Mengapa Microsoft Exchange Mengalami Dua Insiden Keamanan Besar dalam Minggu yang Sama

Meski begitu, tidak ada bukti bahwa rantai exploit Pwn2Own ini digunakan di dunia nyata saat demonstrasi berlangsung. Tujuan utamanya adalah mengungkap bug agar vendor dapat menambalnya.

Zero‑Day yang Sedang Dieksploitasi: CVE‑2026‑42897

Pada waktu hampir bersamaan, Microsoft mengumumkan kerentanan berbeda yang sudah dieksploitasi secara aktif oleh penyerang.

Kerentanan tersebut, CVE‑2026‑42897, merupakan improper input neutralization atau cross‑site scripting (XSS) pada Microsoft Exchange Server. Kerentanan ini dapat memungkinkan spoofing atau eksekusi skrip berbahaya melalui antarmuka web seperti Outlook Web Access.

Laporan keamanan menunjukkan bahwa penyerang dapat memanfaatkan celah ini dengan mengirim konten yang dirancang khusus sehingga JavaScript berbahaya dijalankan di browser korban saat pesan dibuka melalui OWA.

Versi yang terdampak

Kerentanan ini memengaruhi deployment Exchange on‑premises, termasuk:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Menurut panduan Microsoft, Exchange Online tidak terdampak oleh kerentanan ini.

Kerentanan ini memiliki skor CVSS sekitar 8.1 (High) dan segera dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA, yang menandakan eksploitasi nyata sudah terjadi.

Mitigasi yang Direkomendasikan Microsoft

Karena eksploitasi sudah terjadi sebelum patch permanen tersedia, Microsoft merilis langkah mitigasi sementara.

Mitigasi utama menggunakan Exchange Emergency Mitigation Service (EEMS), sebuah layanan yang dapat otomatis menerapkan aturan perlindungan pada server Exchange.

Untuk CVE‑2026‑42897, mitigasi dilakukan dengan aturan URL Rewrite yang memblokir permintaan berbahaya menuju komponen yang rentan.

Administrator disarankan untuk:

• Memastikan Exchange Emergency Mitigation Service aktif.
• Menginstal pembaruan keamanan resmi segera setelah tersedia.
• Memantau log Exchange dan IIS untuk aktivitas mencurigakan.

Respons CISA dan Katalog KEV

Kerentanan ini dengan cepat dimasukkan ke dalam CISA Known Exploited Vulnerabilities Catalog, yang digunakan oleh pemerintah AS untuk melacak bug yang benar‑benar digunakan dalam serangan.

Jika sebuah kerentanan masuk daftar KEV, lembaga federal sipil AS wajib memperbaikinya sesuai kebijakan Binding Operational Directive (BOD) 22‑01.

Dalam praktiknya, pencantuman di KEV berarti organisasi harus memperlakukannya sebagai risiko operasional mendesak, bukan sekadar kelemahan teoritis.

Langkah respons biasanya mencakup:

• Segera menerapkan patch atau mitigasi vendor
• Memeriksa apakah layanan Exchange terekspos ke internet
• Mengisolasi sistem yang rentan jika mitigasi belum tersedia

Mengapa Ini Penting bagi Pengguna Exchange On‑Premises

Jika dilihat bersama, dua insiden ini menunjukkan mengapa Exchange on‑premises tetap menjadi target favorit penyerang.

Beberapa faktor yang berperan:

1. Layanan sering terbuka ke internet
Banyak organisasi membuka Outlook Web Access atau layanan Exchange lainnya ke internet publik, sehingga memperluas permukaan serangan.

2. Nilai akses yang sangat tinggi
Jika Exchange berhasil ditembus, penyerang bisa mendapatkan akses ke email, token autentikasi, dan bahkan lingkungan domain Windows secara lebih luas.

3. Banyak jalur serangan berbeda
Dalam minggu yang sama terlihat dua spektrum ancaman:

• rantai exploit kompleks hasil penelitian keamanan
• kerentanan web yang lebih sederhana tetapi sudah dipakai dalam serangan nyata

4. Celah waktu sebelum patch tersedia
Kasus zero‑day menunjukkan bahwa penyerang bisa mengeksploitasi bug sebelum patch resmi dirilis, sehingga organisasi harus mengandalkan mitigasi sementara dan pemantauan sistem.

Kesimpulan

Peristiwa di sekitar Pwn2Own Berlin 2026 dan CVE‑2026‑42897 mempertegas pola yang sudah lama terlihat: server Microsoft Exchange yang berjalan on‑premises tetap menjadi titik paparan keamanan yang kritis bagi banyak organisasi.

Rantai exploit Pwn2Own menunjukkan kemampuan peneliti menemukan cara kompromi baru bahkan pada sistem yang telah diperbarui. Sementara itu, zero‑day yang dieksploitasi di dunia nyata menunjukkan seberapa cepat penyerang memanfaatkan kerentanan yang muncul.

Bagi organisasi yang masih menjalankan Exchange on‑premises, pelajarannya jelas: minimalkan paparan ke internet, aktifkan layanan mitigasi otomatis, dan terapkan pembaruan keamanan secepat mungkin ketika tersedia.