Seorang peneliti keamanan telah merilis eksploitasi zero-day Microsoft Defender baru bernama “RoguePlanet” hanya beberapa jam setelah Microsoft memperbaiki dua kelemahan yang diungkapkan sebelumnya selama Patch Selasa Juni 2026.
Peneliti, yang dikenal sebagai Nightmare Eclipse, mengatakan kerentanan baru ini memengaruhi perangkat Windows 10 dan Windows 11 yang telah dipatch sepenuhnya, sehingga memungkinkan penyerang memunculkan command prompt dengan hak istimewa SYSTEM melalui kerentanan kondisi ras Microsoft Defender.
Peneliti membagikan eksploitasi bukti konsep pada Selasa sore di repositori Git yang dihosting sendiri setelah mengatakan bahwa repositori GitHub dan GitLab yang menampung eksploitasi mereka sebelumnya telah dihapus oleh Microsoft.
Saya telah berhasil mendapatkan tingkat keberhasilan 100% pada beberapa mesin sementara mesin tersebut kesulitan mengerjakan yang lain, tulis Nightmare Eclipse dalam repositori.
Cacat tersebut dilaporkan telah diuji pada Windows 11 Official dan Canary build, serta sistem Windows 10 dengan pembaruan keamanan Juni 2026 yang diinstal.
Jika berhasil, prompt perintah Windows akan muncul dengan hak istimewa SISTEM.
Perusahaan keamanan siber ThreatLocker mengatakan kepada BleepingComputer bahwa mereka berhasil mereproduksi kelemahan tersebut dalam pengujian mereka dan mengonfirmasi bahwa eksploitasi tersebut berfungsi pada sistem Windows 11 yang telah dipatch sepenuhnya dengan KB5094126 terinstal, dan membagikan video yang menunjukkannya.
“Analisis awal kami memastikan bahwa eksploitasi RoguePlanet dapat dilakukan dan bekerja seperti yang dijelaskan. Organisasi yang menggunakan daftar aplikasi yang diizinkan dapat mencegah eksploitasi tersebut dilakukan, sehingga memberikan lapisan perlindungan yang efektif terhadap serangan ini,” Danny Jenkins, CEO ThreatLocker, mengatakan kepada BleepingComputer.
Menurut Nightmare Eclipse, RoguePlanet awalnya dikembangkan sebagai kerentanan eksekusi kode jarak jauh yang mengeksploitasi penanganan Microsoft Defender terhadap file yang dihosting di berbagi SMB jarak jauh.
“Dalam pengembangan awal, dipastikan bahwa kerentanan ini adalah eksekusi kode jarak jauh,” jelas peneliti dalam a postingan blog.
“Untuk itu diperlukan penyerang untuk memaksa korban membuka .vhd(x) di server SMB jarak jauh, eksploitasi yang berhasil mengakibatkan pembela menimpa filenya sendiri dan jelas hasil akhirnya adalah RCE.”
Peneliti mengatakan skenario serangan lain dapat menyebabkan eksekusi kode jarak jauh hanya dengan memaksa korban untuk membuka share SMB jika pengaturan evaluasi symlink diaktifkan.
Namun, peneliti mengklaim Microsoft secara diam-diam memperkuat Defender pada pertengahan Mei dengan menambal API “mpengine!SysIO*”, yang memblokir serangan persimpangan.
“Menulis ulang RoguePlanet agar berfungsi kembali menguras jiwa saya dan saya tidak dapat menyelesaikan skenario lainnya dan untuk saat ini masih belum jelas apakah RoguePlanet terbatas pada LPE atau ada semacam cara untuk mengubahnya menjadi RCE,” tulis peneliti.
Rilis ini merupakan bagian dari perselisihan yang sedang berlangsung antara Nightmare Eclipse dan Microsoft mengenai pengungkapan kerentanan perusahaan dan praktik bug bounty.
Selama beberapa bulan terakhir, peneliti telah merilis beberapa zero-day Windows secara publik, termasuk Palu Biru, Matahari Merah, Plasma HijauDan Kunci Kuning kekurangan. Beberapa dari zero-day menargetkan Microsoft Defender, sementara yang lain menargetkan komponen BitLocker dan Windows.
Microsoft memperbaiki kelemahan GreenPlasma dan YellowKey hari ini sebagai bagian dari Patch Selasa Juni 2026 pembaruan.
Microsoft sebelumnya bereaksi terhadap pengungkapan tersebut dengan peringatan bahwa hal tersebut akan merugikan penegak hukum ketika orang-orang terlibat dalam “aktivitas jahat yang menyebabkan kerugian nyata bagi pelanggan kami,” membuat banyak orang di komunitas keamanan siber berpikir bahwa Microsoft mengancam peneliti tersebut.
Nightmare Eclipse mengklaim Microsoft berulang kali menargetkan dan menghapus repositori sebelumnya yang dihosting di GitHub dan GitLab, sehingga mendorong pembuatan platform kode yang dihosting sendiri di projectnightcrawler.dev.
BleepingComputer telah menghubungi Microsoft tentang zero-day baru dan akan memperbarui ceritanya jika kami menerima pernyataan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
