CISA mengkonfirmasi pada hari Senin bahwa geng ransomware telah mulai mengeksploitasi kerentanan eskalasi hak istimewa Microsoft Defender dengan tingkat keparahan tinggi yang sebelumnya telah disalahgunakan dalam serangan zero-day.
Dijuluki BlueHammer, kelemahan keamanan (CVE-2026-33825) adalah dibocorkan oleh peneliti keamanan yang dikenal sebagai “Nightmare Eclipse” pada awal April, bersama dengan kode eksploitasi bukti konsep, sebagai protes terhadap cara Microsoft Security Response Center (MSRC) menangani proses pengungkapan.
“Rincian kontrol akses yang tidak memadai di Microsoft Defender memungkinkan penyerang resmi untuk meningkatkan hak istimewa secara lokal,” Microsoft menjelaskan dalam penasehat keamanan.
Will Dormann, analis kerentanan utama di Tharros, mengatakan kepada BleepingComputer pada bulan April bahwa meskipun masalah ini tidak mudah untuk dieksploitasi, hal ini memberikan penyerang lokal akses ke database Security Account Manager (SAM), yang berisi hash kata sandi untuk akun lokal.
Dengan akses ini, mereka dapat meningkatkan hak istimewa SISTEM dan berpotensi mengambil kendali penuh atas sistem yang ditargetkan.
“Pada saat itu, [the attackers] pada dasarnya memiliki sistem, dan dapat melakukan hal-hal seperti membuat shell dengan hak istimewa SISTEM,” kata Dormann.

Microsoft menambal kerentanannya pada tanggal 14 April sebagai bagian dari Patch Selasa April 2026. Namun, beberapa hari kemudian, peneliti keamanan Huntress Labs mengungkapkan pelaku ancaman tersebut telah mengeksploitasinya sebagai zero-day dalam serangan yang menunjukkan bukti “aktivitas aktor ancaman secara langsung”.
Selama beberapa bulan terakhir, Nightmare Eclipse telah mengungkapkan beberapa eksploitasi zero-day Windows lainnya, termasuk untuk Planet Nakal, Matahari Merah, Plasma Hijau, MiniPlasma, Kunci KuningDan Batalkan pertahanan kekurangan.
Beberapa kerentanan ini memengaruhi Microsoft Defender, sementara kerentanan lainnya menargetkan komponen BitLocker dan Windows.
Microsoft memperbaiki kelemahan keamanan GreenPlasma, MiniPlasma, dan YellowKey tiga minggu lalu sebagai bagian dari Patch Selasa Juni 2026 pembaruan.
Ditandai sebagai dieksploitasi oleh geng ransomware
CISA menambahkan kelemahan BlueHammer untuk itu Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui pada tanggal 22 April, memerintahkan lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk melakukan patch pada perangkat Windows mereka terhadap serangan CVE-2026-33825 yang sedang berlangsung dalam waktu dua minggu, hingga tanggal 7 Mei.
“Jenis kerentanan ini merupakan vektor serangan yang sering dilakukan oleh pelaku siber jahat dan menimbulkan risiko signifikan terhadap perusahaan federal,” badan keamanan siber AS memperingatkan pada saat itu.
Meskipun Microsoft belum menandai kelemahan keamanan ini sebagai dieksploitasi dalam serangan, CISA kini juga menandainya sebagai dieksploitasi dalam kampanye ransomware dalam pembaruan Katalog KEV pada hari Senin.
Dalam beberapa tahun terakhir, CISA telah ditandai delapan kerentanan Microsoft Defender yang telah dieksploitasi dalam serangan, dan dua di antaranya juga menjadi sasaran geng ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.









