CISA: Celah Serius di Windows SMB Kini Dieksploitasi dalam Serangan Aktif

CISA (Cybersecurity and Infrastructure Security Agency) memperingatkan bahwa aktor ancaman kini aktif mengeksploitasi kerentanan serius pada protokol Windows SMB yang memungkinkan penyerang memperoleh hak akses SYSTEM di sistem yang belum diperbarui.

Kerentanan ini dilacak sebagai CVE-2025-33073 dan memengaruhi semua versi Windows Server, Windows 10, serta Windows 11 hingga edisi 24H2.

Celah Eskalasi Privilege Melalui SMB

Microsoft pertama kali memperbaiki bug ini pada Patch Tuesday Juni 2025, dan menjelaskan bahwa masalahnya berasal dari kelemahan kontrol akses (improper access control) pada protokol Server Message Block (SMB).

Melalui celah ini, penyerang yang memiliki izin jaringan dapat menaikkan hak aksesnya hingga level SYSTEM, yang memberi kendali penuh atas perangkat target.

“Penyerang dapat meyakinkan korban untuk terhubung ke aplikasi atau server SMB berbahaya yang dikendalikan oleh penyerang. Saat koneksi terjadi, server jahat tersebut dapat mengeksploitasi protokol SMB untuk mengambil alih kendali,” jelas Microsoft.

Eksploitasi dapat dilakukan dengan menjalankan skrip berbahaya yang memaksa mesin korban untuk terhubung kembali ke sistem penyerang melalui SMB dan melakukan autentikasi. Begitu proses ini berhasil, penyerang dapat memperoleh hak istimewa administratif di sistem tersebut.

Sudah Dieksploitasi di Dunia Nyata

Walau Microsoft belum mengonfirmasi klaim eksploitasi aktif, CISA menyatakan bahwa CVE-2025-33073 kini digunakan dalam serangan nyata dan telah dimasukkan ke dalam Known Exploited Vulnerabilities (KEV) Catalog.

Dengan penambahan ini, lembaga pemerintahan federal AS yang termasuk dalam Federal Civilian Executive Branch (FCEB) diwajibkan untuk menambal sistem mereka paling lambat 10 November 2025, sesuai dengan mandat Binding Operational Directive (BOD) 22-01.

CISA juga mendesak seluruh organisasi, termasuk sektor swasta, agar segera menginstal pembaruan keamanan yang dirilis Microsoft untuk menutup celah ini.

“Kerentanan jenis ini sering menjadi vektor utama bagi aktor siber jahat dan menimbulkan risiko signifikan terhadap sistem pemerintah maupun perusahaan,” tulis CISA dalam peringatannya.

Peneliti yang Berperan dalam Penemuan CVE-2025-33073

Microsoft mengakui bahwa temuan ini merupakan hasil kolaborasi dari beberapa pakar keamanan ternama, termasuk:

• Keisuke Hirata (CrowdStrike)
• Wilfried Bécard (Synacktiv)
• Stefan Walter (SySS GmbH)
• James Forshaw (Google Project Zero)
• RedTeam Pentesting GmbH

Imbauan untuk Pengguna dan Administrator

Bagi administrator TI dan pengguna perusahaan, langkah mitigasi utama adalah:

• Segera menginstal pembaruan keamanan Windows bulan Juni 2025 atau versi lebih baru.
• Memeriksa koneksi SMB yang mencurigakan di jaringan internal.
• Membatasi akses SMB dari sumber eksternal dan menggunakan segmentasi jaringan.
• Mengaktifkan monitoring log keamanan untuk mendeteksi aktivitas SMB abnormal.

Eksploitasi CVE-2025-33073 menegaskan kembali pentingnya pembaruan sistem secara berkala, karena celah seperti ini sering menjadi pintu masuk awal bagi ransomware dan serangan siber berskala besar.

Sumber: BleepingComputer