Dua Zero‑Day Microsoft Defender yang Sudah Diserang: Apa Dampaknya dan Cara Menambalnya

Karakteristik utama kerentanan ini:

• Jenis kerentanan: improper link resolution (“link following”)
• Dampak: eskalasi hak akses lokal hingga SYSTEM
• Skor CVSS v3.1: 7.8 (High)
• Memerlukan akses lokal terautentikasi, bukan eksploitasi jarak jauh.

Serangan berbasis link‑following biasanya dilakukan dengan cara:

• Membuat symbolic link, junction, atau reparse point berbahaya
• Memicu Defender agar mengakses atau memodifikasi file tersebut
• Mengarahkan operasi ke lokasi sistem yang dilindungi

Detail exploit lengkap belum dipublikasikan, tetapi jenis kerentanan ini sudah lama dikenal dalam teknik eskalasi hak akses di Windows.

CVE‑2026‑45498 — Kerentanan Denial‑of‑Service di Defender

Kerentanan kedua, CVE‑2026‑45498, memungkinkan penyerang menyebabkan denial‑of‑service (DoS) pada Microsoft Defender. Dokumentasi teknis publik masih terbatas dan hanya menyebut adanya kerentanan yang dapat mengganggu layanan.

Jika berhasil dieksploitasi, serangan berpotensi:

• menyebabkan komponen Defender crash
• menghentikan proses pemindaian malware
• mengganggu mekanisme perlindungan real‑time

Karena Defender merupakan sistem perlindungan endpoint utama di Windows, gangguan ini bisa menciptakan jendela waktu di mana malware dapat beroperasi tanpa terdeteksi.

Metode eksploitasi spesifiknya belum dipublikasikan secara terbuka.

Bukti Eksploitasi Aktif

Microsoft mengonfirmasi bahwa kedua kerentanan sudah dieksploitasi di dunia nyata, yang menjadi alasan dirilisnya patch darurat. Beberapa indikator yang mendukung hal ini antara lain:

• Kedua CVE dimasukkan ke CISA Known Exploited Vulnerabilities catalog.
• Laporan keamanan menyebut Microsoft mengakui adanya eksploitasi aktif terhadap bug eskalasi hak akses dan DoS di Defender.
• Beberapa tracker kerentanan menandai keduanya sebagai vulnerabilitas tingkat tinggi yang sedang dieksploitasi.

Namun, hingga saat ini belum ada sampel exploit publik, indikator kompromi (IOC), atau data korban yang dipublikasikan secara luas.

Sistem Windows yang Berpotensi Terdampak

Kerentanan ini terkait dengan komponen Microsoft Defender, sehingga risiko terutama bergantung pada versi platform dan engine Defender—bukan hanya versi Windows.

Lingkungan yang berpotensi terdampak meliputi:

• Windows 11
• Windows Server yang menggunakan Defender
• Endpoint perusahaan yang menggunakan Microsoft Malware Protection Engine

Versi yang rentan dilaporkan mencakup:

• Malware Protection Engine sebelum versi 1.1.26040.8
• Microsoft Defender Platform sebelum versi 4.18.26040.7

Karena engine Defender diperbarui secara independen dari pembaruan sistem operasi, administrator perlu memeriksa versi Defender secara langsung, bukan hanya mengandalkan Windows Update.

Apakah Ada Kaitannya dengan Aktivitas “Nightmare‑Eclipse”?

Beberapa peneliti keamanan mengaitkan meningkatnya jumlah eksploit yang menargetkan teknologi Microsoft dengan aktor bernama Nightmare‑Eclipse (juga dikenal sebagai Chaotic Eclipse). Aktor ini dilaporkan merilis beberapa exploit zero‑day Windows sepanjang 2026 setelah konflik terkait proses disclosure kerentanan dengan Microsoft.

Menurut penelitian keamanan, aktivitas tersebut merupakan rangkaian publikasi exploit yang menargetkan komponen keamanan Windows dan Defender.

Namun, belum ada bukti yang secara pasti menghubungkan CVE‑2026‑41091 atau CVE‑2026‑45498 dengan kampanye tersebut. Keduanya hanya muncul dalam konteks meningkatnya eksploit terhadap komponen Defender.

Langkah Mitigasi yang Disarankan

Organisasi yang menggunakan Windows dan Microsoft Defender sebaiknya memperlakukan kerentanan ini sebagai prioritas patch tinggi.

Langkah yang disarankan:

• Instal update platform dan engine Microsoft Defender terbaru yang dirilis pada 20 Mei.
• Verifikasi versi Defender di semua endpoint, bukan hanya level patch Windows.
• Prioritaskan patch pada server, sistem multi‑user, lingkungan VDI, dan workstation developer.
• Pantau perilaku tidak normal pada Defender, seperti crash atau restart layanan.
• Periksa keberadaan symbolic link atau reparse point mencurigakan di direktori yang dapat ditulis pengguna.

Jika patch belum bisa diterapkan segera, langkah mitigasi sementara meliputi:

• membatasi akses login lokal
• meminimalkan hak administratif
• memantau status perlindungan endpoint secara ketat

Mengapa Kerentanan Defender Sangat Penting

Kerentanan pada platform keamanan endpoint sering kali berisiko tinggi. Microsoft Defender berjalan dengan hak istimewa tinggi dan terintegrasi langsung dengan Windows, sehingga kelemahan dalam penanganan file atau layanan dapat memberikan pijakan kuat bagi penyerang.

Kasus patch darurat ini kembali mengingatkan bahwa bahkan alat keamanan pun dapat menjadi target serangan—terutama ketika mereka memproses file yang tidak tepercaya atau berjalan dengan hak istimewa tinggi.

Bagi administrator dan tim keamanan, pesan utamanya jelas: pastikan pembaruan Defender segera diterapkan di seluruh endpoint untuk menutup peluang eksploitasi.