Zero-Day ‘RoguePlanet’ pada Microsoft Defender Berikan Hak Akses SYSTEM
Hanya berselang beberapa jam setelah Microsoft merilis perbaikan untuk dua celah keamanan lama pada pembaruan Patch Tuesday Juni 2026, seorang peneliti keamanan siber kembali merilis eksploitasi zero-day terbaru yang menargetkan Microsoft Defender. Celah keamanan yang diberi nama “RoguePlanet” ini memungkinkan penyerang mendapatkan hak akses tertinggi (SYSTEM privileges) pada sistem operasi Windows.
Peneliti keamanan yang menggunakan nama samaran Nightmare Eclipse menyatakan bahwa kerentanan ini berdampak pada perangkat Windows 10 dan Windows 11 yang bahkan sudah dipasangi pembaruan keamanan paling mutakhir. Eksploitasi ini bekerja dengan memanfaatkan kondisi race condition pada komponen Microsoft Defender untuk memicu pembukaan command prompt dengan hak akses SYSTEM.
Proof-of-Concept (PoC) dari eksploitasi ini dibagikan oleh peneliti tersebut melalui repositori Git yang dikelola secara mandiri. Langkah ini diambil setelah beberapa repositori miliknya di platform GitHub dan GitLab berulang kali dihapus oleh pihak Microsoft.
Mekanisme Race Condition dan Riwayat Pengembangan
Menurut penjelasan Nightmare Eclipse, RoguePlanet memanfaatkan celah race condition, sehingga tingkat keberhasilan eksploitasinya bisa bervariasi tergantung pada konfigurasi perangkat target. Celah ini telah diuji dan terbukti berhasil menembus sistem Windows 11 versi retail maupun Canary, serta Windows 10 yang sudah dipasangi update keamanan Juni 2026.
Firma keamanan siber ThreatLocker mengonfirmasi bahwa mereka telah berhasil mereplikasi kerentanan tersebut dalam lingkungan pengujian mereka. Eksploitasi terbukti berjalan sukses pada sistem Windows 11 yang telah menggunakan pembaruan KB5094126. Kendati demikian, efektivitas serangan ini dapat diredam jika organisasi menerapkan kebijakan pembatasan aplikasi (application allowlisting).
Dalam catatan pengembangannya, RoguePlanet awalnya dirancang sebagai celah Remote Code Execution (RCE) yang memanfaatkan cara Microsoft Defender dalam memproses file yang dihosting pada server SMB jarak jauh. Skenario awal mengharuskan korban membuka file .vhd atau .vhdx di server SMB eksternal, yang kemudian memicu Microsoft Defender menimpa filenya sendiri hingga berujung pada eksekusi kode jarak jauh.
Namun, Microsoft dilaporkan telah melakukan penguatan sistem (hardening) secara diam-diam pada pertengahan Mei kemarin dengan memperbarui API mpengine!SysIO*. Pembaruan tersebut menutup jalur serangan berbasis junction, sehingga peneliti harus menulis ulang struktur eksploitasi ini yang kini berfokus pada Local Privilege Escalation (LPE).
Perselisihan Terkait Kebijakan Bug Bounty
Peluncuran zero-day RoguePlanet ini merupakan bagian dari perselisihan yang sedang berlangsung antara Nightmare Eclipse dan Microsoft mengenai kebijakan pelaporan celah keamanan serta program bug bounty. Selama beberapa bulan terakhir, peneliti ini telah merilis beruntun beberapa celah keamanan Windows seperti BlueHammer, RedSun, GreenPlasma, dan YellowKey.
Microsoft sendiri baru saja menutup celah GreenPlasma dan YellowKey lewat pembaruan Patch Tuesday pekan ini. Menanggapi aksi perilisan publik ini, pihak Microsoft sebelumnya sempat mengeluarkan peringatan bahwa mereka akan bekerja sama dengan penegak hukum jika aktivitas pengungkapan tersebut dinilai sengaja menimbulkan kerugian nyata bagi pengguna.
Bagi para administrator jaringan dan pengelola TI enterprise, pemantauan ketat terhadap aktivitas eksekusi proses yang tidak biasa dari Microsoft Defender sangat disarankan sembari menunggu respons resmi atau perbaikan darurat berikutnya dari Microsoft.
Sumber: Project Nightcrawler Security Advisory
