Perangkat lunak keamanan yang seharusnya menjadi benteng terakhir sistem operasi kini justru diubah menjadi senjata untuk membobol pertahanan. Seorang peneliti keamanan siber dengan nama samaran “Chaotic Eclipse” memublikasikan tiga kode eksploitasi zero-day untuk Microsoft Defender di platform GitHub. Ketiganya membidik cara kerja inti antivirus tersebut.
Masalah utamanya bukan pada kelemahan manipulasi memori (memory corruption) yang umum terjadi pada peretasan level sistem. Eksploitasi ini secara cerdik menyalahgunakan fitur-fitur sah Windows dan logika perbaikan otomatis (remediation logic) milik Defender. Karena Defender beroperasi dengan hak akses tertinggi di sistem (level SYSTEM), setiap celah di dalamnya memberikan kendali penuh kepada penyerang untuk menguasai mesin korban.
Spesifikasi Kerentanan
Target Perangkat Lunak | Microsoft Defender Platform (hingga 4.18.26020.6) |
Sistem Operasi | Windows 10, 11, Server 2019/2022/2025 |
Tingkat Keparahan | 7.8 (Tinggi / Important) |
Versi Perbaikan (BlueHammer) | Platform 4.18.26030.3011 |
Anatomi Eksploitasi: Menipu Hak Akses
Tiga alat yang dirilis ke publik ini memiliki fungsi spesifik untuk melumpuhkan dan mengambil alih infrastruktur Windows. Alat pertama adalah BlueHammer, sebuah celah Local Privilege Escalation (LPE) dengan kode CVE-2026-33825.
BlueHammer beroperasi dengan memanipulasi fungsi manajemen file Windows, secara spesifik NTFS junction points and opportunistic locks (oplocks). Junction point bekerja layaknya jalan pintas (shortcut) tingkat rendah yang mengarahkan satu folder ke lokasi lain. Penyerang menggunakan oplocks untuk menahan sementara proses pemindaian Defender. Saat proses tertahan, mereka menukar target file ke komponen sistem krusial. Ketika pemindaian dilanjutkan, Defender tanpa sadar memberikan modifikasi dengan hak akses SYSTEM kepada peretas.
Microsoft sebenarnya merespons cepat dengan menambal celah BlueHammer pada rilis Patch Tuesday April 2026. Namun, situasi berubah kritis di pertengahan bulan. Sebagai bentuk balasan atas perselisihan dengan pembuat Windows tersebut, Chaotic Eclipse memublikasikan dua celah tambahan yang hingga kini belum memiliki patch: RedSun dan UnDefend.
Kronologi Kebocoran Zero-Day
Rilis Publik BlueHammer
Chaotic Eclipse memublikasikan kode eksploitasi LPE pertama di GitHub.
Eksploitasi Dunia Nyata
Peretasan menggunakan BlueHammer pertama kali terdeteksi di lingkungan enterprise.
Perbaikan Resmi
Microsoft menambal CVE-2026-33825 lewat update Patch Tuesday.
Perilisan RedSun & UnDefend
Dua zero-day baru dirilis ke publik sebagai bentuk perselisihan peneliti dengan Microsoft.
Serangan Skala Luas
Terdeteksi eksploitasi aktif terhadap RedSun dan UnDefend di berbagai perusahaan.
RedSun bekerja dengan memanfaatkan logika “cloud tag” pada Defender. Alat ini secara konsisten mampu menimpa file sistem yang seharusnya dikunci ketat di dalam direktori System32. Klaim tingkat keberhasilan eksploitasi ini mencapai 100 persen, bahkan di sistem operasi yang sudah menerima semua pembaruan keamanan terakhir.
Sementara itu, UnDefend dirancang murni sebagai alat Denial-of-Service (DoS) internal. Alat ini sengaja menyumbat mekanisme pembaruan signature antivirus. Hasil akhirnya, mesin perlindungan Defender menjadi lumpuh dan buta terhadap definisi malware baru yang masuk.
Peneliti tersebut secara terbuka menjelaskan efisiensi metode kerjanya. “Antivirus yang seharusnya melindungi justru memutuskan untuk menulis ulang file ke lokasi aslinya. Proof-of-concept ini memanfaatkan perilaku tersebut untuk menimpa file sistem,” jelas Chaotic Eclipse.
Serangan Terstruktur di Lapangan
Bocornya kode sumber eksploitasi ini berdampak instan. Analisis forensik dari firma keamanan siber Huntress mengonfirmasi bahwa peretas saat ini aktif menggunakan ketiga alat tersebut terhadap target perusahaan secara langsung.
Karakteristik intrusi ini berbeda dengan infeksi ransomware yang menyebar secara otomatis. Serangan ini menunjukkan pola hands-on-keyboard, yang berarti ada kelompok peretas di balik layar yang memantau dan mengetikkan perintah satu per satu secara langsung di dalam jaringan korban.
Skenario penyusupan umumnya dimulai dari akses pihak luar melalui kelemahan pada akun VPN perusahaan (SSLVPN). Setelah berhasil menerobos masuk dengan kredensial pengguna biasa, mereka mengaktifkan eksploitasi Defender ini untuk melipatgandakan hak akses mereka menjadi administrator penuh.
Log sistem menunjukkan para peretas langsung menjalankan utilitas bawaan Windows untuk navigasi pasca-eksploitasi. Perintah seperti whoami /priv digunakan untuk memverifikasi tingkat akses mereka. Selanjutnya, eksekusi cmdkey /list and net group dipakai untuk memetakan arsitektur jaringan internal. Fase pengintaian ini krusial karena memberikan peta jalan yang jelas bagi penyerang untuk bergerak lateral ke server utama atau mulai mengekstraksi data sensitif perusahaan.
Status Keamanan Kritis
Hingga pertengahan April 2026, kerentanan RedSun (LPE) dan UnDefend (DoS) masih berstatus zero-day dan belum ditambal oleh Microsoft. Mengandalkan Defender versi standar di jaringan publik saat ini memiliki risiko intrusi yang sangat tinggi.
Implikasi untuk Ekosistem Digital
Pola penyalahgunaan antivirus bawaan ini membawa dampak yang tidak bisa diremehkan, terutama bagi infrastruktur teknologi di Indonesia. Banyak lembaga pemerintahan tingkat daerah, fasilitas kesehatan publik, dan Usaha Mikro, Kecil, dan Menengah (UMKM) sangat bergantung pada Windows Defender sebagai satu-satunya garis pertahanan siber mereka.
Ketergantungan absolut pada perlindungan bawaan sistem operasi ini menciptakan titik kegagalan tunggal (single point of failure). Ketika alat pelindungnya sendiri bisa diinstruksikan oleh peretas untuk membuka kunci sistem operasi, infrastruktur menjadi sangat terekspos terhadap infiltrasi data berskala besar.
Bagi pengelola sistem IT, mengandalkan satu lapisan keamanan kini tidak lagi memadai. Selama perbaikan teknis resmi untuk RedSun belum terdistribusi penuh, langkah mitigasi darurat wajib dilakukan. Penerapan solusi keamanan Endpoint Detection and Response (EDR) pihak ketiga, seperti platform dari CrowdStrike atau SentinelOne, bisa menjadi lapisan karantina sementara. EDR memiliki kemampuan menganalisis anomali tingkah laku program di tingkat kernel, sehingga mampu menghentikan proses eskalasi hak akses sebelum peretas berhasil mengeksekusinya.
Kasus ini menjadi peringatan keras bagi ekosistem siber. Strategi pertahanan endpoint tidak bisa lagi sekadar memastikan antivirus aktif dan berharap sistem aman secara permanen. Verifikasi log aktivitas yang konsisten dan audit hak akses pengguna secara ketat adalah standar minimum yang harus diterapkan untuk menekan risiko operasional peretasan modern.