CVE-2026-45659 SharePoint RCE Ditambahkan ke CISA KEV Usai Eksploitasi Aktif

Jul 2, 2026 - 13:10
 0  4
CVE-2026-45659 SharePoint RCE Ditambahkan ke CISA KEV Usai Eksploitasi Aktif

CISA (Cybersecurity and Infrastructure Security Agency) Amerika Serikat resmi menambahkan kerentanan CVE-2026-45659 yang mengancam Microsoft SharePoint Server ke dalam katalog Known Exploited Vulnerabilities (KEV) pada Rabu, 2 Juli 2026. Langkah ini diambil setelah adanya bukti eksploitasi aktif dari celah keamanan tersebut.

Ad
Ad

Detail Kerentanan Remote Code Execution di SharePoint Server

Kerentanan ini merupakan kasus remote code execution (RCE) yang terjadi akibat proses deserialisasi data yang tidak dipercaya. Microsoft telah merilis pembaruan pada Mei 2026 untuk mengatasi masalah ini pada beberapa versi SharePoint, termasuk SharePoint Server Subscription Edition, SharePoint Server 2019, dan SharePoint Enterprise Server 2016.

Menurut Microsoft, celah ini dapat dimanfaatkan oleh penyerang yang sudah terautentikasi tanpa memerlukan hak istimewa tingkat administrator. Penyerang dengan minimal hak sebagai Site Member (PR:L) dapat melakukan eksekusi kode jarak jauh pada server SharePoint melalui jaringan.

"Microsoft SharePoint Server mengandung kerentanan deserialisasi data tidak terpercaya yang memungkinkan penyerang berizin mengeksekusi kode melalui jaringan," jelas CISA.

Meskipun Microsoft mengklasifikasikan kemungkinan eksploitasi sebagai "Eksploitasi Kurang Mungkin" (Exploitation Less Likely), namun fakta adanya serangan aktif membuat badan federal AS seperti Federal Civilian Executive Branch (FCEB) diwajibkan melakukan patch paling lambat tanggal 4 Juli 2026.

Serangan Ransomware Storm-2603 dan Aktivitas Ancaman Paralel

Selain pengumuman CISA, Microsoft juga mengungkap temuan investigasi ransomware yang mengungkap dua kelompok penyerang berbeda yang beroperasi bersamaan dalam satu jaringan. Salah satunya adalah kelompok Storm-2603 yang dikenal menyebarkan ransomware Warlock.

Kelompok ini biasanya mengeksploitasi kerentanan di server SharePoint on-premises sejak pertengahan 2025. Penyerang mencoba akses awal dengan mencari file seperti win.ini dan web.config, yang menunjukkan upaya eksploitasi kerentanan CVE-2025-11371 pada Gladinet Triofox dengan skor CVSS 9.1.

Setelah mendapat akses, mereka menggunakan berbagai alat seperti Velociraptor untuk menyamarkan aktivitas berbahaya, serta membangun saluran akses jarak jauh menggunakan tunneling Cloudflare, Zoho Assist, dan koneksi SSH yang dikonfigurasi lewat Visual Studio Code.

  • Penyerang juga meningkatkan hak akses dengan membuat akun administrator lokal dan domain.
  • Menggunakan driver rentan "NSecKrnl.sys" untuk memanipulasi perlindungan endpoint agar aktivitas mereka sulit terdeteksi.

Microsoft juga mendeteksi adanya aktor ancaman lain yang tidak terkait menggunakan teknik seperti DLL side-loading dan backdoor kustom dalam jaringan yang sama, membuat atribusi serangan semakin rumit.

Lebih lanjut, kedua kelompok ini berhasil melakukan pergerakan lateral ke organisasi kedua, yang kemudian juga dikompromikan oleh ransomware yang sama.

"Aktivitas tumpang tindih ini memungkinkan akses berkelanjutan sekaligus menyembunyikan luasnya intrusi," ungkap tim Respons Insiden Microsoft. "Kombinasi taktik ransomware yang dikenal dan teknik tersembunyi memungkinkan penyerang menancapkan akses mendalam dan jangka panjang."

Microsoft menegaskan bahwa insiden yang terlihat seperti serangan ransomware tunggal bisa jadi sangat kompleks, melibatkan banyak aktor dan teknik yang berbeda. Ini menjadi peringatan bagi tim keamanan bahwa sinyal yang terisolasi jarang menggambarkan keseluruhan kejadian.

Analisis Redaksi

Menurut pandangan redaksi, penambahan CVE-2026-45659 ke dalam daftar KEV CISA menegaskan betapa seriusnya ancaman terhadap infrastruktur TI pemerintah dan organisasi besar yang mengandalkan SharePoint Server. Kerentanan ini, walau memerlukan autentikasi minimal, tetap berbahaya karena memungkinkan eksekusi kode jarak jauh tanpa hak istimewa tinggi, yang membuka peluang penyusupan dan eskalasi serangan lebih lanjut.

Fakta bahwa Microsoft mendeteksi dua kelompok penyerang berbeda beroperasi simultan dalam jaringan yang sama juga menunjukkan pola serangan yang semakin kompleks dan terkoordinasi, yang dapat mengecoh tim keamanan dan memperpanjang waktu respons. Hal ini menggarisbawahi pentingnya pendekatan keamanan berlapis dan deteksi dini terhadap aktivitas anomali.

Ke depan, organisasi perlu mengutamakan pembaruan keamanan tepat waktu, memperkuat monitoring jaringan, dan melakukan pelatihan kesadaran keamanan siber. Selain itu, pengawasan terhadap vektor ancaman yang sudah diketahui seperti ransomware Storm-2603 harus diperketat, mengingat kelompok ini terus mencari celah baru untuk mengeksploitasi sistem kritikal.

Untuk informasi lebih lanjut dan update terkini, Anda dapat mengunjungi sumber asli berita di The Hacker News atau mengikuti berita keamanan siber dari situs resmi CISA.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad