Microsoft Tambal Tiga Celah Keamanan Zero-Day: GreenPlasma, MiniPlasma, dan YellowKey
Dalam pembaruan rutin Patch Tuesday periode Juni 2026, Microsoft resmi merilis perbaikan untuk tiga celah keamanan berstatus zero-day. Dua dari kerentanan tersebut memungkinkan penyerang lokal mendapatkan hak akses tertinggi sistem (SYSTEM privileges) pada perangkat Windows, sedangkan celah ketiga memberikan jalur untuk menembus enkripsi pengaman data BitLocker.
Ketiga celah keamanan ini sebelumnya telah diungkap secara terbuka ke publik pada bulan lalu oleh seorang peneliti keamanan anonim yang menggunakan nama samaran Nightmare Eclipse. Aksi pembocoran kode eksploitasi (proof-of-concept) ini sengaja dilakukan sebagai bentuk protes terhadap kebijakan Microsoft Security Response Center (MSRC) dalam menangani proses pelaporan bug.
Eksploitasi Hak Akses SYSTEM: GreenPlasma dan MiniPlasma
Dua celah keamanan pertama berfokus pada eskalasi hak akses lokal (Local Privilege Escalation / LPE). Ketika dieksploitasi dengan sukses, penyerang yang masuk dengan hak pengguna standar dapat membuka konsol perintah dengan wewenang penuh setingkat SYSTEM:
- GreenPlasma (CVE-2026-45586): Kerentanan ini ditemukan pada komponen Collaborative Translation Framework (CTFMON). Celah ini memanfaatkan kelemahan link-following atau resolusi tautan file yang tidak sempurna pada sistem operasi Windows, memungkinkan pengguna lokal dengan otentikasi rendah memaksa sistem menaikkan hak aksesnya.
- MiniPlasma (CVE-2020-17103): Celah keamanan ini tergolong unik karena memanfaatkan regresi atau kegagalan dari tambalan lama yang dirilis pada akhir tahun 2020. Kerentanan ini bersarang di dalam Cloud Files Mini Filter Driver (
cldflt.sys) yang berfungsi mengelola sinkronisasi file cloud (seperti fitur OneDrive Files On-Demand). Peneliti menemukan bahwa perbaikan lama dari Microsoft mengalami kebocoran kembali pada Windows 11 serta Windows Server 2022 dan 2025, sehingga manipulasi registri tanpa pengecekan akses dapat memicu eksekusi kode SYSTEM.
Pembobolan Enkripsi BitLocker Melalui YellowKey
Celah keamanan zero-day ketiga yang ditambal oleh Microsoft dikenal dengan nama YellowKey (CVE-2026-45585). Celah ini dikategorikan sebagai security feature bypass atau kegagalan fitur keamanan yang bertindak sebagai pintu belakang (backdoor) pada komponen Windows Recovery Environment (WinRE)—sebuah subsistem yang biasa digunakan untuk memperbaiki masalah gagal boting (booting) pada Windows.
Berbeda dengan dua celah sebelumnya, eksploitasi YellowKey membutuhkan akses fisik langsung ke perangkat target. Penyerang dengan kepemilikan fisik atas komputer atau laptop dapat memanfaatkan bug enkapsulasi perintah pada WinRE untuk melompati proteksi enkripsi cakram keras penuh (full-disk encryption) milik BitLocker. Celah ini terbukti berdampak pada sistem operasi Windows 11 serta jajaran Windows Server 2022 dan 2025 yang belum dipasangi pembaruan keamanan terbaru.
Ketegangan Komunitas Keamanan dan Tindakan Mitigasi
Perilisan paket tambalan ini diwarnai oleh ketegangan hubungan antara Microsoft dan komunitas riset keamanan siber. Microsoft sempat mengkritik aksi pembocoran PoC ini karena dinilai melanggar etika pengungkapan kerentanan terkoordinasi (coordinated vulnerability disclosure), serta sempat mengancam akan membawa masalah ini ke ranah hukum atas tuduhan aktivitas berbahaya yang merugikan konsumen. Namun, gelombang protes dari para praktisi keamanan di media sosial memaksa Microsoft melunakkan pernyataannya.
Mengingat Nightmare Eclipse juga langsung merilis celah baru bernama “RoguePlanet” sesaat setelah pembaruan Juni ini keluar, para administrator sistem enterprise sangat diimbau untuk segera menerapkan pembaruan Patch Tuesday Juni 2026 guna menutup celah GreenPlasma, MiniPlasma, dan YellowKey yang saat ini dilaporkan sudah mulai dieksploitasi secara aktif di lapangan.
Sumber: Microsoft Security Update Guide & MSRC Advisory
