Buat kamu pengguna Windows Server, ada kabar penting yang wajib disimak. Belakangan ini, muncul kerentanan serius pada Windows Server Update Services (WSUS) yang ternyata sedang aktif dieksploitasi oleh para hacker di dunia maya.
Baca Juga : Cara Bypass Account Microsoft untuk Laptop/PC Baru 100% Berhasil
Celah ini dimanfaatkan penjahat siber untuk mencuri data sensitif dari berbagai organisasi, mulai dari kampus, perusahaan teknologi, manufaktur, hingga sektor kesehatan.
Celah Keamanan yang Sudah Ditambal, tapi Terlanjur Disalahgunakan
Sophos researchers have identified real-world exploitation of a newly disclosed vulnerability in Windows Server Update Services (WSUS), where threat actors are harvesting sensitive data from organizations.
— Sophos X-Ops (@SophosXOps) October 30, 2025
Kerentanan dengan kode CVE-2025-59287 sebenarnya sudah diperbaiki oleh Microsoft pada 14 Oktober 2025. Sayangnya, begitu proof-of-concept atau contoh kode eksploitasi muncul di GitHub, para pelaku langsung bergerak cepat memanfaatkannya.
Menurut data dari Sophos, aktivitas eksploitasi pertama kali terdeteksi pada 24 Oktober 2025, hanya beberapa jam setelah analisis teknis dan kode eksploit dipublikasikan secara online.
Menariknya, para hacker ini menargetkan server WSUS yang terhubung langsung ke internet, terutama milik universitas, perusahaan teknologi, pabrik, dan layanan kesehatan di Amerika Serikat.
Sampai saat ini, Sophos baru memastikan ada enam insiden yang terkonfirmasi. Namun para ahli meyakini bahwa jumlah korban sebenarnya bisa jauh lebih banyak.
Bagaimana Serangannya Terjadi
Eksploitasi ini memanfaatkan bug deserialization yang sangat berbahaya di WSUS. Bug ini memungkinkan eksekusi kode jarak jauh (remote code execution) tanpa perlu autentikasi apa pun.
Begitu server yang rentan diserang, pelaku akan menyuntikkan perintah PowerShell yang sudah di-encode dalam format Base64 melalui proses berlapis di bawah hak akses IIS worker.
Script berbahaya ini berjalan diam-diam di sistem yang sudah dikompromikan dan mengumpulkan berbagai data penting dari organisasi target, seperti:
-
Alamat IP dan port eksternal dari host yang rentan
-
Daftar pengguna domain di Active Directory
-
Detail konfigurasi antarmuka jaringan
Semua data hasil curian itu dikirimkan ke URL webhook.site yang dikendalikan oleh pelaku serangan.
Temuan dari Peneliti Sophos
Tim Sophos menemukan empat URL unik di webhook.site yang digunakan dalam serangan ini, tiga di antaranya memakai layanan gratis dari platform tersebut.
Dari hasil analisis log di dua URL publik, peneliti menemukan bahwa eksploitasi dimulai pada 24 Oktober pukul 02:53 UTC dan mencapai batas maksimum 100 permintaan hanya dalam beberapa jam, tepatnya pada 11:32 UTC di hari yang sama.
Kecepatan ini menunjukkan betapa cepatnya para peretas bergerak ketika ada celah baru yang diumumkan ke publik.
Targetnya Siapa Saja? Siapa Pun yang Lalai
Menariknya, serangan ini bersifat acak dan masif. Artinya, hacker tidak fokus pada target tertentu — mereka hanya memindai server WSUS yang terbuka di internet, lalu mengeksploitasinya begitu ada kesempatan.
Menurut Rafe Pilling, selaku Director of Threat Intelligence di Sophos,
“Aktivitas ini menunjukkan bahwa pelaku ancaman bergerak sangat cepat untuk memanfaatkan kerentanan kritis di WSUS demi mengumpulkan data berharga dari organisasi yang rentan.”
Data yang dicuri bisa digunakan untuk pengintaian (reconnaissance), serangan lanjutan, atau bahkan dijual di pasar gelap siber.
Apa yang Harus Dilakukan
Bagi kamu yang mengelola WSUS di lingkungan organisasi, langkah pertama yang wajib dilakukan adalah segera menerapkan pembaruan keamanan terbaru dari Microsoft.
Selain itu, ada beberapa langkah penting lainnya yang direkomendasikan:
-
Periksa ulang konfigurasi jaringan untuk memastikan tidak ada celah terbuka.
-
Pastikan antarmuka WSUS tidak terekspos ke internet.
-
Batasi akses ke port 8530 dan 8531 hanya untuk sistem yang benar-benar membutuhkan koneksi.
-
Tinjau log aktivitas untuk mencari tanda-tanda eksploitasi.
-
Terapkan segementasi jaringan agar jika terjadi kompromi, pergerakan hacker bisa dicegah.
Baca Juga : Update Windows 11 24H2 Bikin Mouse dan Keyboard Tidak Berfungsi di Recovery Mode!
Serangan terhadap WSUS ini jadi pengingat penting bahwa patch keamanan bukan sekadar formalitas. Begitu ada pembaruan dari vendor seperti Microsoft, sebaiknya jangan ditunda.
Para peretas kini semakin cepat beradaptasi — kadang hanya butuh beberapa jam dari publikasi celah sampai aksi nyata. Jadi, pastikan server dan sistem kamu selalu dalam kondisi up-to-date dan aman.
