CISA Peringatkan Tiga Celah SharePoint Sedang Dieksploitasi Aktif
FA
Faris Aksa

Dipublikasikan 15 Juli 2026

CISA Peringatkan Tiga Celah SharePoint Sedang Dieksploitasi Aktif

Badan keamanan siber Amerika Serikat, CISA, baru-baru ini mengeluarkan peringatan keras terkait tiga kerentanan kritis pada Microsoft SharePoint. Ketiga celah keamanan tersebut telah masuk ke dalam Known Exploited Vulnerabilities (KEV) catalog, yang berarti ada bukti nyata eksploitasi di lapangan yang telah dikonfirmasi oleh pemerintah federal. Dua di antaranya bahkan dinilai sangat kritis karena memungkinkan penyerang mengeksekusi kode jarak jauh tanpa memerlukan autentikasi sama sekali. Bagi perusahaan yang mengandalkan SharePoint untuk manajemen dokumen dan kolaborasi internal, ini adalah alarm merah yang tidak bisa diabaikan.

Menurut laporan mendalam dari The Register, kerentanan ini memengaruhi berbagai versi SharePoint on-premises yang banyak digunakan oleh perusahaan besar, instansi pemerintah, dan organisasi non-profit. Serangan yang memanfaatkan celah ini biasanya dimulai dengan serangan spear-phishing yang menargetkan administrator sistem atau pengguna dengan hak akses tinggi. Setelah kredensial berhasil dicuri atau celah dieksploitasi langsung, penyerang bisa berkembang menjadi akses penuh ke jaringan internal korban, mencuri data sensitif, atau menanamkan backdoor untuk akses jangka panjang.

Dua CVE Kritis dengan Skor CVSS Mendekati Maksimal

CVE pertama dalam daftar ini dinilai dengan skor CVSS 9.8, yang berada sangat dekat dengan skor maksimal 10.0. Celah ini memungkinkan penyerang yang tidak terautentikasi untuk mengunggah file berbahaya ke server SharePoint melalui mekanisme upload yang tidak terlindungi dengan baik. Setelah file berhasil diunggah, penyerang bisa mengeksekusi arbitrary code dengan hak akses sistem lokal. Artinya, satu klik pada link berbahaya atau satu permintaan HTTP yang dibuat secara otomatis sudah cukup untuk membuka pintu bagi takeover server.

CVE kedua memiliki vektor serupa tetapi memanfaatkan komponen workflow yang kurang terlindungi. SharePoint workflows adalah fitur yang sangat populer di kalangan enterprise untuk otomasi proses bisnis seperti approval dokumen, routing invoice, dan onboarding karyawan. Sayangnya, kompleksitas workflows ini juga menciptakan attack surface yang luas. Penyerang bisa menyusupkan payload berbahaya ke dalam definisi workflow yang kemudian dieksekusi oleh server dengan konteks sistem.

Yang lebih mengkhawatirkan, CISA menyatakan bahwa mereka telah mengamati eksploitasi massal terhadap celah ketiga yang dinilai sedikit lebih rendah dengan skor CVSS 8.8. Celah ini memungkinkan elevation of privilege, yang artinya penyerang yang sudah berada di dalam jaringan bisa meningkatkan hak aksesnya menjadi administrator domain. Kombinasi dari remote code execution dan privilege escalation menjadikan serangan ini sangat berbahaya karena penyerang bisa masuk sebagai tamu dan keluar sebagai raja.

Rekomendasi Patch dan Mitigasi Sementara

Microsoft telah merilis pembaruan keamanan dalam rilis Patch Tuesday Juli 2026. Administrator sistem yang menjalankan SharePoint Server 2019, SharePoint Server Subscription Edition, dan versi terdahulu yang masih didukung sangat disarankan untuk segera menginstal patch yang relevan. CISA memberikan batas waktu hingga akhir Juli 2026 untuk semua lembaga federal menutup celah ini, namun sektor swasta sebaiknya tidak menunggu deadline pemerintah untuk bertindak.

Selain patching, tim keamanan juga disarankan untuk menerapkan beberapa langkah mitigasi sementara yang bisa mengurangi risiko sebelum patch terinstal sepenuhnya. Pertama, memblokir akses anonim ke library dokumen yang tidak perlu. Banyak insiden dimulai dari folder yang di-share secara publik tanpa disadari. Kedua, mengaktifkan audit logging pada semua aktivitas unggah file dan modifikasi izin. Log ini adalah sumber kebenaran utama saat melakukan forensic investigation. Ketiga, membatasi eksekusi skrip di server SharePoint melalui konfigurasi execution policy yang ketat.

Pelajaran untuk Developer dan Tim Infra

Insiden ini mengingatkan kita bahwa aplikasi enterprise yang sudah mapan dan digunakan oleh jutaan organisasi tetap memiliki attack surface yang luas. Bagi developer, ini adalah sinyal kuat untuk selalu memvalidasi input file upload dengan ketat, membatasi tipe file yang diizinkan hanya pada ekstensi yang benar-benar diperlukan, dan tidak pernah mengeksekusi konten user-uploaded secara langsung di server. Server-side request forgery (SSRF) dan path traversal sering kali berpasangan dengan file upload vulnerability, jadi pertahankan kedua pintu tersebut dengan sama seriusnya.

Bagi tim infrastruktur, monitoring anomaly pada log autentikasi dan aktivitas file server adalah garis pertahanan terakhir yang harus selalu dijaga. Gunakan security information and event management (SIEM) untuk mendeteksi pola akses yang tidak biasa, seperti banyaknya percobaan upload dari satu alamat IP atau perubahan izin massal yang terjadi di luar jam kerja. Network segmentation juga direkomendasikan agar bahkan jika SharePoint dikompromikan, penyerang tidak bisa bergerak lateral dengan mudah ke sistem lain dalam jaringan.

Perusahaan yang menggunakan SharePoint Online diklaim tidak terdampak langsung karena Microsoft mengelola patch secara otomatis di sisi cloud. Namun, hybrid deployment yang menghubungkan on-premises dengan cloud tetap berisiko jika komponen lokalnya belum diperbarui. Pastikan asset inventory sistem Anda akurat dan tidak ada server SharePoint lama yang terlupakan di sudut jaringan. Satu instance yang terlewat bisa menjadi pintu masuk bagi ransomware yang mengancam seluruh organisasi. Keamanan hanya sekuat titik terlemah, dan dalam kasus ini titik terlemahnya adalah server yang lupa di-patch.

Dalam konteks keamanan siber Indonesia, serangan yang menargetkan SharePoint juga perlu diwaspadai. Banyak instansi pemerintah dan BUMN yang menggunakan SharePoint untuk portal internal dan manajemen dokumen. Kerentanan serupa bisa menjadi pintu masuk bagi threat actor yang menargetkan infrastruktur kritis nasional. Koordinasi antara BSSN, vendor, dan tim IT internal harus diperkuat untuk memastikan patch diterapkan tepat waktu tanpa mengganggu layanan publik.