Pada 23 Juli 2025, Imperva Threat Research menerbitkan pengumuman bahwa pelanggan mereka telah dilindungi dari eksploit zero‑day kritikal di Microsoft SharePoint, dikenal sebagai ToolShell (CVE‑2025‑53770), dengan skor CVSS sangat tinggi yaitu 9.8. Eksploit ini memungkinkan penyerang melakukan eksekusi kode dari jarak jauh tanpa autentikasi (RCE), menyasar server SharePoint on‑premises, termasuk versi 2016, 2019, dan Subscription Edition .
Lingkup Serangan dan Target
ToolShell merupakan rangkaian eksploit yang memanfaatkan celah deserialization tidak aman dan bypass otentikasi. Awalnya ditemukan sejak 7 Juli 2025 dan telah memicu kenaikan ancaman oleh aktor negara seperti Storm‑2603, Linen Typhoon, dan Violet Typhoon yang telah menyasar 400+ organisasi global. Target utamanya adalah server SharePoint yang dapat diakses langsung dari internet, dimana penyerang berhasil mencuri ASP.NET MachineKeys, yang memungkinkan akses persistensi bahkan setelah patch diterapkan.
Solusi Proteksi dari Imperva
Imperva menegaskan bahwa pelanggannya tetap aman karena telah memasang mitigasi yang memadai dari platform mereka. Keamanan disediakan melalui deteksi lalu lintas mencurigakan dan filtering payload eksploitatif RCE, termasuk signature aktif untuk SMS dan WAF secara inline. Imperva juga menyediakan langkah-langkah tanggap seperti patch sharepoint segera, rotasi kunci kriptografi, dan integrasi antimalware seperti AMSI dan Microsoft Defender Antivirus .
Dampak & Pengaruh bagi Pengguna
Serangan ToolShell menunjukkan betapa berbahayanya zero-day exploit yang memanfaatkan kelemahan autentikasi dan deserialization. Eksploit ini telah menyebabkan kehilangan kontrol atas kunci kriptografi server dan potensi eskalasi ke ransomware seperti Warlock dan Lockbit . Oleh karena itu peran sistem proteksi inline seperti Imperva sangat krusial dalam memperkecil risiko serangan sebelum patch atau mitigasi lain dapat berjalan.
Tabel Ringkasan ToolShell & Proteksi Imperva
| Elemen | Uraian |
| Target | SharePoint Server 2016, 2019, Subscription Edition (on‑prem) |
| CVE Utama | CVE‑2025‑53770 (skor CVSS 9.8) |
| Teknik Eksploit | Zero‑day RCE, bypass autentikasi, insecure deserialization |
| Aktor Ancaman | Storm‑2603, Linen Typhoon, Violet Typhoon |
| Dampak Potensial | Pencurian MachineKeys, akses persisten, potensi ransomware |
| Proteksi Imperva | WAF/IPS inline, filtering payload ToolShell, mitigasi trafik eksploitatif |
| Rekomendasi Mitigasi | Patch cepat, rotasi kunci, AMSI/Defender AV, isolasi server |
Kesimpulan
Imperva memastikan bahwa pelanggannya terlindungi dari eksploit zero‑day sangat berbahaya ToolShell pada Microsoft SharePoint. Meskipun exploit aktif terjadi secara global dan menyasar ribuan server, sistem proteksi inline dari Imperva berhasil menghentikan payload eksploitatif sebelum mencapai aplikasi backend. Artikel ini menunjukkan pentingnya lapisan pertahanan keamanan tambahan di luar patch tradisional, khususnya terhadap ancaman yang berubah cepat seperti zero-day exploit.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan imperva indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
