Zero-Day Windows yang Baru Bocor Kini Mulai Dieksploitasi dalam Serangan Aktif
Para aktor ancaman siber kini mulai mengeksploitasi tiga kerentanan keamanan Windows yang baru-baru ini diungkapkan ke publik. Serangan ini secara spesifik bertujuan untuk mendapatkan hak istimewa tingkat SYSTEM atau izin administrator yang ditingkatkan pada perangkat target.
Sejak awal bulan ini, seorang peneliti keamanan anonim yang dikenal dengan nama samaran “Chaotic Eclipse” atau “Nightmare-Eclipse” telah memublikasikan kode eksploitasi Proof-of-Concept (PoC) untuk ketiga masalah keamanan tersebut. Langkah drastis ini diambilnya sebagai bentuk protes terhadap cara Microsoft Security Response Center (MSRC) menangani proses pengungkapan kerentanannya.
Tiga kerentanan mematikan tersebut adalah:
- BlueHammer dan RedSun: Keduanya merupakan kelemahan Peningkatan Hak Istimewa Lokal (Local Privilege Escalation/LPE) pada Microsoft Defender.
- UnDefend: Kerentanan ini dapat dieksploitasi oleh pengguna dengan hak akses standar biasa untuk memblokir pembaruan definisi Microsoft Defender.
Pada saat kode ini dibocorkan, celah keamanan yang ditargetkan oleh eksploitasi ini masih dianggap sebagai zero-day murni berdasarkan definisi Microsoft, karena belum ada tambalan (patch) atau pembaruan resmi untuk mengatasinya.
Terdeteksi Secara Aktif di ‘Alam Liar’
Pada hari Kamis, para peneliti keamanan dari Huntress Labs melaporkan bahwa mereka telah melihat ketiga eksploitasi zero-day tersebut disebarkan secara aktif di alam liar (in the wild). Khusus untuk kerentanan BlueHammer, aktivitas eksploitasi telah terpantau sejak 10 April.
Huntress Labs juga mendeteksi penggunaan eksploitasi UnDefend dan RedSun pada perangkat Windows yang berhasil dibobol melalui pengguna SSLVPN yang terkompromi. Serangan ini menunjukkan bukti nyata adanya “aktivitas aktor ancaman secara langsung” (hands-on-keyboard threat actor activity).
“SOC (Pusat Operasi Keamanan) Huntress sedang mengamati penggunaan teknik eksploitasi BlueHammer, RedSun, dan UnDefend milik Nightmare-Eclipse,” tegas para peneliti.
Dua Zero-Day Masih Menunggu Tambalan
Meskipun Microsoft saat ini telah melacak kerentanan BlueHammer sebagai CVE-2026-33825 dan menambalnya dalam pembaruan keamanan Patch Tuesday April 2026, dua cacat lainnya masih belum tertangani.
Seperti yang dilaporkan sebelumnya, penyerang dapat menggunakan eksploitasi RedSun untuk mendapatkan hak istimewa SYSTEM di Windows 10, Windows 11, dan sistem Windows Server 2019 atau yang lebih baru ketika Windows Defender diaktifkan—bahkan setelah sistem menerapkan tambalan April 2026.
“Ketika Windows Defender menyadari bahwa fail berbahaya memiliki tag cloud, entah karena alasan bodoh dan konyol apa, antivirus yang seharusnya melindungi ini memutuskan bahwa ide yang bagus untuk sekadar menulis ulang fail yang ditemukannya kembali ke lokasi aslinya,” jelas sang peneliti saat membocorkan kerentanan tersebut. “PoC ini menyalahgunakan perilaku ini untuk menimpa fail sistem dan mendapatkan hak istimewa administratif.”
Menanggapi krisis dan masalah pengungkapan yang dilaporkan oleh peneliti anonim tersebut, juru bicara Microsoft awal pekan ini memberikan pernyataan normatif: “Microsoft memiliki komitmen pelanggan untuk menyelidiki masalah keamanan yang dilaporkan dan memperbarui perangkat yang terdampak untuk melindungi pelanggan sesegera mungkin. Kami juga mendukung pengungkapan kerentanan terkoordinasi, sebuah praktik industri yang diadopsi secara luas yang membantu memastikan masalah diselidiki dan diatasi dengan cermat sebelum diungkapkan kepada publik.”
