Microsoft mengeluarkan peringatan resmi terkait kerentanan tingkat tinggi yang berdampak pada pengguna Microsoft Exchange dalam konfigurasi hybrid, yaitu lingkungan di mana Exchange Server lokal diintegrasikan dengan layanan Exchange Online (Microsoft 365). Celah ini memungkinkan penyerang untuk mengeksploitasi mekanisme sinkronisasi, membuka potensi akses tidak sah terhadap akun pengguna di lingkungan cloud.
Kerentanan di Layanan Exchange Online PowerShell
Masalah ini berakar pada cara Exchange Online PowerShell menangani otentikasi saat dijalankan dari server lokal. Dalam skenario hybrid, akun yang memiliki hak terbatas di lingkungan on-premises bisa disalahgunakan untuk mendapatkan token akses penuh ke Exchange Online, melewati kontrol izin yang seharusnya membatasi tindakan administratif.
Dengan kata lain, penyerang dengan akses lokal terbatas bisa mengeskalasi haknya untuk melakukan manipulasi mailbox, membaca email, atau bahkan menyisipkan aturan berbahaya di akun Microsoft 365 target.
Tidak Terdeteksi oleh Sistem Secara Default
Microsoft menyebut bahwa serangan ini sulit dideteksi, karena aktivitasnya dilakukan melalui jalur PowerShell yang sah, tanpa pemicu mencolok di sistem log. Hal ini menjadikan kerentanan ini sangat berbahaya bagi organisasi yang belum menerapkan pembatasan eksplisit terhadap koneksi PowerShell hybrid.
Eksploitasi semacam ini juga bisa diperparah oleh kesalahan konfigurasi atau kelonggaran hak akses pada server Exchange lokal.
Rekomendasi Mitigasi
Microsoft telah merilis panduan mitigasi sementara yang dapat dilakukan sebelum pembaruan permanen tersedia:
- Nonaktifkan WinRM Basic Auth pada Exchange Server lokal jika tidak diperlukan.
- Batasi akses PowerShell jarak jauh hanya untuk akun administratif tertentu.
- Audit semua koneksi dan token OAuth yang dibuat dari server lokal ke Exchange Online.
- Gunakan Conditional Access Policies untuk memperkuat kontrol akses ke tenant Microsoft 365.
Pihak Microsoft juga mendorong organisasi yang menggunakan hybrid Exchange agar meninjau ulang konfigurasi trust dan konektivitas antara sistem lokal dan cloud secara menyeluruh.
Risiko Nyata bagi Infrastruktur Email Modern
Lingkungan hybrid tetap banyak digunakan oleh organisasi besar yang masih dalam proses migrasi penuh ke cloud, atau yang mempertahankan server lokal untuk kebutuhan compliance. Dengan adanya kerentanan ini, Microsoft menegaskan bahwa pengelola sistem TI harus bertindak proaktif untuk mencegah potensi penyalahgunaan yang bisa mengarah pada kebocoran data berskala besar.
Sumber: Microsoft warns of high severity flaw in Hybrid Exchange deployments