
CISA telah mengeluarkan peringatan mendesak terkait serangkaian kerentanan pada Microsoft SharePoint yang sedang aktif dieksploitasi oleh penyerang. Zero-day Remote Code Execution (RCE) CVE-2026-58644 secara resmi ditambahkan ke Known Exploited Vulnerabilities (KEV) catalog, sementara serangan terhadap tiga vulnerabilities lainnya juga sedang berlangsung. Deadline kepatuhan BOD 26-04 ditetapkan pada 17 Juli 2026.
APA YANG TERJADI?
CISA mendesak seluruh administrator untuk segera menambal beberapa kerentanan SharePoint yang sedang dieksploitasi. Kerentanan utama yang dilaporkan sedang aktif dieksploitasi meliputi CVE-2026-32201, CVE-2026-45659, dan CVE-2026-56164. Selain itu, dua kerentanan lagi yang telah ditambal — CVE-2026-55040 dan CVE-2026-58644 — juga dikonfirmasi sedang dieksploitasi, dengan CVE-2026-58644 yang merupakan zero-day RCE ditambahkan ke KEV.
Berdasarkan data dari Censys, terdapat sekitar 10.000 server SharePoint yang terekspos di internet, dan lebih dari 800 di antaranya masih belum ditambal. Ini berarti ratusan organisasi di seluruh dunia masih sangat rentan terhadap serangan yang memanfaatkan kerentanan ini.
DETAIL TEKNIS
CVE-2026-58644 merupakan zero-day Remote Code Execution (RCE) yang memungkinkan penyerang menjalankan kode arbitrer pada server SharePoint tanpa perlu autentikasi. CVE-2026-56164 dan CVE-2026-32201 juga merupakan vulnerabilities dengan tingkat keparahan tinggi yang sedang aktif dieksploitasi. CVE-2026-45659 dan CVE-2026-55040 telah ditambal namun tetap masuk dalam radar eksploitasi aktif.
CISA merekomendasikan beberapa langkah mitigasi tambahan selain patching, termasuk mengintegrasikan Antimalware Scan Interface (AMSI) dengan Microsoft Defender Antivirus (MDAV), melakukan rotasi IIS machine keys, dan menerapkan reverse proxy untuk membatasi akses langsung ke server SharePoint.
DAMPAK TERHADAP INDONESIA
Microsoft SharePoint merupakan salah satu platform kolaborasi yang paling banyak digunakan oleh instansi pemerintah Indonesia, BUMN, dan sektor pendidikan. Banyak universitas dan kementerian mengandalkan SharePoint untuk pengelolaan dokumen dan workflow internal. Dengan adanya zero-day RCE ini, setiap server SharePoint yang terekspos tanpa patch yang memadai berada dalam risiko kompromisasi serius.
Menurut data dari Shodan dan Censys, terdapat ratusan server SharePoint Indonesia yang terekspos di internet, banyak di antaranya berada di domain .go.id dan .ac.id. Dalam konteks PDP Law, kegagalan untuk menambal kerentanan zero-day yang sudah diketahui secara publik ini dapat dianggap sebagai kelalaian yang berakibat pada pelanggaran data pribadi.
REKOMENDASI MITIGASI
1. Segera terapkan patch terbaru dari Microsoft untuk SharePoint. 2. Integrasikan AMSI dengan Microsoft Defender Antivirus (MDAV). 3. Lakukan rotasi IIS machine keys. 4. Implementasikan reverse proxy untuk membatasi akses langsung ke server. 5. Audit seluruh server SharePoint yang terekspos di internet. 6. Aktifkan enhanced logging untuk mendeteksi upaya eksploitasi.
Analisa Retasan
Serangan zero-day terhadap Microsoft SharePoint ini menunjukkan bahwa platform kolaborasi enterprise tetap menjadi target utama bagi threat actor. SharePoint memiliki attack surface yang sangat luas — mulai dari web application layers, SOAP/REST APIs, hingga add-in ecosystem. Ketika CISA memasukkan CVE-2026-58644 ke KEV dengan deadline kepatuhan yang sangat ketat, ini menandakan bahwa eksploitasi sudah meluas.
Fakta bahwa 800+ server masih belum ditambal meskipun patch sudah tersedia menggambarkan fenomena yang umum: gap antara ketersediaan patch dan penerapannya. Ini mirip dengan situasi ProxyLogon (CVE-2021-26855) dan ProxyShell (CVE-2021-34473) di mana server Microsoft Exchange yang belum ditambal menjadi target serangan massif oleh APT groups dan operator ransomware.
Untuk organisasi Indonesia, rekomendasi CISA tentang AMSI integration dan rotasi IIS machine keys patut mendapat perhatian serius. BSSN dan vendor Microsoft Indonesia perlu mengeluarkan panduan teknis spesifik untuk membantu organisasi melakukan mitigasi. Mengingat banyaknya server SharePoint pemerintah yang terekspos, koordinasi antara BSSN, Kementerian Kominfo, dan setiap kementerian/lembaga menjadi sangat krusial.
Sumber: BleepingComputer — CISA Warns Admins to Patch Actively Exploited SharePoint Flaws


