PoC Eksploitasi Zero-Day Microsoft Defender “RedSun” Berikan Hak Akses SYSTEM
Seorang peneliti keamanan siber yang dikenal dengan nama samaran “Chaotic Eclipse” baru saja memublikasikan Proof-of-Concept (PoC) eksploitasi untuk kerentanan zero-day Microsoft Defender yang kedua dalam dua minggu terakhir. Diberi nama sandi “RedSun”, eksploitasi ini dirilis sebagai bentuk protes keras terhadap cara perusahaan teknologi tersebut memperlakukan para peneliti keamanan independen.
Eksploitasi ini memanfaatkan celah Peningkatan Hak Istimewa Lokal (Local Privilege Escalation/LPE) yang memberikan hak akses tingkat SYSTEM di Windows 10, Windows 11, dan Windows Server yang telah menerapkan pembaruan Patch Tuesday April 2026 terbaru, dengan catatan fitur Windows Defender dalam keadaan aktif.
Mekanisme Eksploitasi RedSun
“Ketika Windows Defender menyadari bahwa sebuah fail berbahaya memiliki tag cloud, entah karena alasan bodoh dan konyol apa, antivirus yang seharusnya melindungi ini justru memutuskan bahwa menulis ulang fail yang ditemukannya kembali ke lokasi aslinya adalah ide yang bagus,” jelas sang peneliti dalam laporannya. “PoC ini menyalahgunakan perilaku tersebut untuk menimpa fail sistem dan mendapatkan hak istimewa administratif.”
Will Dormann, analis kerentanan utama di Tharros, telah mengonfirmasi kepada BleepingComputer bahwa eksploitasi zero-day RedSun ini benar-benar berfungsi dan sukses memberikan hak SYSTEM pada sistem Windows yang sepenuhnya ditambal.
Dormann merinci alur teknis eksploitasi ini:
- Eksploitasi menggunakan antarmuka pemrograman aplikasi Cloud Files API untuk menulis fail uji antivirus standar (EICAR).
- Menggunakan oplock untuk memenangkan perlombaan salinan bayangan volume (volume shadow copy race).
- Memanfaatkan titik tautan/reparse direktori (directory junction/reparse point) untuk mengalihkan penulisan ulang fail (dengan konten baru) menuju jalur sistem vital:
C:\Windows\system32\TieringEngineService.exe. - Pada titik kritis ini, Infrastruktur Cloud Files akan menjalankan
TieringEngineService.exe(yang mana sebenarnya adalah muatan eksploitasi RedSun yang ditanam penyerang) sebagai SYSTEM.
Dormann mencatat bahwa beberapa vendor antivirus di VirusTotal pada awalnya mendeteksi alat eksploitasi ini karena berisi string EICAR yang tertanam. Namun, ia berhasil mengurangi tingkat deteksi tersebut secara drastis hanya dengan mengenkripsi string EICAR di dalam executable.
Protes Keras Terhadap Microsoft (MSRC)
Perilisan RedSun menyusul langkah agresif “Chaotic Eclipse” minggu lalu yang juga merilis eksploitasi LPE zero-day Microsoft Defender lainnya yang dijuluki “BlueHammer” (kini dilacak sebagai CVE-2026-33825 dan telah ditambal Microsoft sebagai respons reaktif pada pembaruan bulan ini).
Peneliti tersebut secara terbuka menyatakan bahwa ia merilis kedua PoC zero-day ini ke publik sebagai bentuk protes atas pengalaman buruknya saat mencoba mengungkapkan kerentanan secara etis ke Microsoft Security Response Center (MSRC).
“Biasanya, saya akan melalui proses memohon kepada mereka untuk memperbaiki bug. Namun singkatnya, saya diberi tahu secara pribadi oleh mereka bahwa mereka akan menghancurkan hidup saya, dan mereka melakukannya,” tuduh sang peneliti. “Mereka mempermainkan saya dan melakukan setiap trik kekanak-kanakan yang mereka bisa. Keadaannya sangat buruk sehingga pada satu titik saya bertanya-tanya apakah saya sedang berurusan dengan perusahaan besar atau seseorang yang hanya bersenang-senang melihat saya menderita, tetapi tampaknya ini adalah keputusan kolektif (perusahaan).”
Menanggapi tuduhan serius ini, juru bicara Microsoft memberikan pernyataan standar. Mereka menegaskan bahwa Microsoft memiliki komitmen untuk menyelidiki masalah keamanan yang dilaporkan pelanggan dan mendukung praktik pengungkapan kerentanan terkoordinasi, yang mereka sebut sebagai “praktik industri yang diadopsi secara luas untuk membantu memastikan masalah diselidiki dan diatasi dengan hati-hati sebelum diungkapkan ke publik.”
