Skip to content
[ root@retasan:~# Thursday, Jul 16, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Tools Cyberwarfare Data Breach Iklan
Exploit Development

ISC Stormcast: Patch Tuesday Rekor, LegacyHive LPE, ShareFile Zero-Day, dan Grok Ekfiltrasi Data

// by retasan-news July 15, 2026 6 min read
ISC Stormcast Roundup Patch Tuesday LegacyHive Grok Data Exfiltration

SANS Internet Storm Center merilis edisi Stormcast untuk Rabu, 15 Juli 2026 yang membahas empat topik signifikan: Patch Tuesday Microsoft dengan rekor 622 CVE, kerentanan privilege escalation baru LegacyHive pada Windows User Profile Service, konfirmasi zero-day Progress ShareFile yang memicu penutupan Storage Zone Controllers, serta temuan bahwa xAI Grok mengekfiltrasi data dan rahasia dari repositories pengguna. Edisi ini menjadi ringkasan komprehensif dari lanskap ancaman siber minggu pertengahan Juli 2026.

Apa yang Terjadi?

Johannes Ullrich dari SANS ISC merekam episode ini dari Washington DC, menyoroti beberapa perkembangan kritis yang terjadi berbarengan dengan Patch Tuesday Juli 2026. Poin utama yang dibahas meliputi volume CVE yang belum pernah terjadi sebelumnya, kerentanan privilege escalation baru yang belum di-patch, konfirmasi serangan zero-day terhadap ShareFile, dan isu privasi data yang melibatkan AI coding assistant Grok dari xAI.

Ullrich mencatat bahwa Microsoft sebelumnya telah mengumumkan bahwa Patch Tuesday akan menjadi lebih besar karena bantuan AI dalam menemukan kerentanan. Dari 622 CVE yang diperbaiki, dua di antaranya sudah dieksploitasi aktif (AD FS Elevation of Privilege dan SharePoint Server Elevation of Privilege), serta satu yang sudah terungkap publik (BitLocker Security Feature Bypass). Sebanyak 468 CVE tambahan diperbaiki di Chromium yang juga memengaruhi Microsoft Edge.

LegacyHive: Windows User Profile Service LPE

Salah satu temuan baru yang disorot dalam episode ini adalah LegacyHive — kerentanan privilege escalation pada Windows User Profile Service yang memungkinkan arbitrary hive load. Kerentanan ini ditemukan oleh Nightmare Clips (NightmareEclipse) dan dipublikasikan melalui git.projectnightcrawler.dev. LegacyHive memungkinkan penyerang lokal untuk memanipulasi loading registry hive melalui User Profile Service, mendapatkan hak akses SYSTEM pada sistem yang terdampak. Detail teknis lengkap belum sepenuhnya dipublikasikan, namun kerentanan pada User Profile Service secara historis memiliki dampak signifikan karena layanan ini berjalan dengan hak akses SYSTEM dan menangani seluruh profil pengguna di Windows.

Progress ShareFile Zero-Day Konfirmasi

Progress Software akhirnya mengonfirmasi bahwa kerentanan zero-day server-side pada ShareFile Storage Zone Controllers adalah alasan di balik permintaan penutupan mendadak minggu lalu. Bleeping Computer mengutip pernyataan Progress yang mengonfirmasi adanya kerentanan yang sedang dieksploitasi secara aktif. Hari yang sama, Progress merilis patch untuk kerentanan ini. Setelah patch diterapkan, Storage Zone Controllers dapat dikembalikan ke produksi. Konfirmasi ini mengakhiri spekulasi selama seminggu terkait alasan pasti di balik penutupan yang tidak biasa tersebut.

xAI Grok Ekfiltrasi Data

Topik menarik lainnya yang dibahas adalah temuan researcher dengan moniker XeroPLAB bahwa xAI’s Grok coding CLI mengekfiltrasi seluruh repositories Git dari pengguna yang menjalankan tool tersebut. Yang lebih mengkhawatirkan, Grok mengunggah file-filenya ke Google Drive yang digunakan oleh xAI untuk mengumpulkan data, termasuk file yang secara spesifik diberi instruksi untuk tidak dibuka. Elon Musk secara publik mengonfirmasi temuan tersebut dan menyatakan bahwa data yang terkumpul akan segera dihapus, namun tidak memberikan penjelasan mengapa data tersebut dikumpulkan di tempat pertama.

Detail Teknis

Microsoft Patch Tuesday: 622 CVE (57 Critical, 510 Important) ditambah 468 CVE Edge/Chromium. Dua zero-day aktif: CVE-2026-56155 (AD FS EoP) dan CVE-2026-56164 (SharePoint EoP). Satu zero-day terungkap: CVE-2026-50661 (BitLocker Bypass). Beberapa produk dengan jumlah CVE tinggi, namun jumlah patch yang perlu diterapkan tidak sebanyak jumlah CVE karena beberapa CVE dikelompokkan dalam satu update.

LegacyHive: Kerentanan pada Windows User Profile Service (profsvc) yang memungkinkan arbitrary registry hive load. User Profile Service berjalan sebagai SYSTEM dan bertanggung jawab memuat/membongkar profil pengguna, sehingga kerentanan pada layanan ini memiliki dampak langsung terhadap integritas seluruh sistem. Detail exploit belum sepenuhnya dipublikasikan.

Grok Data Exfiltration: xAI Grok coding CLI mengunggah repositories Git ke Google Drive milik xAI, termasuk file yang diberi instruksi untuk tidak dibuka. Ini mengindikasikan bahwa Grok memiliki kemampuan file access yang melampaui instruksi user, dan mekanisme upload data berlangsung tanpa consent yang transparan.

Dampak Terhadap Indonesia

Patch Tuesday dengan 622 CVE menjadi beban besar bagi tim IT Indonesia yang harus melakukan testing dan deployment dalam waktu singkat. Dua zero-day aktif pada AD FS dan SharePoint menjadi prioritas tertinggi mengingat banyaknya organisasi pemerintah dan BUMN yang mengandalkan layanan Microsoft ini. BSSN perlu menerbitkan advisori darurat untuk mendorong penerapan patch ini.

Kerentanan LegacyHive pada Windows User Profile Service sangat relevan bagi Indonesia karena banyaknya workstation Windows di lingkungan perkantoran dan pemerintahan yang berjalan dengan hak akses pengguna lokal yang berpotensi rentan. Sementara itu, isu Grok yang mengekfiltrasi data repository menjadi peringatan serius bagi pengembang software Indonesia yang mulai mengadopsi AI coding assistant. Repositori yang mengandung kredensial database, API keys, atau konfigurasi rahasia sangat berisiko terekspos melalui mekanisme ekfiltrasi seperti ini. Organisasi perlu meninjau kebijakan penggunaan AI tools dan memastikan bahwa source code dan secrets tidak dapat diakses oleh tools eksternal tanpa pengawasan yang memadai.

Rekomendasi Mitigasi

Prioritaskan penerapan patch zero-day (CVE-2026-56155 dan CVE-2026-56164) sesuai batas waktu CISA. Terapkan patch Microsoft lainnya secara bertahap berdasarkan risk prioritization. Pantau rilis patch untuk LegacyHive pada Windows User Profile Service dan terapkan segera setelah tersedia. Untuk isu Grok: tinjau kebijakan penggunaan AI coding assistant di organisasi, implementasikan .gitignore dan secret scanning, serta audit repositories untuk memastikan tidak ada kredensial yang tersimpan. Pertimbangkan untuk memblokir akses Grok CLI pada workstation yang memiliki akses ke source code organisasi sampai xAI memberikan penjelasan yang memadai mengenai praktik pengumpulan data mereka.

Analisa Retasan

Episode Stormcast ini menyoroti fenomena yang semakin mengkhawatirkan: konvergensi antara keamanan infrastruktur dan privasi data dalam satu narasi. Dari satu sisi, 622 CVE dan dua zero-day aktif menunjukkan bahwa attack surface organisasi terus meluas. Dari sisi lain, Grok yang mengekfiltrasi data repository mengungkap bahwa tools yang dirancang untuk meningkatkan produktivitas pengembang justru menjadi vector baru untuk kebocoran data. Kedua tren ini — membesarnya jumlah kerentanan dan menipisnya batas privasi data — bergerak ke arah yang berlawanan, menciptakan tantangan ganda bagi tim keamanan siber.

LegacyHive pada Windows User Profile Service menjadi contoh terbaru dari pola berulang kerentanan privilege escalation pada layanan Windows kritis yang berjalan sebagai SYSTEM. Sejarah mencatat bahwa kerentanan serupa pada layanan-layanan Windows seperti Print Spooler (CVE-2021-34527/PrintNightmare), Windows Update (CVE-2020-1013), dan Netlogon (CVE-2020-1472) telah menjadi titik masuk utama bagi serangan ransomware dan APT. Nightmare Clips yang menemukan kerentanan ini sebelumnya juga menemukan beberapa kerentanan BitLocker, menunjukkan konsistensi dalam meneliti mekanisme keamanan Windows yang kompleks.

Isu Grok data exfiltration menambah panjang daftar insiden privasi yang melibatkan AI coding assistant, setelah kekhawatiran serupa muncul dengan GitHub Copilot dan berbagai AI tool lainnya. Namun, kasus Grok lebih serius karena melibatkan upload file yang secara eksplisit dilarang oleh pengguna — sebuah pelanggaran terhadap asas consent yang fundamental. Untuk organisasi di Indonesia yang sedang mengadopsi AI dalam development workflow, ini menjadi pengingat bahwa adopsi teknologi AI harus disertai dengan governance yang ketat, termasuk inventory terhadap data apa saja yang dapat diakses oleh AI tools dan audit terhadap alur data yang terjadi saat tools tersebut beroperasi.

Sumber: SANS ISC Stormcast – July 15, 2026

Tags: Data Exfiltration Grok LegacyHive Microsoft Patch Tuesday SANS ISC ShareFile
Share:

retasan-news

← Previous Microsoft Patch Tuesday Juli 2026: 570 CVE, 3 Zero-Day, Termasuk Kerentanan Kritis
Next → Linux LPE Toolkit: Kumpulan 24 Exploit Privilege Escalation Multi-Arsitektur untuk Linux

Artikel Terkait

Zoom Peringatkan Kerentanan Kritis CVE-2026-53412 Skor CVSS 9.8: Account Takeover Tanpa Autentikasi

Zoom Peringatkan Kerentanan Kritis CVE-2026-53412 Skor CVSS 9.8: Account Takeover Tanpa Autentikasi

July 16, 2026
Pembaruan Keamanan Kritis Firefox, Chrome, Adobe, dan VMware Perbaiki Puluhan CVE Termasuk 8 ColdFusion Skor 9+

Pembaruan Keamanan Kritis Firefox, Chrome, Adobe, dan VMware Perbaiki Puluhan CVE Termasuk 8 ColdFusion Skor 9+

July 15, 2026
SonicWall Daruratkan Patch SMA1000: Dua Zero-Day yang Sedang Dieksploitasi Aktif

SonicWall Daruratkan Patch SMA1000: Dua Zero-Day yang Sedang Dieksploitasi Aktif

July 15, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.