Manfaatkan Celah Race Condition, Eksploit Zero-Day “RoguePlanet” Incar Microsoft Defender
Raksasa teknologi Microsoft secara resmi mengonfirmasi bahwa mereka tengah mempercepat perilisan tambalan keamanan (security patch) darurat untuk mengatasi celah keamanan berstatus zero-day kritis pada antivirus bawaan mereka, Microsoft Defender. Kerentanan yang diberi nama “RoguePlanet” ini dilaporkan mampu menembus sistem operasi Windows 10 dan Windows 11 yang bahkan sudah diperbarui penuh.
Eksploitasi ini pertama kali dipublikasikan ke publik oleh seorang peneliti keamanan siber dengan nama samaran Nightmare Eclipse bertepatan dengan momentum pembaruan rutin June 2026 Patch Tuesday pekan lalu.
Mekanisme Serangan: Raih Hak Akses Tertinggi SYSTEM via Race Condition
Kerentanan yang kini secara resmi dilacak dengan kode CVE-2026-50656 ini menargetkan komponen vital Microsoft Malware Protection Engine di dalam Microsoft Defender. Berikut adalah detail karakteristik dari serangan RoguePlanet:
- Peningkatan Hak Akses (Elevation of Privilege): Celah ini memungkinkan penyerang lokal (local attackers) untuk memicu jendela baris perintah (Command Prompt) dengan hak akses SYSTEM—tingkatan hak akses tertinggi di dalam arsitektur OS Windows yang mengontrol penuh kernel dan seluruh konfigurasi sistem.
- Metode Race Condition: Eksploitasi ini bekerja dengan memanfaatkan kegagalan manajemen sinkronisasi waktu (race condition) saat Defender melakukan pemindaian berkas. Nightmare Eclipse menyatakan bahwa karena sifatnya yang bergantung pada momentum waktu eksekusi sirkuit, tingkat keberhasilan eksploitasi ini bervariasi. Pada beberapa mesin komputer, eksploit ini mampu mencapai tingkat keberhasilan 100%, sementara pada konfigurasi perangkat keras lain sistem sedikit kesulitan bekerja.
- Abaikan Proteksi Real-Time: Dalam pembaruan teknisnya, sang peneliti menegaskan bahwa kode Proof-of-Concept (PoC) dari RoguePlanet terbukti tetap bekerja dan sukses mengeksploitasi sistem, tidak peduli apakah fitur perlindungan waktu nyata (Real-Time Protection) milik Microsoft Defender dalam kondisi aktif maupun mati.
[ Penyerang Eksekusi Berkas Khusus ] ──► Memicu Tabrakan Pemindaian (Race Condition)
│
▼ (Manipulasi Malware Protection Engine)
[ Sistem Windows Terkelabui ] ──► Lolos dari Blokade Real-Time Protection Defender
│
▼
[ Akses Aksara Terminal Terbuka ] ──► Otomatis Naik ke Hak Akses Tertinggi (SYSTEM Privileges)
Guna menghindari pemblokiran sepihak, Nightmare Eclipse mengunggah kode pembuktian Proof-of-Concept (PoC) RoguePlanet ini melalui repositori Git mandiri (self-hosted Git repository). Langkah ini diambil setelah Microsoft dilaporkan aktif memburu dan menghapus akun-akun repositori milik sang peneliti di platform publik seperti GitHub dan GitLab.
Perselisihan Sengit Terkait Kebijakan Bug Bounty
Peluncuran eksploit RoguePlanet ini merupakan bagian dari aksi protes dan perselisihan yang sedang berlangsung antara Nightmare Eclipse dengan pihak Microsoft. Sang peneliti mengecam praktik penanganan laporan kerentanan serta skema pemberian imbalan penemu celah keamanan (bug bounty practices) yang diterapkan oleh raksasa teknologi tersebut.
Sepanjang beberapa bulan terakhir, Nightmare Eclipse telah secara agresif membocorkan serangkaian kode eksploit zero-day Windows ke ruang publik. Jajaran celah siber yang berhasil dibobolnya meliputi:
| Nama Sandi Eksploit | Komponen Target Sistem Windows | Status Tambalan Keamanan (Patch) |
| BlueHammer | Komponen Internal Windows / Subsistem Core | Menunggu Antrean Investigasi |
| RedSun | Komponen Jaringan / Kriptografi Windows | Menunggu Antrean Investigasi |
| UnDefend | Proteksi Keamanan Microsoft Defender | Menunggu Antrean Investigasi |
| GreenPlasma | Komponen Proteksi Enkripsi BitLocker | Sudah Ditambal (Juni 2026) |
| MiniPlasma | Komponen Proteksi Enkripsi BitLocker | Sudah Ditambal (Juni 2026) |
| YellowKey | Komponen Sistem Windows / Autentikasi | Sudah Ditambal (Juni 2026) |
| RoguePlanet (CVE-2026-50656) | Microsoft Malware Protection Engine | Proses Pembuatan Patch Darurat |
Merespons tindakan pembocoran berantai ini, Microsoft sempat mengeluarkan pernyataan keras yang mengisyaratkan langkah hukum bagi siapa saja yang terlibat dalam “aktivitas berbahaya yang menimbulkan kerugian nyata bagi pelanggan”. Langkah ini menuai kritik dari para pakar keamanan siber internasional yang menilai Microsoft mencoba mengintimidasi para peneliti independen.
Imbauan Keamanan Sementara Bagi Pengguna
Melalui penasihat keamanan (security advisory) yang diterbitkan kemarin, Microsoft menyatakan komitmennya untuk segera merilis pembaruan keamanan berkualitas tinggi guna menutup celah CVE-2026-50656 ini.
Pernyataan Resmi Microsoft:
“Microsoft mengetahui adanya kerentanan peningkatan hak akses di Microsoft Malware Protection Engine dalam Microsoft Defender yang secara publik disebut sebagai ‘RoguePlanet’. Kami sedang bekerja untuk menyediakan pembaruan keamanan berkualitas tinggi yang mengatasi kerentanan ini. Kami akan memperbarui informasi dalam CVE ini setelah pembaruan resmi tersedia.”
Selagi menunggu patch resmi digulirkan melalui layanan Windows Update, para administrator jaringan dan pengguna enterprise diimbau untuk membatasi pemberian hak akses administratif (local admin rights) pada user biasa, serta memperketat pengawasan aktivitas log terminal (CMD/PowerShell) guna mendeteksi adanya upaya eksekusi kode mencurigakan di latar belakang sistem.
Sumber: Microsoft Security Response Center (MSRC) Advisory
