CISA memerintahkan FBI untuk menambal kelemahan Windows yang dieksploitasi sebagai zero-day

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memerintahkan lembaga federal untuk mengamankan sistem Windows mereka dari kerentanan yang dieksploitasi dalam serangan zero-day.

Dilacak sebagai CVE-2026-32202kelemahan keamanan ini dilaporkan oleh perusahaan keamanan siber Akamai, yang menggambarkannya sebagai kerentanan kebocoran hash NTLM zero-click yang ditinggalkan setelah Microsoft secara tidak lengkap menambal kelemahan eksekusi kode jarak jauh (CVE-2026-21510) pada bulan Februari.

Seperti yang diungkapkan CERT-UA, kelompok spionase dunia maya APT28 (alias UAC-0001 dan Fancy Bear) Rusia mengeksploitasi CVE-2026-21510 dalam serangan terhadap Ukraina dan negara-negara UE pada bulan Desember 2025 sebagai bagian dari rantai eksploitasi yang juga menargetkan kelemahan file LNK (CVE-2026-21513).

Microsoft mengatakan bahwa penyerang jarak jauh yang berhasil mengeksploitasi Kerentanan CVE-2026-32202 dalam serangan dengan kompleksitas rendah dengan mengirimkan “file berbahaya kepada korban yang harus dieksekusi oleh korban”, dapat “melihat beberapa informasi sensitif” pada sistem yang belum ditambal.

Lebih lanjut Akamai menjelaskan dalam laporan hari Kamis bahwa ini kelemahan keamanan bisa dapat dieksploitasi dalam serangan pass-the-hash untuk mencuri hash NTLM (kata sandi hash), yang kemudian digunakan untuk mengautentikasi sebagai pengguna yang disusupi, sehingga memungkinkan penyerang menyebar secara lateral ke seluruh jaringan atau mencuri data sensitif.

Microsoft juga menandai kelemahan CVE-2026-3220 sebagai dieksploitasi dalam serangan pada hari Minggu setelah BleepingComputer menghubungi minggu lalu untuk menanyakan mengapa saran yang dirilis selama Patch Selasa April 2026 memiliki penilaian eksploitasi ‘Terdeteksi Eksploitasi’ sementara kerentanan ditandai sebagai tidak dieksploitasi.

Juru bicara Microsoft belum membalas email kedua yang meminta informasi lebih lanjut tentang serangan CVE-2026-32202, termasuk apakah peretas APT28 juga mengeksploitasi kerentanan zero-click ini.

FBI memerintahkan untuk melakukan patch pada 12 Mei

Pada hari Selasa, CISA ditambahkan CVE-2026-32202 untuknya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahuimemerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk menambal titik akhir dan server Windows mereka dalam waktu dua minggu, paling lambat tanggal 12 Mei, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.

“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan.

“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”

Meskipun BOD 22-01 hanya berlaku untuk lembaga federal AS, CISA telah mendesak semua tim keamanan untuk memprioritaskan penerapan patch untuk CVE-2026-32202 dan mengamankan jaringan organisasi mereka sesegera mungkin.

Aktor ancaman juga demikian mengeksploitasi secara aktif tiga kerentanan keamanan Windows yang baru-baru ini diungkapkan (dijuluki Palu Biru, Matahari MerahDan Batalkan pertahanan) dalam serangan yang ditujukan untuk mendapatkan SISTEM atau hak istimewa administrator yang lebih tinggi, dengan dua hak istimewa administrator yang terakhir masih menunggu patch.