan SharePoint bisa dikompromikan lewat serangan ini.
Dengan mem-bypass proteksi keamanan, peretas bisa menjalankan kode jarak jauh, mengakses konten SharePoint, berkas sistem, dan konfigurasi. Mereka juga bisa mencuri kunci kriptografi, memungkinkan mereka menyamar sebagai pengguna/layanan meski server sudah ditambal. Karena SharePoint terhubung ke layanan Microsoft lain (Outlook, Teams, OneDrive), peretas bisa bergerak lateral di jaringan untuk mencuri kata sandi dan data terkait.
Cara memperbaiki kerentanan ini
Bagi organisasi yang menjalankan SharePoint Server, Microsoft telah merinci langkah perbaikannya:
- Untuk SharePoint Server Subscription Edition, unduh tambalan di halaman ini.
- Untuk SharePoint Server 2019, kunjungi halaman ini.
- Untuk SharePoint Server 2016, dapatkan tambalannya di sini.
Cara melindungi diri dari serangan mendatang
Microsoft memberikan saran berikut:
- Pastikan menjalankan versi SharePoint Server yang didukung.
- Terapkan tambalan keamanan terbaru, termasuk dari pembaruan Patch Tuesday Juli.
- Aktifkan dan konfigurasikan Windows Antimalware Scan Interface (AMSI) dengan produk antivirus seperti Defender Antivirus.
- Pasang perangkat lunak keamanan seperti Microsoft Defender for Endpoint.
- Rotate SharePoint Server ASP.NET machine keys.
Ford juga menambahkan saran untuk organisasi dengan server SharePoint:
"Saat menjalankan layanan on-premise, tanyakan apakah mereka benar-benar perlu terpapar internet atau diakses pihak tak tepercaya," katanya. "Mengurangi attack surface selalu bijak—minimalkan jumlah host dan layanan yang tersedia untuk pengguna publik. Hardening dan menambahkan proteksi ujung seperti AMSI dan Defender untuk layanan terintegrasi ini sangat penting."Dapatkan berita terbaru teknologi langsung di kotak masuk Anda dengan berlangganan Tech Today.