Tiga Zero-Day Microsoft Defender Diserang Aktif, Dua Belum Ada Patch

Tiga zero-day Microsoft Defender kini sedang dieksploitasi secara aktif oleh pelaku ancaman sejak April 2026, mengancam keamanan sistem dengan kemampuan eskalasi hak istimewa dan serangan denial-of-service (DoS). Dua dari tiga celah keamanan tersebut masih belum mendapatkan pembaruan patch dari Microsoft, sehingga membuat organisasi harus melakukan langkah mitigasi ekstra, termasuk isolasi sistem terdampak.

Detail Tiga Kerentanan Microsoft Defender

Menurut laporan dari Huntress yang dikutip dari The Hacker News, tiga kerentanan yang disalahgunakan diberi kode nama BlueHammer, RedSun, dan UnDefend. Ketiganya merupakan zero-day yang pertama kali diungkap oleh peneliti keamanan dengan alias Chaotic Eclipse atau Nightmare-Eclipse.

BlueHammer dan RedSun adalah celah eskalasi hak istimewa lokal (LPE) yang memungkinkan penyerang mendapatkan akses lebih tinggi pada sistem yang sudah berhasil ditembus. Sedangkan UnDefend berpotensi digunakan untuk melancarkan serangan DoS yang dapat memblokir pembaruan definisi antivirus, sehingga melemahkan perlindungan sistem.

Status Patch dan Eksploitasi di Lapangan

Microsoft telah merilis patch untuk BlueHammer dalam pembaruan Patch Tuesday yang dikeluarkan awal minggu ini, di bawah kode CVE-2026-33825. Namun, hingga saat ini patch untuk RedSun dan UnDefend masih belum tersedia, meninggalkan dua celah tersebut terbuka untuk dimanfaatkan oleh penyerang.

Huntress melaporkan pengamatan eksploitasi aktif terhadap ketiga celah tersebut di lingkungan nyata. BlueHammer mulai digunakan sejak 10 April 2026, sementara eksploitasi proof-of-concept untuk RedSun dan UnDefend baru muncul pada 16 April 2026. Menariknya, aktivitas ini didahului dengan perintah enumerasi standar seperti whoami /priv, cmdkey /list, dan net group, yang menunjukkan adanya tindakan langsung oleh pelaku ancaman di sistem korban.

Tindakan Mitigasi dan Dampak Serangan

Dalam menghadapi serangan ini, vendor keamanan Huntress mengambil langkah tegas dengan mengisolasi organisasi yang terdampak untuk mencegah penyebaran dan serangan lanjutan. Isolasi ini penting mengingat kemampuan eskalasi hak istimewa dapat membuka akses lebih dalam dan DoS bisa melumpuhkan perlindungan sistem secara efektif.

Serangan zero-day pada Microsoft Defender menimbulkan kekhawatiran besar karena Defender merupakan solusi keamanan endpoint yang banyak digunakan di berbagai organisasi, mulai dari perusahaan hingga institusi pemerintah.

Analisis Redaksi

Menurut pandangan redaksi, eksploitasi zero-day pada Microsoft Defender ini menegaskan bahwa tidak ada sistem keamanan yang benar-benar kebal dari risiko, bahkan yang berasal dari vendor besar sekalipun. Patch Tuesday yang rutin tidak selalu cukup cepat untuk menangkal ancaman zero-day yang sudah aktif disalahgunakan. Dua kerentanan yang belum ditambal membuka celah kritis yang bisa dimanfaatkan oleh pelaku ancaman untuk merusak sistem secara serius ataupun mencuri data penting.

Selain itu, fakta bahwa pelaku menggunakan perintah enumerasi standar menunjukkan bahwa mereka sudah memiliki akses awal dan sedang berusaha memperkuat posisi mereka di dalam jaringan target. Ini merupakan tanda bahwa serangan ini bukan hanya coba-coba, melainkan bagian dari serangan yang terencana dengan baik.

Ke depan, organisasi harus meningkatkan kesiapan mereka dengan tidak hanya mengandalkan patch resmi, tapi juga menerapkan monitoring aktif, segmentasi jaringan, dan isolasi cepat saat tanda-tanda kompromi muncul. Pembaca juga harus terus mengikuti update dari Microsoft dan vendor keamanan untuk mengantisipasi pembaruan patch dan mitigasi lain yang akan dirilis.

Untuk informasi lebih lengkap dan update terbaru, Anda bisa terus mengikuti berita keamanan siber dari sumber tepercaya seperti The Hacker News maupun portal resmi Microsoft.