Eksploit RoguePlanet Bisa Ambil Alih Windows Defender, Pengguna Windows 10 dan 11 Waspada

CLB.my.id - Seorang peneliti keamanan siber yang dikenal dengan nama Nightmare Eclipse merilis bukti konsep eksploit baru bernama RoguePlanet yang menargetkan celah keamanan di Microsoft Windows Defender. Eksploit ini memanfaatkan kerentanan race condition yang belum pernah diungkap sebelumnya dan bisa memberikan akses level SYSTEM, hak akses tertinggi di sistem Windows.

Rilis ini diunggah ke GitHub bertepatan dengan Patch Tuesday, 10 Juni 2026, menambah urgensi pada deretan disclosure yang menargetkan Windows Defender secara agresif dalam beberapa bulan terakhir.

Bagaimana RoguePlanet Bekerja

RoguePlanet adalah eksploit local privilege escalation (LPE) yang menyalahgunakan kondisi race condition dalam logika pemrosesan internal Microsoft Defender. Pengguna biasa tanpa hak istimewa bisa memanfaatkan kerentanan ini untuk mengalihkan operasi file yang dilakukan Defender, yang berjalan dengan hak SYSTEM, sehingga kode yang dikendalikan penyerang bisa dieksekusi dengan level hak akses tertinggi.

Eksploit ini telah dikonfirmasi berfungsi pada sistem Windows 10 dan Windows 11 yang sudah di-patch sepenuhnya, termasuk saluran stabil resmi dan Canary Insider Preview dengan patch Juni 2026 yang sudah diterapkan. Instalasi Windows Server juga dianggap rentan, meskipun PoC saat ini tidak berfungsi di lingkungan tersebut karena pengguna standar tidak bisa memasang gambar ISO, salah satu prasyarat rantai eksploit ini.

Masalah TOCTOU yang Belum Selesai

Kerentanan mendasar di balik RoguePlanet adalah kondisi race condition Time-of-Check to Time-of-Use (TOCTOU), jenis kerentanan yang sebelumnya dieksploitasi oleh Nightmare Eclipse melalui eksploit BlueHammer (CVE-2026-33825) dengan rating CVSS 7.8 (High) yang sudah di-patch Microsoft pada April 2026.

Pada kasus BlueHammer, mesin remediasi file Defender melakukan operasi tulis berhak istimewa tanpa mengunci validasi jalur file secara memadai, memungkinkan penyerang menyisipkan titik simpul NTFS yang mengalihkan tulisan SYSTEM-level Defender ke lokasi berbahaya.

RoguePlanet menggunakan strategi pengalihan jalur yang serupa, menunjukkan bahwa upaya Microsoft untuk memperkuat Defender terhadap kelas serangan ini belum sepenuhnya berhasil.

Deretan Eksploit yang Terus Bertambah

RoguePlanet merupakan yang terbaru dalam serangkaian rilis zero-day dari Nightmare Eclipse. Peneliti ini telah mengungkap setidaknya tujuh eksploit terkait Defender sejak awal April 2026, termasuk BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, dan MiniPlasma.

Kampanye ini digambarkan secara luas oleh peneliti keamanan sebagai upaya balasan setelah perselisihan dengan Microsoft terkait pengungkapan bertanggung jawab dan pemutusan akun. Peneliti dari Huntress bahkan sudah mendokumentasikan intrusi dunia nyata yang menggunakan tooling sebelumnya dari peneliti ini, dengan BlueHammer, RedSun, dan alat pengganggu Defender UnDefend yang teramati dalam rantai serangan langsung.

Tingkat keberhasilan RoguePlanet bervariasi antar lingkungan. Peneliti mencatat tingkat keberhasilan 100% di beberapa mesin, sementara eksploit ini kesulitan di mesin lain karena ketidakstabilan inheren dari kondisi race condition.

Belum Ada CVE dari Microsoft

Hingga berita ini diterbitkan, Microsoft belum mengeluarkan CVE atau penasihat publik untuk RoguePlanet. Mengingat eksploitasi aktif dari tooling Nightmare Eclipse sebelumnya di dunia nyata, organisasi yang menjalankan endpoint Windows 10 atau Windows 11 sebaiknya memperlakukan pengungkapan ini sebagai prioritas tinggi dan memantau Panduan Pembaruan Keamanan Microsoft untuk patch darurat.

Bagi pengguna individu, langkah terbaik yang bisa dilakukan adalah memastikan Windows Defender selalu diperbarui ke versi terbaru, mengaktifkan perlindungan real-time, dan menghindari mengunduh file dari sumber yang tidak terpercaya.

Mengapa Ini Penting bagi Pengguna Indonesia

Windows Defender menjadi lini pertahanan utama bagi jutaan pengguna Windows di Indonesia yang tidak berlangganan antivirus pihak ketiga. Ketika perlindungan bawaan ini sendiri menjadi target eksploit, dampaknya bisa sangat luas. Terlebih lagi, banyak pengguna di Indonesia yang mengandalkan Windows Defender sebagai satu-satunya pelindung sistem mereka.

Seri eksploit Nightmare Eclipse juga memicu perdebatan soal tanggung jawab vendor dalam menangani laporan kerentanan. Di satu sisi, pengungkapan publik memaksa vendor untuk segera bertindak. Di sisi lain, merilis bukti konsep eksploit ke publik sebelum patch tersedia membuka jendela risiko bagi pengguna yang belum sadar akan ancaman tersebut.

Microsoft diprediksi akan merespons dengan patch keamanan dalam pembaruan berikutnya mengingat tingginya urgensi kerentanan ini. Hingga saat itu, pengguna Windows disarankan untuk tetap waspada dan mengikuti perkembangan informasi dari sumber keamanan siber terpercaya.***