Garis waktu yang menjadi landasan manajemen kerentanan telah hilang secara diam-diam. Selama beberapa dekade, para pembela HAM dapat mengandalkan waktu berminggu-minggu atau berbulan-bulan antara kelemahan yang terungkap ke publik dan siapa pun yang benar-benar mengubahnya menjadi serangan yang berhasil.
Dua kekuatan menutup kesenjangan itu sekaligus.
Yang pertama adalah volume belaka: kelemahan baru menumpuk jauh lebih cepat dibandingkan sebelumnya, dengan paruh pertama tahun 2026 saja menghasilkan lebih banyak CVE dibandingkan rekor setahun penuh sebelum tahun 2024, mencapai tingkat yang mengkhawatirkan yaitu sekitar satu setiap 7,4 menit.
Yang kedua adalah kecepatan. AI dengan cepat menghapus apa yang tersisaseperti yang kami sebutkan di sebuah artikel baru-baru ini. Saat ini, mengubah nasihat menjadi eksploitasi langsung tidak lagi membutuhkan upaya yang terampil dan sabar. Zero Day Clock, yang melacak waktu eksploitasi di puluhan ribu CVE, kini menempatkan waktu rata-rata untuk tahun 2026 jauh di bawah satu hari, turun dari hitungan minggu beberapa tahun sebelumnya.
Sayangnya bagi tim keamanan, pertahanan belum bergerak secepat itu, dan tidak ada tim yang bisa keluar dari tumpukan yang terus bertambah dari menit ke menit. Namun volume hanyalah sebagian dari masalahnya: hanya sebagian kecil dari CVE yang pernah diubah menjadi serangan langsung di alam liar.
Yang terbuka adalah rentang waktu yang semakin luas di mana penyerang dapat bertindak bebas, sedangkan pihak yang bertahan tidak berdaya untuk menghentikan mereka. Masalah peracikan adalah buktinyamemisahkan segelintir ancaman yang sebenarnya dapat berbalik melawan Anda dari puluhan ribu ancaman yang tidak akan pernah terjadi.
Risikonya Ada Saat Anda Tidak Dapat Menembak
Menjalankan pentest secara terus-menerus, bukan sekali dalam seperempat, tentu akan mempersempit rentang tersebut, namun itu membawa langit-langit yang keras. Eksploitasi langsung, yang digunakan oleh alat pentest otomatis, hanya dapat diluncurkan jika aman untuk dilakukan dan jika eksploitasi yang dapat digunakan sudah ada, yang di sebagian besar perusahaan hanya mencakup 10 hingga 15% dari permukaan serangan sebenarnya.
Namun sisanya tidak terbukti dengan alat pentesting otomatis tradisional: kelemahan yang tidak dapat dieksploitasi oleh publik, sistem yang diatur dan memiliki celah udara yang terlalu sensitif untuk menahan serangan nyata, dan bug yang baru diungkapkan yang sudah digunakan oleh musuh sementara alat pertahanan masih mengejar ketinggalan.
Namun, pembuktian kemampuan eksploitasi tidak memerlukan eksploitasi publik atau tindakan langsung terhadap sistem yang terlalu kritis terhadap risiko. Baik fisik maupun virtual, sebuah rantai hanya sekuat tautan terlemahnya, dan Anda tidak perlu memuat seluruh rantai untuk mengetahui tautan mana yang akan putus. Platform Puncak membuktikan kemampuan untuk dieksploitasi, baik eksploitasi di tangan, atau tidak.
Kesenjangan cakupan inilah yang menjadi alasan CISO memindahkan anggaran dari kecepatan patch ke validasi, dan panduan terbaru kami menjabarkan kasus lengkap beserta angka-angka untuk mempertahankan anggaran tersebut di depan dewan. Dapatkan salinan Anda di bawah ini.
Buktikan Rantainya, Bukan Eksploitasinya
Inilah bagian yang mulai menyeimbangkan kembali persamaan tersebut: Anda dapat membuktikan apakah suatu eksploitasi merugikan Anda tanpa harus benar-benar menarik pelatuknya.
Setiap eksploitasi merupakan serangkaian langkah yang bergantung: eksekusi awal, penghindaran pertahanan, peningkatan hak istimewa, pencurian kredensial, pergerakan lateral. Penyerang membutuhkan setiap langkah yang diperlukan untuk mendaratdan sebuah langkah hanya akan tercapai jika lingkungan Anda mengizinkannya.
Petakan kerentanan pada langkah-langkah yang menjadi dasar eksploitasinya, lalu uji masing-masing kerentanan terhadap pertahanan yang sebenarnya telah Anda terapkan. Jika langkah yang diperlukan tidak memiliki jalur yang layak melalui kontrol Anda, rantai tidak dapat diselesaikan, dan eksploitasi gagal pada aset tersebut, meskipun kerentanannya masih ada. Yang terjadi justru sebaliknya: Jika setiap langkah yang diperlukan berhasil, maka pengungkapan tersebut benar-benar dapat dieksploitasi, dan Anda dapat mendukung keputusan tersebut dengan bukti, bukan firasat.
Itu logika teknik roket. Para insinyur mengkualifikasi mesin, sistem bahan bakar, dan pelindung panas satu per satu, semuanya sebelum peluncuran dilakukan, dan jika komponen penting gagal dalam pengujian, mereka tahu bahwa kendaraan tersebut tidak dapat terbang, tanpa harus mengambil risiko peluncuran.
Contoh yang Berhasil: Gerhana Mimpi Buruk
Kasus bug yang baru terungkap menjadi nyata saat seseorang menghentikan penggunaan Windows zero-day, dan ekosistem kriminal mengambilnya. Itulah yang terjadi dengan Nightmare-Eclipse. Kode eksploitasi dipublikasikan di GitHub dalam waktu seminggu, tetapi menjalankan malware sebenarnya pada pengontrol domain Anda sendiri untuk mengetahui apakah malware tersebut mendarat bukanlah ujian yang harus diikuti oleh siapa pun.
Melihat kembali bagaimana timeline spesifik ini dijalankan adalah ilustrasi paling jelas mengapa membuktikan rantai, bukan menghentikannya, adalah cara yang efektif untuk memutuskan patch mana yang akan diprioritaskan.
Mimpi Buruk-Gerhana (alias Gerhana Chaotic, Gerhana Mati) bukan kru ransomware atau grup yang disponsori negara. Berdasarkan semua bukti yang ada, ia adalah salah satu peneliti keamanan dengan pengetahuan mendalam tentang internal Windows dan memiliki dendam pribadi terhadap Microsoft.
Mulai awal April 2026, aktor tersebut menerbitkan serangkaian eksploitasi zero-day Windows sebagai pengungkapan yang tidak terkoordinasi, tanpa garis waktu yang terkoordinasi dan, dalam banyak kasus, tanpa CVE dan patch saat dirilis.
Tiga dari rilis tersebut digabungkan menjadi satu buku pedoman yang bersifat eskalasi dan membutakan yang bersifat mandiri.
-
Palu Biru: Peningkatan hak istimewa lokal melalui a file istimewa dibacamengeksploitasi kondisi balapan di Windows Defender. Sebuah EICAR file umpan mendorong Defender ke dalam alur kerja remediasi yang membuat snapshot Volume Shadow Copy, secara singkat mengekspos sarang SAM, SYSTEM, dan SECURITY. BlueHammer menggunakan callback Cloud Files dan kunci oportunistik untuk memenangkan perlombaan tersebut, membaca sarangnya, membuang hash NTLM lokal, dan mengeskalasi ke SISTEM.
-
Matahari Merah: Himpunan primitif yang sama, dibalik menjadi a menulis file istimewa. Alih-alih membaca sarang SAM, RedSun mengalihkan penulisan tingkat SISTEM ke dalamnya C:WindowsSystem32menimpa TieringEngineService.exe dengan biner penyerang, lalu memicu Manajemen Tingkat Penyimpanan COM keberatan untuk meluncurkannya sebagai SYSTEM.
-
Tidak Bertahan: Alat gangguan Defender. Ini mengunci file tanda tangan Defender (mpavbase.vdm, mpavbase.lkg), memblokir pembaruan definisi, dan memblokir basis tanda tangan agar tidak dimuat ulang saat layanan dimulai ulang, sambil melaporkan status terkini yang sehat ke konsol EDR.
Dirantai, hasilnya adalah mesin tanpa hambatan hak istimewa dan tumpukan keamanan yang terletak pada kesehatannya sendiri.
Perilaku Replikasi: Membangun Rantai TTP
Mengubah intrusi menjadi pengujian yang aman berarti mengubah setiap perilaku penyerang menjadi tindakan terpisah yang dapat dijalankan dan diukur oleh Picus tanpa harus benar-benar mengaktifkan eksploitasi sebenarnya.
Beberapa tindakan membentuk rantai tersebut; tapi ada tiga yang menanggung sebagian besar bebannya:
-
Buat layanan baru, “Evilsvc” (Eksekusi). Eskalasi BlueHammer diakhiri dengan mendaftarkan layanan Windows sementara dengan Buat Layanan jadi muatannya berjalan sebagai SISTEM. Tindakan yang diemulasikan menginstal layanan pengujian yang tidak berbahaya, menggantikan langkah eksekusi terakhir tanpa meluncurkan sesuatu yang berbahaya.
-
Buang sarang SAM melalui Volume Shadow Copy (Akses Kredensial). Ini adalah inti primitif BlueHammer. Daripada menyentuh registri yang aktif dan terkunci, penyerang membaca SAM, SISTEMDan KEAMANAN keluar dari salinan bayangan yang dibuat Defender dan mendekripsi hash NTLM secara offline. Tindakan yang ditiru mereproduksi hal itu berbasis VSS akses sarang, perilaku persis yang harus ditangkap oleh kontrol pencurian kredensial.
-
Nonaktifkan layanan Windows Defender (Defense Evasion). Dalam rantai sebenarnya, UnDefend memblokir pembaruan Defender dan menghentikan pemuatan ulang basis tanda tangannya, sambil secara menipu melaporkan status sehat ke konsol. Picus tidak memerlukan malware tersebut untuk memvalidasi langkah tersebut; itu meniru teknik dengan tidak Pembelatindakan Pustaka Ancaman yang menghentikan layanan Windows Defender dengan aman, menguji apakah perlindungan kerusakan Anda berlaku terlepas dari alat mana yang mencoba menghindarinya.
Ketika dijalankan secara berurutan terhadap kontrol langsung Anda, langkah-langkah ini menunjukkan apakah rantai penuh, akses SISTEM, pencurian kredensial, dan Pembela yang buta akan benar-benar berhasil di lingkungan Anda, atau apakah salah satu pertahanan Anda merusaknya terlebih dahulu.
Dengan cara ini, Anda dapat memprioritaskan patching dan pengerasan di mana rantai akan benar-benar selesai dan mencapai keputusan tersebut tanpa meluncurkan satu pun eksploitasi, termasuk pada sistem yang tidak akan pernah dapat Anda uji secara langsung. Dua halaman rantai TTP kami menelusuri proses yang tepat ini langkah demi langkah, mulai dari ID CVE hingga keputusan yang dapat dipertahankan, dengan contoh kerja kedua. Dapatkan salinan Anda di bawah ini.
Tutupi Seluruh Permukaan, dan Terus Buktikan
Eksploitasi langsung dan rangkaian TTP tidak pernah merupakan metode yang bersaing; mereka cocok bersama secara simbiosis.
Program terkuat akan menjalankan keduanya, lalu menjalankannya lagi setiap kali lingkungan berubah, karena kontrol yang memutus rantai bulan lalu mungkin tidak dapat bertahan pada perubahan konfigurasi berikutnya. Eksploitasi adalah pertanyaan yang harus terus ditanyakan, bukan kotak yang harus dicentang satu kali.
Ini adalah lingkaran yang ditutup Picus. Jika ada eksploitasi dan pengaktifannya aman, Pentestingan Otonom meledakkan rantai asli untuk bukti terkuat yang tersedia. Jika tidak, pada aset-aset yang dibatasi, memiliki celah udara, atau penting bagi bisnis, atau CVE yang dirilis pagi ini tanpa senjata apa pun, rangkaian TTP membuktikan kemampuan untuk dieksploitasi melalui inferensi.
Simulasi Pelanggaran dan Serangan lalu memeriksa kembali setiap putusan, sehingga “penerimaan” pada kuartal terakhir tidak pernah diam-diam berubah menjadi pelanggaran pada kuartal ini.
Hasilnya adalah satu platform, satu jawaban sesuai permintaan: “Apa yang sebenarnya bisa dieksploitasi di sini saat ini?”
Ambillah kasus yang masih ada di simpanan Anda. Rilisan Nightmare-Eclipse berikutnya yang belum memiliki patch, kotak dengan celah udara yang tidak akan pernah Anda lawan, saran yang mendarat beberapa jam yang lalu.
Pesan demo dan saksikan Picus menguji lingkungan unik Anda terhadap eksploitasi langsung dan rantai TTP.
Disponsori dan ditulis oleh Perangkat Lunak Puncak.








