“ToolShell” Serangan Server Microsoft SharePoint: Ancaman Eksploitasi Zero‑Day

by Feradhita NKD

Serangan server Microsoft SharePoint kembali menjadi sorotan setelah ditemukannya eksploitasi zero-day yang canggih dan tidak memerlukan autentikasi. Eksploitasi ini, yang dikenal dengan nama ToolShell, memanfaatkan dua celah keamanan kritis—CVE-2025-53770 dan CVE-2025-53771—untuk mengeksekusi kode secara remote dan diam-diam mengambil kendali penuh terhadap server yang terdampak.

Bagaimana ToolShell Mengeksploitasi SharePoint?

Tim peneliti dari Eye Security mendeteksi adanya dua gelombang serangan yang menggunakan rantai kerentanan (CVE-2025-53770 dan CVE-2025-53771), yang mengakibatkan puluhan server disusupi. Para penyerang memasang web shell pada server SharePoint yang rentan dan mencuri kunci kriptografi yang nantinya dapat memungkinkan mereka untuk menyamar sebagai layanan atau pengguna yang sah. Dengan cara ini, mereka dapat mengakses server yang disusupi bahkan setelah kerentanan telah diperbaiki dan malware telah dihancurkan.

Baca Juga: CVE-2025-29927: Kerentanan Kritis Middleware di Next.js

Dampak Global Serangan ToolShell

Serangan ini berskala luas dan menargetkan ribuan server Microsoft SharePoint yang belum diperbarui, terutama di kawasan Amerika Utara dan Eropa. Mengingat posisi SharePoint sebagai pusat kolaborasi data dan dokumen perusahaan, keberhasilan serangan dapat membuka akses ke data internal penting, serta memungkinkan pivot ke sistem lain dalam infrastruktur.

Efek lanjutannya dapat mencakup:

  • Kebocoran data rahasia
  • Enkripsi data untuk ransomware
  • Penyebaran lateral ke sistem internal lainnya

Tanggapan Microsoft dan Patch Keamanan

Microsoft telah mengonfirmasi keberadaan dua celah tersebut dan merilis patch darurat pada 21 Juli 2025 untuk SharePoint Subscription Edition dan SharePoint Server 2019. Sementara itu, pembaruan untuk SharePoint Server 2016 masih dalam proses pengembangan.

Sebagai langkah mitigasi jangka pendek, Microsoft dan komunitas keamanan menyarankan:

  • Mengaktifkan Antimalware Scan Interface (AMSI) untuk mendeteksi skrip jahat
  • Memutar ulang cryptographic key setelah server diperbarui
  • Memantau anomali otentikasi melalui sistem SIEM atau EDR

Rekomendasi Keamanan Menghadapi Serangan ToolShell

Menghadapi ancaman ToolShell dan serangan server Microsoft SharePoint lainnya, organisasi disarankan untuk:

  1. Segera menerapkan patch resmi dari Microsoft pada seluruh versi SharePoint yang digunakan
  2. Mengaktifkan firewall aplikasi web (WAF) untuk memfilter permintaan mencurigakan, terutama yang mengakses endpoint ToolPane
  3. Mengimplementasikan prinsip least privilege, membatasi akses ke sistem SharePoint hanya kepada pengguna yang benar-benar membutuhkan
  4. Melakukan monitoring aktivitas mencurigakan secara real-time melalui solusi SIEM/EDR
  5. Segmentasi jaringan untuk membatasi potensi penyebaran jika terjadi infiltrasi

Mengapa Serangan Ini Patut Diwaspadai?

Serangan ToolShell sangat berbahaya karena tidak membutuhkan autentikasi dan memungkinkan pelaku mengakses sistem inti perusahaan hanya dengan satu request HTTP. Jika berhasil, dampaknya bisa sangat luas, termasuk pengambilalihan server, manipulasi dokumen, dan distribusi malware lanjutan.

Hal ini juga menunjukkan bahwa ancaman terhadap sistem kolaborasi perusahaan tidak hanya berasal dari aplikasi eksternal, tetapi juga dari komponen internal seperti SharePoint.

Evaluasi Kesiapan Sistem Anda Sekarang

Serangan ini menjadi pengingat keras bahwa mengandalkan patch saja tidak cukup. Perusahaan harus mengadopsi pendekatan menyeluruh—termasuk pengujian keamanan berkala dan audit konfigurasi mendalam—untuk memastikan sistem benar-benar tangguh terhadap eksploitasi canggih.

LOGIQUE: Solusi Profesional untuk Keamanan Sistem Anda

Tingkatkan pertahanan siber organisasi Anda dengan layanan profesional dari LOGIQUE Digital Indonesia. Kami menyediakan solusi pentesting menyeluruh untuk mendeteksi dan menutup celah sebelum dimanfaatkan oleh pihak tidak bertanggung jawab.

Lindungi infrastruktur digital perusahaan Anda dari ancaman siber yang terus berkembang.
Hubungi LOGIQUE sekarang dan dapatkan jasa pentest terbaik dengan tim bersertifikasi internasional!

Cyber Security
Feradhita NKD
Feradhita NKD

https://www.logique.co.id/blog/author/feradhita/

Hai! Saya adalah content writer berpengalaman dengan minat mendalam di dunia teknologi. Saya senang menjelajahi tren terbaru di dunia IT, pentest, keamanan siber, dan menerjemahkan informasi teknis menjadi tulisan yang menarik. Dengan fokus pada kebutuhan audiens dan penggunaan bahasa sederhana, saya berusaha menyajikan informasi kompleks dengan cara yang mudah dipahami.

    Scroll to top