Security

CISA: Celah BlueHammer di Microsoft Defender Kini Dieksploitasi Kelompok Ransomware

Cybersecurity and Infrastructure Security Agency (CISA) mengonfirmasi bahwa kelompok ransomware kini mulai mengeksploitasi kerentanan BlueHammer pada Microsoft Defender dalam serangan yang menargetkan sistem Windows.

Kerentanan dengan kode CVE-2026-33825 tersebut merupakan celah privilege escalation berkategori high severity yang sebelumnya telah diketahui digunakan sebagai zero-day sebelum Microsoft merilis patch resmi.

BlueHammer Beri Akses Hingga Hak SYSTEM

Menurut Microsoft, CVE-2026-33825 disebabkan oleh mekanisme access control pada Microsoft Defender yang tidak memiliki granularitas yang memadai.

Akibatnya, pengguna yang telah memiliki akses ke sistem dapat meningkatkan hak akses (privilege escalation) secara lokal.

Analis kerentanan dari Tharros, Will Dormann, sebelumnya menjelaskan bahwa meskipun eksploitasi BlueHammer tidak tergolong mudah, keberhasilannya dapat memberikan akses ke Security Account Manager (SAM), yaitu basis data Windows yang menyimpan hash kata sandi akun lokal.

Dengan akses tersebut, penyerang dapat memperoleh hak akses SYSTEM, level privilese tertinggi di Windows, sehingga mampu mengambil alih sistem sepenuhnya.

Dalam kondisi tersebut, pelaku dapat menjalankan proses dengan hak SYSTEM dan melakukan berbagai aktivitas berbahaya di perangkat korban.

Pernah Dieksploitasi Sebelum Patch Dirilis

BlueHammer pertama kali menjadi perhatian publik pada awal April 2026 setelah seorang peneliti keamanan yang menggunakan nama Nightmare Eclipse membocorkan detail kerentanan beserta Proof-of-Concept (PoC) exploit.

Kebocoran tersebut dilakukan sebagai bentuk protes terhadap proses penanganan pelaporan kerentanan oleh Microsoft Security Response Center (MSRC).

Microsoft kemudian merilis patch untuk CVE-2026-33825 pada Patch Tuesday April 2026.

Namun, beberapa hari setelah pembaruan tersedia, peneliti dari Huntress mengungkap bahwa kerentanan tersebut telah lebih dahulu dieksploitasi sebagai zero-day dalam serangan nyata yang melibatkan aktivitas pelaku secara langsung (hands-on-keyboard).

Masuk Daftar Kerentanan yang Dieksploitasi

Pada 22 April 2026, CISA memasukkan CVE-2026-33825 ke dalam Known Exploited Vulnerabilities (KEV) Catalog.

Saat itu, seluruh instansi Federal Civilian Executive Branch (FCEB) diwajibkan memasang patch sebelum 7 Mei 2026 untuk melindungi sistem mereka dari eksploitasi yang sedang berlangsung.

Kini, melalui pembaruan terbaru pada KEV Catalog, CISA menyatakan bahwa BlueHammer juga telah digunakan dalam kampanye ransomware, meskipun Microsoft sendiri hingga saat ini belum menandai kerentanan tersebut sebagai aktif dieksploitasi dalam dokumentasi resminya.

Nightmare Eclipse Ungkap Sejumlah Zero-Day Lain

Selain BlueHammer, Nightmare Eclipse dalam beberapa bulan terakhir juga membocorkan sejumlah kerentanan zero-day Windows lainnya, antara lain:

  • RoguePlanet
  • RedSun
  • GreenPlasma
  • MiniPlasma
  • YellowKey
  • UnDefend

Sebagian kerentanan tersebut menargetkan Microsoft Defender, sementara lainnya memengaruhi BitLocker maupun berbagai komponen inti Windows.

Microsoft sendiri telah menutup beberapa di antaranya, termasuk GreenPlasma, MiniPlasma, dan YellowKey, melalui pembaruan Patch Tuesday Juni 2026.

Administrator Disarankan Segera Memasang Patch

Dengan adanya konfirmasi bahwa BlueHammer kini dimanfaatkan dalam serangan ransomware, organisasi dan administrator TI disarankan segera memastikan seluruh perangkat Windows telah memasang pembaruan keamanan terbaru.

CISA menegaskan bahwa kerentanan privilege escalation seperti ini sering menjadi jalur yang dimanfaatkan pelaku untuk memperluas akses setelah berhasil memasuki jaringan korban, sehingga patch yang tersedia sebaiknya segera diterapkan untuk mengurangi risiko kompromi lebih lanjut.

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button