Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memberikan tenggat waktu dua minggu bagi lembaga pemerintah AS untuk segera mengamankan sistem Windows mereka. Instruksi ini dikeluarkan menyusul temuan kerentanan eskalasi hak istimewa pada Microsoft Defender yang terbukti telah dieksploitasi secara aktif dalam serangan zero-day.
Dilacak sebagai CVE-2026-33825, celah keamanan dengan tingkat keparahan tinggi ini memungkinkan aktor ancaman lokal yang memiliki hak istimewa rendah untuk mendapatkan izin tingkat SYSTEM secara penuh pada perangkat yang belum ditambal. Penyerang memanfaatkan kelemahan granularitas kontrol akses yang tidak memadai pada sistem tersebut.
Protes Peneliti dan Kebocoran Eksploitasi
Microsoft sebenarnya telah menambal kerentanan ini pada tanggal 14 April 2026 sebagai bagian dari siklus Patch Tuesday. Namun, tambalan tersebut dirilis satu minggu setelah seorang peneliti keamanan dengan nama samaran “Chaotic Eclipse” menjuluki celah ini sebagai “BlueHammer”.
Lebih parahnya, peneliti tersebut secara sengaja memublikasikan kode eksploitasi Proof-of-Concept (PoC) ke publik. Tindakan nekat ini diklaim sebagai bentuk protes terhadap cara Microsoft’s Security Response Center (MSRC) menangani proses pengungkapan kerentanan.
Selain BlueHammer, Chaotic Eclipse juga mengungkap dua celah Microsoft Defender lainnya:
- RedSun: Kerentanan eskalasi hak istimewa kedua.
- UnDefend: Kerentanan ketiga yang dapat dieksploitasi sebagai pengguna standar untuk memblokir pembaruan definisi Defender secara total.
Pada saat pembocoran terjadi, ketiga kerentanan ini secara teknis memenuhi definisi zero-day Microsoft, karena belum ada tambalan resmi yang tersedia untuk publik.
Eksploitasi Aktif oleh Aktor Ancaman
Firma keamanan siber Huntress Labs pada 16 April mengungkapkan bahwa para penyerang dengan cepat memanfaatkan zero-day yang bocor ini. Mereka menemukan bukti adanya “aktivitas aktor ancaman dengan tangan di atas kibor” (hands-on-keyboard threat actor activity).
“Aktivitas tersebut juga tampaknya merupakan bagian dari intrusi yang lebih luas, bukan sekadar pengujian proof-of-concept (PoC) yang terisolasi,” ungkap laporan Huntress Labs. Mereka bahkan mengidentifikasi akses FortiGate SSL VPN yang mencurigakan yang terkait dengan lingkungan yang disusupi, termasuk alamat IP sumber yang lokasi geografisnya mengarah ke Rusia, serta infrastruktur mencurigakan lainnya di berbagai wilayah.
Instruksi Tegas CISA
Merespons tingkat ancaman yang eskalatif, CISA pada hari Senin resmi memasukkan kerentanan BlueHammer (CVE-2026-33825) ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (Known Exploited Vulnerabilities/KEV).
CISA memerintahkan seluruh lembaga Cabang Eksekutif Sipil Federal (FCEB) AS untuk menambal sistem Windows mereka dalam waktu dua minggu, dengan tenggat waktu maksimal tanggal 7 Mei 2026.
Sebagai pengingat akan rentetan ancaman yang mengintai sistem Windows, satu minggu sebelumnya CISA juga telah memperingatkan tentang kerentanan eskalasi hak istimewa pada Windows Task Host (CVE-2025-60710). Celah yang juga dieksploitasi secara aktif ini dapat memberikan hak istimewa SYSTEM kepada penyerang pada perangkat Windows 11 dan Windows Server 2025 yang belum ditambal.