Sophos X-Ops Melihat Eksploitasi di Banyak Lingkungan Pelanggan
Pada 18 Juli 2025, analis Sophos MDR (Managed Detection and Response) mengamati lonjakan aktivitas berbahaya yang menargetkan instalasi SharePoint on-premises, termasuk perintah PowerShell berbahaya yang dijalankan di berbagai sistem. Analisis lebih lanjut menyimpulkan bahwa aktivitas ini kemungkinan berasal dari eksploitasi aktif yang memanfaatkan kerentanan yang dikenal sebagai ‘ToolShell’.
Halaman ini akan diperbarui seiring perkembangan informasi, termasuk panduan ancaman dan deteksi dari Sophos.
🕒 Pembaruan
- 22 Juli 2025, 21:48 UTC – Dikonfirmasi bahwa eksploitasi pertama terjadi pada 17 Juli.
- 22 Juli 2025, 16:23 UTC – Detail awal eksploitasi dan aktivitas serangan diperjelas. Panduan mitigasi dan bukti konsep publik (proof-of-concept) juga dirilis.
Apa itu ToolShell?
ToolShell mengacu pada eksploitasi berantai dari dua kerentanan SharePoint:
- CVE-2025-49704
- CVE-2025-49706
Eksploitasi ini pertama kali diungkap di ajang Pwn2Own Berlin, Mei 2025, dan Microsoft merilis patch untuk kedua CVE tersebut pada Patch Tuesday bulan Juli.
Namun, aktor ancaman kini juga memanfaatkan kerentanan 0-day baru, yang menyebabkan dirilisnya dua CVE tambahan:
- CVE-2025-53770
- CVE-2025-53771
Yang Telah Terjadi
Sophos MDR mengamati perintah PowerShell berbahaya yang menyebarkan file .aspx berbahaya ke jalur berikut di server SharePoint yang terinfeksi:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
C:\progra~1\common~1\micros~1\webser~1\16\template\layouts\info3.aspx
Dalam kasus yang teridentifikasi, webshell digunakan untuk menargetkan kunci kriptografi mesin dan terdeteksi sebagai Troj/WebShel-P saat ditulis ke disk. Setelah diperoleh, kunci ini digunakan oleh alat bernama SharpViewStateShell untuk melakukan eksekusi kode jarak jauh.
Webshell info3.aspx memberikan kemampuan seperti:
- Eksekusi perintah jarak jauh
- Upload file
Mulai 21 Juli, varian baru muncul:
- aspx
- aspx
Varian ini menggunakan kunci XOR yang sudah ditentukan sebagai sandi untuk menjalankan perintah PowerShell yang dikodekan dalam Base64 dari field formulir HTTP. Sophos memperkirakan bahwa alat dan teknik lain juga akan muncul, seiring aktor ancaman lain mencoba memanfaatkan celah ini.
Jika webshell tidak terdeteksi dan kunci mesin seperti ValidationKey dan DecryptionKey telah dicoba diakses, proteksi Access_3b Sophos akan terpicu untuk memberikan kontrol perilaku tambahan. Jika kunci ini dikompromikan, pengguna perlu melakukan rotasi kunci sesuai panduan dari Microsoft.
Eksploitasi Pertama
Walau eksploitasi massal mulai terjadi 18 Juli, Sophos mendeteksi aktivitas awal pada 17 Juli pukul 08:19 UTC terhadap pelanggan di Timur Tengah. Terjadi eksekusi perintah berikut:
cmd.exe /c whoami > c:\progra~1\common~1\micros~1\webser~1\16\template\layouts\a.txt
Hal ini sesuai dengan laporan dari SentinelOne yang mencatat perintah serupa.
Analisis lebih lanjut menunjukkan permintaan POST berbahaya yang berhasil terhadap URI berikut:
/_layouts/15/ToolPane.aspx
Dampak Global
Hingga saat ini, Sophos mencatat 84 organisasi unik menjadi target, tersebar di 21 negara di seluruh wilayah dunia. Sektor yang paling banyak terkena:
- Pendidikan
- Pemerintahan
- Jasa
- Transportasi
Apa yang Harus Dilakukan?
Untuk pengguna SharePoint on-premises:
- Segera pasang patch resmi dari Microsoft
- Ikuti rekomendasi mitigasi yang diberikan
- Jika tidak bisa patch sekarang, pertimbangkan untuk mematikan server sementara waktu
- Patch tersedia untuk:
- SharePoint Enterprise Server 2016
- SharePoint Server 2019
(per 21 Juli 2025)
Periksa Keberadaan File Berikut:
Jika file-file ini ditemukan, hapus segera:
- aspx
- aspx
- aspx
- aspx
Catatan: Mungkin ada variasi file lain yang belum diamati oleh Sophos.
Proteksi dari Sophos:
- Access_3b: Aturan perilaku yang mencegah eksploitasi server publik
- Persist_26c: Melindungi dari eksekusi lolbin lewat webshell yang ditulis ke disk
- Troj/WebShel-P: Mendeteksi ASP webshell umum yang digunakan dalam serangan SharePoint
- Troj/ASPDmp-A: Deteksi ASP yang mencoba mengambil dan membocorkan kunci mesin
- AMSI/ASPDmp-A: Bagian dari proteksi AMSI, mencegah penurunan file .aspx berbahaya
Penutup
SharePoint Online di Microsoft 365 tidak terpengaruh, menurut Microsoft.
Namun, bagi pengguna SharePoint on-premises, segera lakukan pembaruan dan pemantauan aktif terhadap sistem sangat disarankan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!