Microsoft Defender Punya Celah Zero-Day RoguePlanet, Patch Belum Tersedia

CLB.my.id - Microsoft secara resmi mengonfirmasi adanya celah zero-day pada Microsoft Defender yang diberi nama “RoguePlanet” dan dilacak dengan nomor CVE-2026-50656. Celah ini memiliki skor CVSS 7.8 atau masuk kategori “Important” dan memungkinkan penyerang meningkatkan hak akses ke level tertinggi di Windows. Yang mengkhawatirkan, patch perbaikan belum tersedia hingga saat ini.

Bagaimana Celah Ini Bekerja

RoguePlanet memanfaatkan kelemahan berjenis CWE-59, yaitu resolusi tautan yang tidak tepat sebelum akses file (Link Following). Celah ini berada pada komponen Microsoft Malware Protection Engine, yaitu mesin pemindai inti yang tertanam di Microsoft Defender.

Serangan ini memanfaatkan celah waktu antara momen ketika Defender memverifikasi jalur file dan momen ketika komponen tersebut bertindak berdasarkan verifikasi itu. Kondisi ini dikenal sebagai Time-of-Check to Time-of-Use (TOCTOU) race condition. Ketika berhasil dieksploitasi, serangan ini bisa membuka command prompt Windows yang berjalan dengan hak akses NT AUTHORITY\SYSTEM, yaitu level hak akses tertinggi yang bisa dimiliki di sistem Windows.

Yang membuat celah ini semakin berbahaya, seorang peneliti keamanan dengan alias Nightmare Eclipse dan Chaotic Eclipse menyatakan bahwa proof-of-concept (PoC) berfungsi tanpa memperhatikan apakah fitur Real-Time Protection pada Defender aktif atau tidak, bahkan bisa bekerja dalam mode pasif sekalipun.

Siapa yang Terdampak

Celah ini memengaruhi sistem Windows 10 dan Windows 11 yang sudah sepenuhnya diperbarui, termasuk sistem yang sudah menginstal pembaruan kumulatif Juni 2026 KB5094126. Firma keamanan siber ThreatLocker telah secara independen mereproduksi eksploitasi ini dan memverifikasi bahwa celah tersebut bekerja pada sistem Windows 11 yang sudah diperbarui sepenuhnya.

Microsoft menilai tingkat eksploitabilitas celah ini sebagai “Exploitation More Likely” pada Indeks Eksploitabilitas mereka. Artinya, perusahaan memperkirakan celah ini kemungkinan besar akan dieksploitasi di masa mendatang. Saat ini, belum ada eksploitasi aktif yang diamati di lapangan, tetapi keberadaan PoC publik yang berfungsi menjadi sinyal peringatan serius.

Respons Microsoft dan Langkah yang Tersedia

Pada 16 Juni 2026, Microsoft Security Response Center (MSRC) secara resmi menerbitkan CVE ini, dua hari setelah PoC pertama kali dirilis pada 10 Juni 2026, hanya beberapa jam setelah Microsoft menyelesaikan Patch Tuesday Juni 2026.

“Kami sedang berupaya menyediakan pembaruan keamanan berkualitas tinggi yang mengatasi celah ini,” demikian pernyataan resmi Microsoft. Namun, perusahaan belum mengumumkan tanggal pasti rilis patch.

Sampai patch tersedia, tim keamanan disarankan untuk memantau pembaruan dari MSRC dan menilai risiko terhadap lingkungan organisasi masing-masing. Tanda tangan keamanan yang beredar di komunitas keamanan dilaporkan sebagian besar bisa dilewati dengan modifikasi minor pada PoC, sehingga perlindungan konvensional tidak cukup untuk menghadapi ancaman ini.

Apa yang Bisa Dilakukan Pengguna Windows

Meskipun belum ada patch resmi, ada beberapa langkah yang bisa diambil untuk memitigasi risiko. Pertama, pastikan sistem selalu diperbarui agar begitu patch tersedia, sistem langsung mendapatkannya. Kedua, pantau terus halaman MSRC untuk pembaruan terkait CVE-2026-50656. Ketiga, untuk lingkungan enterprise, pertimbangkan untuk menerapkan lapisan keamanan tambahan seperti application whitelisting dan monitoring perilaku sistem yang mencurigakan.

Kasus RoguePlanet ini menjadi pengingat bahwa bahkan komponen keamanan yang seharusnya melindungi sistem pun bisa menjadi titik masuk bagi penyerang. Dengan PoC yang sudah beredar publik dan sistem Windows 10 serta Windows 11 yang sepenuhnya terbarui pun tetap rentan, tekanan kini ada di pihak Microsoft untuk merilis perbaikan sesegera mungkin.