CISA Perintahkan Instansi Federal Tambal Celah Windows yang Dieksploitasi Sebagai Zero-Day
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mengeluarkan perintah mendesak kepada seluruh agensi federal untuk segera mengamankan sistem Windows mereka dari kerentanan kritis yang tengah dieksploitasi secara aktif dalam serangan zero-day.
Kerentanan Hash NTLM dan Jejak APT28
Dilacak sebagai CVE-2026-32202, celah keamanan ini pertama kali dilaporkan oleh firma keamanan siber Akamai. Mereka mendeskripsikannya sebagai kerentanan kebocoran hash NTLM zero-click yang tertinggal setelah Microsoft merilis tambalan yang tidak tuntas untuk cacat eksekusi kode jarak jauh (CVE-2026-21510) pada bulan Februari lalu. Mengingat pentingnya menjaga stabilitas ekosistem Windows dari ancaman luar, kerentanan ini patut mendapat perhatian serius bagi para administrator sistem.
Menurut temuan CERT-UA, kelompok spionase siber yang didukung negara Rusia, APT28 (juga dikenal sebagai UAC-0001 dan Fancy Bear), sebelumnya telah mengeksploitasi CVE-2026-21510 dalam serangkaian serangan terhadap Ukraina dan negara-negara Uni Eropa pada bulan Desember 2025 lalu. Rantai eksploitasi tersebut juga menargetkan kerentanan file LNK (CVE-2026-21513).
Microsoft mengonfirmasi bahwa penyerang jarak jauh yang berhasil mengeksploitasi CVE-2026-32202 dalam serangan berikompkeksitas rendah—dengan mengirimi korban file berbahaya yang harus dieksekusi—dapat melihat informasi sensitif pada sistem yang belum ditambal.
Akamai menjelaskan lebih lanjut bahwa celah ini dapat dieksploitasi dalam serangan pass-the-hash untuk mencuri hash NTLM (kata sandi yang di-hash). Kredensial curian ini kemudian digunakan untuk mengautentikasi penyerang sebagai pengguna target yang dikompromikan, memungkinkan mereka untuk menyebar secara lateral di seluruh jaringan (lateral movement) atau mencuri data sensitif secara diam-diam.
Batas Waktu CISA: 12 Mei 2026
Pada hari Selasa, CISA resmi menambahkan CVE-2026-32202 ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (KEV). CISA secara tegas memerintahkan agensi Cabang Eksekutif Sipil Federal (FCEB) untuk menambal semua endpoint dan server Windows mereka dalam waktu dua minggu, selambat-lambatnya 12 Mei 2026, sebagaimana diamanatkan oleh Arahan Operasional Mengikat (BOD) 22-01.
“Jenis kerentanan ini adalah vektor serangan yang sering digunakan oleh aktor siber berbahaya dan menimbulkan risiko signifikan terhadap perusahaan federal,” peringat agensi keamanan siber tersebut. “Terapkan mitigasi sesuai petunjuk vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Meskipun arahan BOD 22-01 ini secara hukum hanya berlaku mengikat untuk agensi federal AS, CISA sangat mendesak semua tim keamanan di sektor swasta maupun publik di seluruh dunia untuk memprioritaskan penerapan tambalan CVE-2026-32202.
Ancaman Tambahan yang Belum Ditambal
Selain masalah NTLM tersebut, aktor ancaman dilaporkan juga sedang mengeksploitasi tiga kerentanan keamanan Windows lain yang baru-baru ini diungkap (dijuluki BlueHammer, RedSun, dan UnDefend) dalam serangan yang bertujuan untuk mendapatkan hak istimewa administrator tingkat SYSTEM.
Hal yang paling mengkhawatirkan adalah, dua dari kerentanan tersebut (RedSun dan UnDefend) hingga saat ini masih berstatus zero-day dan belum menerima tambalan resmi dari Microsoft.
