Di Balik Kampanye Dendam Digital: Enam Minggu yang Mengguncang Ekosistem Keamanan Microsoft

Ringkasan Eksploit dan Status Tambalan

Tiga dari enam kerentanan telah ditambal pada akhir Mei 2026. Tiga lainnya masih belum terselesaikan, dengan MiniPlasma menimbulkan risiko operasional paling langsung.

MiniPlasma sangat berbahaya karena memungkinkan pengguna standar mendapatkan hak akses tingkat SISTEM pada sistem yang telah menerapkan semua pembaruan Mei 2026 terkini . Eksploit ini menargetkan driver Cloud Files cldflt.sys yang sama dengan yang ditargetkan BlueHammer, dengan memicu kembali kerentanan yang sebelumnya telah diatasi pada tahun 2020, yang menurut peneliti tidak pernah ditambal sepenuhnya oleh Microsoft .

Motivasi Peneliti: Protes Terhadap MSRC

Peneliti secara eksplisit menggambarkan pengungkapan ini sebagai pembalasan atas perlakuan buruk oleh MSRC. Pernyataan publik dan laporan menunjukkan bahwa pengajuan pribadi sebelumnya diabaikan, lamban, atau dibalas dengan tuntutan yang dirasa berlebihan oleh peneliti—kabarnya termasuk permintaan demonstrasi video tentang eksploit tersebut . Sebuah klaim berulang yang dikaitkan dengan peneliti menyatakan bahwa MSRC mengancam akan "menghancurkan hidup saya dan mereka melakukannya" .

Waktu perilisan selanjutnya—diposting sehari setelah Patch Tuesday—secara transparan dirancang untuk memaksimalkan eksposur dan tekanan. YellowKey dan GreenPlasma dirilis pada 12 Mei, segera setelah siklus patch Mei Microsoft, dan MiniPlasma menyusul pada 17 Mei .

Respons Microsoft dan Ancaman Hukum

Pada 27 Mei, Microsoft menerbitkan sebuah pos blog berjudul "A shared responsibility: Protecting customers through coordinated vulnerability disclosure" (Tanggung jawab bersama: Melindungi pelanggan melalui pengungkapan kerentanan terkoordinasi) . Pos tersebut:

• Menyebutkan keenam eksploit sebagai "tidak diungkapkan secara bertanggung jawab" .
• Mendesak komunitas keamanan untuk mengikuti praktik Pengungkapan Kerentanan Terkoordinasi (CVD).
• Menyertakan ancaman terselubung dari Unit Kejahatan Digital Microsoft, memperingatkan bahwa pengungkapan publik yang dipersenjatai dapat membawa konsekuensi hukum .

Bahasa Microsoft meningkatkan konflik, tetapi tidak menyelesaikan masalah inti: tiga zero-day tetap tanpa tambalan. Platform yang menampung kode tersebut—GitHub sekitar 23 Mei dan GitLab beberapa hari kemudian—mengambil tindakan penegakan dengan menonaktifkan akun peneliti .

Eksploitasi Aktif dan Alarm Kelembagaan

Pada pertengahan April, ketiga eksploit Defender awal telah berada di bawah eksploitasi aktif. Huntress dan Barracuda mengidentifikasi pelaku ancaman yang mengambil kode PoC langsung dari repositori publik GitHub dan menggunakan infrastruktur yang terkait dengan geolokasi Rusia .

CISA bereaksi dengan cepat. BlueHammer ditambahkan ke katalog KEV pada 22 April dengan batas waktu penambalan 6 Mei untuk lembaga federal . RedSun dan UnDefend menyusul kemudian, dengan batas waktu 3 Juni . Penambahan ini mencerminkan kekhawatiran mendalam: ketika perangkat keamanan itu sendiri menjadi vektor serangan, model pertahanan tradisional runtuh.

Reaksi Komunitas: Proses Pengungkapan yang Rusak

Komunitas keamanan siber merespons dengan putusan yang terbelah.

Kritik terhadap peneliti datang dari Barracuda, ThreatLocker, dan LevelBlue, yang mencirikan kampanye ini sebagai berbahaya dan kontraproduktif . Menjatuhkan eksploit yang telah dipersenjatai secara publik menempatkan pengguna korporat pada risiko langsung ketika tidak ada tambalan yang tersedia.

Kritik terhadap Microsoft sama tajamnya. Banyak peneliti mencatat bahwa seluruh kisah ini bisa dihindari dengan proses MSRC yang lebih hormat dan responsif. Pengungkapan ini menghidupkan kembali keluhan lama: triase yang lambat, komunikasi yang tidak jelas, dan sikap bermusuhan terhadap penemu yang tidak sesuai dengan cetakan program bug bounty korporat .

Satu dinamika yang mencolok: Microsoft mengancam tindakan hukum sementara tiga eksploit tetap tanpa tambalan—sebuah langkah yang oleh para komentator disebut sebagai teatrikal dan salah prioritas .

Apa yang Terjadi Selanjutnya?

Peneliti telah bungkam tetapi tidak diam. Setelah kehilangan akses platform, ia pindah ke blog pribadi dan secara eksplisit mengancam rilis massal lagi pada 14 Juli—Patch Tuesday berikutnya . Apakah ancaman itu kredibel masih belum diketahui, tetapi polanya sudah terbentuk.

Bagi tim keamanan, prioritas langsungnya jelas: terapkan tambalan Defender di luar jadwal, terapkan mitigasi YellowKey (menghapus nilai BootExecute autofstx.exe dan mengaktifkan TPM+PIN untuk BitLocker) , dan perlakukan MiniPlasma sebagai ancaman langsung tanpa remediasi resmi. Pantau rilis PoC tambahan yang waktunya bertepatan dengan Patch Tuesday mendatang, dan siapkan kontrol kompensasi untuk komponen Defender yang sekarang menjadi target sistematis penyerang.

Episode Nightmare-Eclipse bukan hanya tentang enam kerentanan. Ini adalah uji tekanan (stress test) bagi hubungan antara vendor platform dan para peneliti yang mereka andalkan. Ketika hubungan itu rusak, konsekuensinya bersifat publik, dapat dieksploitasi, dan parah.