Microsoft akhirnya merilis pembaruan keamanan penting pada hari Minggu untuk menanggulangi celah berbahaya di SharePoint yang tengah aktif dieksploitasi oleh penyerang. Tidak hanya itu, raksasa teknologi ini juga mengungkap satu kerentanan baru yang telah ditambal dengan perlindungan lebih ketat.

Pusat perhatian utama adalah CVE-2025-53770, celah dengan skor CVSS nyaris sempurna di angka 9.8. Masalah ini muncul dari proses deserialization data yang tidak terpercaya—membuka jalan bagi penyerang untuk mengeksekusi kode berbahaya secara remote di SharePoint Server versi on-premise.

Menurut Microsoft, celah ini tengah dimanfaatkan dalam serangan dunia nyata, khususnya terhadap organisasi yang menjalankan SharePoint Server secara lokal. Yang lebih mengkhawatirkan, CVE-2025-53770 bukanlah satu-satunya ancaman—ada juga CVE-2025-53771, kelemahan spoofing berbasis path traversal yang memungkinkan penyerang menyamarkan aktivitas mereka melalui jaringan.

Microsoft mencatat bahwa dua celah baru ini berkaitan erat dengan CVE-2025-49704 dan CVE-2025-49706 yang sebelumnya sudah ditambal dalam Patch Tuesday Juli 2025. Kombinasi keempatnya membentuk rantai eksploitasi berbahaya yang dijuluki ToolShell, memungkinkan penyerang memperoleh kendali penuh atas sistem.

Meski pembaruan sudah dirilis, Microsoft menyarankan langkah tambahan bagi pengguna:

"Kalau AMSI tidak bisa diaktifkan, Anda tetap harus mengganti kunci mesin setelah memperbarui sistem," tegas Microsoft. Eye Security mengungkap bahwa setidaknya 54 organisasi—termasuk lembaga keuangan, universitas, rumah sakit, dan instansi pemerintah—telah menjadi korban eksploitasi sejak 18 Juli lalu.

Sementara itu, Badan Keamanan Siber AS (CISA) telah memasukkan CVE-2025-53770 ke dalam katalog Known Exploited Vulnerabilities dan mewajibkan seluruh instansi pemerintahan sipil federal untuk memasang patch sebelum 21 Juli 2025.

Unit 42 dari Palo Alto Networks menyebut kampanye serangan ini sebagai "ancaman berdampak tinggi" yang bisa menembus perlindungan otentikasi seperti MFA dan SSO. Begitu masuk, penyerang langsung mengambil data sensitif, menanam backdoor, dan mencuri kunci enkripsi.

“Jika SharePoint Anda terhubung ke internet, asumsikan bahwa Anda sudah dibobol. Sekadar patching tidak cukup,” ujar Michael Sikorski, CTO Unit 42. Karena SharePoint terintegrasi erat dengan layanan Microsoft seperti Teams, OneDrive, Outlook, dan Office, kebocoran satu titik bisa jadi pintu masuk menuju keseluruhan sistem.

Saran terakhir dari para ahli? Cabut koneksi SharePoint dari internet sementara waktu jika perlu. Langkah ini mungkin terdengar ekstrem, tapi bisa menjadi satu-satunya pengaman sebelum segalanya terlambat.