Raksasa teknologi Microsoft resmi menggulirkan pembaruan keamanan darurat untuk menambal dua celah keamanan zero-day baru yang menyerang jantung sistem pertahanan bawaan Windows, Microsoft Defender. Kedua kerentanan ini dikonfirmasi telah dimanfaatkan secara aktif oleh aktor ancaman siber (exploited in the wild) untuk melumpuhkan sistem perlindungan hingga mengambil alih kendali perangkat target.
Mengingat signifikansi ancaman ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) bergerak cepat memasukkan kedua celah tersebut ke dalam katalog Known Exploited Vulnerabilities (KEV) dan memerintahkan seluruh lembaga pemerintah federal untuk mengamankan endpoint Windows mereka paling lambat 3 Juni 2026.
Rincian Teknis Dua Zero-Day Microsoft Defender
Serangan ini menargetkan dua komponen inti terpisah di dalam ekosistem perangkat lunak antivirus milik Microsoft:
1. CVE-2026-41091: Peningkatan Hak Akses Menjadi ‘SYSTEM’
- Komponen Terdampak: Microsoft Malware Protection Engine (versi 1.1.26030.3008 dan sebelumnya). Komponen ini merupakan otak utama yang menyediakan kemampuan pemindaian (scanning), deteksi, dan pembersihan malware pada Windows Defender.
- Mekanisme Serangan: Celah ini bersumber dari kelemahan resolusi tautan sebelum akses berkas (improper link resolution/link following). Penyerang mengeksploitasi cara mesin membaca tautan file untuk memanipulasi proses internal, memungkinkan mereka melompat dari hak akses pengguna biasa menjadi hak akses tertinggi SYSTEM privileges. Dengan hak akses ini, peretas dapat mengeksekusi kode berbahaya apa pun tanpa hambatan.
2. CVE-2026-45498: Serangan Denial-of-Service (DoS)
- Komponen Terdampak: Microsoft Defender Antimalware Platform (versi 4.18.26030.3011 dan sebelumnya). Selain Windows Defender, platform ini juga digunakan secara luas oleh perkakas keamanan korporat seperti System Center Endpoint Protection dan Security Essentials.
- Mekanisme Serangan: Eksploitasi yang sukses pada celah ini memungkinkan penyerang eksternal memicu kondisi malafungsi total atau Denial-of-Service (DoS). Akibatnya, sistem perlindungan antivirus akan macet (crash) dan berhenti beroperasi, meninggalkan perangkat Windows dalam kondisi telanjang tanpa proteksi real-time terhadap malware lain.
Paket Perbaikan dan Cara Memverifikasi Pembaruan
Microsoft telah merilis Malware Protection Engine versi 1.1.26040.8 (untuk mengatasi CVE-2026-41091) dan versi 4.18.26040.7 (untuk mengatasi CVE-2026-45498).
Secara umum, mayoritas pengguna tidak perlu melakukan tindakan manual karena konfigurasi bawaan Windows akan mengunduh pembaruan platform antimalware ini secara otomatis. Namun, bagi para administrator jaringan dan tim IT enterprise, sangat disarankan untuk melakukan verifikasi kepastian patch melalui langkah-langkah berikut:
- Buka bilah pencarian Windows (Search bar), ketik “Windows Security”, lalu buka aplikasi tersebut.
- Pada panel navigasi sebelah kiri, pilih menu Virus & threat protection.
- Gulir ke bawah dan klik opsi Protection Updates.
- Klik tombol Check for updates untuk memaksa sistem menarik repositori terbaru.
- Setelah selesai, kembali ke panel navigasi kiri, pilih ikon Settings (Roda gigi), lalu klik About.
- Periksa bagian Antimalware Client Version atau Engine Version. Pastikan nomor versi yang tertera sudah sama dengan atau lebih tinggi dari versi aman yang dirilis Microsoft di atas.
Mata Rantai Protes ‘Nightmare Eclipse’ dan Isu Keamanan Windows
Rentetan kebocoran zero-day Windows yang terjadi beruntun sepanjang bulan ini—termasuk celah bypass enkripsi BitLocker “YellowKey” (CVE-2026-45585) yang memanfaatkan lingkungan WinRE minggu lalu—dikabarkan saling berkaitan.
Banyak analis meyakini eksploitasi Defender ini merupakan bagian dari paket dokumen eksploitasi yang sengaja dibocorkan oleh peneliti anonim ‘Nightmare Eclipse’ (yang sebelumnya juga membocorkan celah BlueHammer, RedSun, GreenPlasma, dan UnDefend). Aksi pembocoran massal ini merupakan bentuk protes radikal sang peneliti terhadap buruknya penanganan pelaporan celah keamanan oleh tim Microsoft Security Response Center (MSRC). Salah satu zero-day yang ia bocorkan, UnDefend, secara spesifik memang dirancang untuk memblokir pembaruan definisi Windows Defender, yang kini polanya terbukti dimanfaatkan hacker di dunia nyata untuk melancarkan serangan DoS CVE-2026-45498.