Platform produktivitas Microsoft 365 yang digunakan oleh ratusan juta pengguna di seluruh dunia tengah menghadapi ancaman keamanan ganda yang serius. Dalam waktu yang hampir berdekatan, para peneliti keamanan siber menemukan celah kritis pada Microsoft 365 Copilot Enterprise yang memungkinkan pencurian data sensitif hanya dengan satu klik pada tautan berbahaya. Bersamaan dengan itu, Biro Investigasi Federal Amerika Serikat atau FBI mengeluarkan peringatan resmi terkait serangan phishing baru bernama Kali365 yang dirancang khusus untuk menembus mekanisme autentikasi multifaktor. Kombinasi kedua ancaman ini menempatkan ekosistem Microsoft 365 pada sorotan tajam komunitas keamanan siber global.
Celah SearchLeak: Pencurian Data dengan Satu Klik
Sebuah kerentanan kritis yang dijuluki SearchLeak ditemukan pada Microsoft 365 Copilot Enterprise. Celah ini memungkinkan peretas mencuri data sensitif dari kotak surat email, penyimpanan OneDrive, hingga SharePoint milik target hanya melalui satu klik pada tautan yang telah dimanipulasi. Temuan ini dilaporkan secara bersamaan oleh sejumlah media teknologi terkemuka termasuk Mashable, Ars Technica, dan Dark Reading setelah para peneliti memverifikasi validitas kerentanan tersebut secara independen.
SearchLeak mengeksploitasi cara kerja fitur pencarian pada Copilot Enterprise. Ketika pengguna mengklik tautan yang tampak tidak mencurigakan, Copilot secara otomatis memproses permintaan pencarian yang tersembunyi di dalamnya. Dalam proses tersebut, sistem secara tidak sengaja membocorkan informasi sensitif dari akun pengguna kepada server yang dikendalikan oleh penyerang. Informasi yang bisa bocor mencakup isi email, kode verifikasi dua faktor, dokumen pribadi, dan berbagai data kredensial lainnya yang tersimpan dalam ekosistem Microsoft 365.
Modus Operandi yang Sulit Dideteksi
Yang membuat SearchLeak khususnya berbahaya adalah serangan ini tidak memerlukan interaksi kompleks dari korban. Penyerang cukup mengirimkan tautan melalui email atau pesan instan yang tampak seperti tautan biasa. Begitu tautan tersebut diklik, proses ekstraksi data berlangsung secara otomatis tanpa sepengetahuan pengguna. Tidak ada unduhan file berbahaya, tidak ada pop-up yang mencurigakan, dan tidak ada perubahan visual yang terlihat pada antarmuka aplikasi sehingga korban tidak menyadari bahwa datanya sedang dicuri.
Para peneliti keamanan menjelaskan bahwa kerentanan ini berasal dari cara Copilot mengintegrasikan berbagai sumber data internal perusahaan. Karena Copilot memiliki akses ke mailbox, OneDrive, dan SharePoint secara bersamaan, celah pada satu titik integrasi bisa membuka akses ke seluruh ekosistem data pengguna. Serangan ini dikategorikan sebagai serangan tipe indirect prompt injection yang semakin banyak ditemukan pada sistem berbasis kecerdasan buatan generatif. Mekanisme serangan ini memanfaatkan kepercayaan sistem terhadap input pengguna untuk mengeksekusi perintah yang tidak seharusnya dijalankan.
FBI Peringatkan Serangan Phishing Kali365
Dalam waktu yang hampir bersamaan, FBI mengeluarkan peringatan resmi mengenai toolkit phishing baru bernama Kali365 yang secara spesifik menargetkan pengguna Microsoft 365. Toolkit ini dirancang untuk melewati mekanisme keamanan berlapis yang selama ini dianggap sebagai standar proteksi tertinggi, termasuk autentikasi multifaktor atau MFA. Peringatan ini diterbitkan setelah sejumlah insiden serangan terkoordinasi menggunakan Kali365 berhasil mengkompromikan akun-akun penting di berbagai organisasi.
Kali365 bekerja dengan cara meniru halaman login Microsoft 365 yang secara visual nyaris identik dengan halaman asli. Ketika korban memasukkan kredensial dan kode verifikasi, sistem Kali365 secara real-time meneruskan informasi tersebut ke server Microsoft yang sah untuk menyelesaikan proses autentikasi. Dengan teknik yang dikenal sebagai adversary-in-the-middle ini, penyerang berhasil mendapatkan sesi aktif yang sepenuhnya valid tanpa perlu menyimpan kata sandi atau token secara langsung. Hal ini membuat serangan sangat sulit dideteksi oleh sistem keamanan konvensional.
FBI mencatat bahwa Kali365 didistribusikan melalui forum-forum siber bawah tanah dan telah digunakan dalam serangan terhadap organisasi pemerintah maupun perusahaan swasta di beberapa negara. Tool ini merupakan evolusi dari keluarga toolkit phishing seperti Evilginx yang terus berkembang dan semakin canggih dalam meniru halaman autentikasi yang asli.
Ekosistem Microsoft 365 dalam Sorotan
Kerentanan ini muncul di saat Microsoft 365 terus memperluas jangkauannya ke sektor-sektor kritis pemerintahan dan pertahanan. Dell Federal Systems baru-baru ini memenangkan kontrak senilai 1,44 miliar dolar AS dari Angkatan Udara Amerika Serikat untuk penyediaan lisensi, langganan, dan layanan dukungan Microsoft 365 melalui tahun 2029. Besarnya investasi ini menunjukkan betapa mendalamnya integrasi platform ini dalam infrastruktur digital institusi-institusi besar dunia.
Di sisi lain, Microsoft juga terus mengintegrasikan kecerdasan buatan ke dalam platformnya secara agresif. Harvey, perusahaan teknologi hukum berbasis AI, mengumumkan bahwa produk inteligensi hukumnya kini tersedia sebagai agen di dalam Microsoft 365 Copilot. Integrasi ini berarti sistem AI kini memiliki akses yang semakin dalam ke data-data sensitif organisasi, termasuk dokumen hukum rahasia dan komunikasi internal perusahaan yang selama ini dilindungi oleh kebijakan keamanan ketat.
Langkah Mitigasi dan Perlindungan
Microsoft telah merespons temuan SearchLeak dengan mengeluarkan pembaruan keamanan untuk menambal kerentanan tersebut. Perusahaan merekomendasikan seluruh administrator sistem untuk segera menerapkan patch terbaru pada lingkungan Microsoft 365 Copilot Enterprise. Konfigurasi kebijakan akses data juga perlu ditinjau ulang untuk memastikan prinsip least privilege diterapkan dengan benar pada setiap agen AI yang beroperasi di dalam ekosistem.
Untuk ancaman Kali365, para ahli keamanan merekomendasikan penerapan standar keamanan FIDO2 atau WebAuthn sebagai pengganti kode verifikasi berbasis SMS atau aplikasi autentikator biasa. Metode ini menggunakan kunci fisik atau biometrik yang secara fundamental tidak bisa disalin oleh toolkit phishing manapun. Organisasi juga disarankan untuk menerapkan kebijakan Conditional Access pada Microsoft Entra ID guna membatasi akses berdasarkan lokasi geografis, status perangkat, dan tingkat risiko sesi secara dinamis.
Pelatihan kesadaran keamanan siber bagi seluruh pengguna tetap menjadi elemen yang tidak boleh diabaikan. Kedua serangan ini sama-sama memanfaatkan faktor kelalaian manusia, baik melalui klik pada tautan berbahaya maupun pengisian kredensial pada halaman palsu. Kombinasi antara pembaruan teknis yang tepat waktu dan edukasi pengguna secara berkelanjutan merupakan pertahanan paling efektif menghadapi lanskap ancaman siber yang terus berevolusi.
Referensi: Mashable, Ars Technica, Dark Reading, www.hindustantimes.com
