Microsoft telah merilis patch untuk kerentanan privilege escalation di Microsoft Defender yang dikenal sebagai “RoguePlanet”, sekitar satu bulan setelah detail kerentanan tersebut dipublikasikan. Kerentanan yang dilacak sebagai CVE-2026-50656 dengan skor CVSS 7.8 ini merupakan masalah privilege escalation pada Microsoft Malware Protection Engine (mpengine.dll), komponen yang menyediakan kemampuan pemindaian, deteksi, dan pembersihan untuk perangkat lunak antivirus dan antispyware Microsoft.
Apa yang Terjadi?
Masalah ini telah diperbaiki dalam Microsoft Malware Protection Engine versi 1.1.26060.3008, bersama dengan pembaruan defense-in-depth untuk memperkuat fitur terkait keamanan lainnya. RoguePlanet pertama kali diungkap oleh peneliti keamanan bernama Chaotic Eclipse (juga dikenal sebagai Nightmare-Eclipse), yang mendeskripsikannya sebagai race condition yang dapat disalahgunakan untuk meluncurkan shell dengan hak akses tingkat SYSTEM. Hal ini memberi penyerang kemampuan untuk menjalankan arbitrary code atau melakukan tindakan yang tidak sah.
Detail Teknis
Exploit ini terbukti bekerja pada sistem yang menjalankan Windows versi terbaru dengan pembaruan Patch Tuesday Juni 2026. Chaotic Eclipse juga mengungkapkan bahwa exploit ini tetap berfungsi terlepas dari apakah real-time protection aktif atau tidak. Meskipun Microsoft belum secara resmi memberikan kredit kepada peneliti tersebut, RoguePlanet merupakan kerentanan Defender keempat yang diungkap olehnya setelah BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498), dan RedSun (CVE-2026-41091), yang semuanya telah diperbaiki.
Menariknya, setelah patch diterapkan, Chaotic Eclipse menganalisis kembali Microsoft Defender dan menemukan masalah baru terkait memory leaks dan penanganan quarantined files. Ia juga menemukan bahwa pembaruan defense-in-depth yang baru dapat menyebabkan Microsoft Defender membocorkan data sebesar 8 bytes saat mencoba membuka file dalam skenario tertentu. Menurut peneliti, data yang bocor saat ini hanya terbatas pada drivers, dan ia masih mencari cara untuk mendapatkan leaked bytes tersebut sebagai pengguna standar.
Satu pengecualian yang ditemukan adalah fungsi SpyNet di mpengine.dll yang cenderung menyimpan salinan lokal dari file Zone.Identifier ADS. Terlepas dari ukuran file-nya, Windows Defender akan tetap melakukan caching secara lokal. File Zone.Identifier adalah tag metadata tersembunyi, yang dikenal sebagai Alternate Data Stream (ADS), yang digunakan Windows untuk melacak asal file yang diunduh dari internet atau diterima dari sumber yang tidak tepercaya. Ini merupakan bagian dari sistem keamanan Microsoft yang disebut Mark of the Web (MotW).
Aktor jahat dapat memicu perilaku ini menggunakan Server Message Block (SMB), protokol komunikasi jaringan yang digunakan untuk berbagi file, printer, dan serial ports di jaringan lokal (LAN). Custom SMB server yang menyajikan malicious file (contohnya executable seperti Mimikatz) diikuti oleh massive ADS file (mimikatz.exe:Zone.Identifier) dapat menyebabkan Defender mengalami hang dan terus mengunci file tersebut, yang kemudian menghabiskan seluruh ruang disk. Hal ini tidak akan membuat sistem crash, namun Windows tidak akan berfungsi dengan benar karena disk penuh, yang menyebabkan aplikasi dan layanan mengalami crash secara acak.
Dampak Terhadap Indonesia
Microsoft Defender adalah antivirus bawaan pada jutaan perangkat Windows di Indonesia, baik di sektor perusahaan maupun konsumen. Kerentanan privilege escalation ke tingkat SYSTEM sangat kritis karena memberikan penyerang kendali penuh atas sistem yang terdampak. Organisasi di Indonesia harus memastikan bahwa Microsoft Malware Protection Engine mereka telah diperbarui ke versi 1.1.26060.3008 atau lebih baru. Microsoft menyatakan tidak diperlukan tindakan khusus dari pengguna karena perbaikan dikirimkan melalui pembaruan engine otomatis.
Rekomendasi Mitigasi
- Verifikasi versi: Pastikan Microsoft Malware Protection Engine sudah diperbarui ke versi 1.1.26060.3008 atau yang lebih baru.
- Pantau pembaruan: Selalu periksa security advisories dari Microsoft untuk pembaruan lebih lanjut terkait RoguePlanet.
- Terapkan defense-in-depth: Jangan bergantung pada satu solusi keamanan saja.
- Batasi akses SMB: Pertimbangkan untuk membatasi akses SMB di perimeter jaringan jika tidak diperlukan.
- Aktifkan tamper protection: Aktifkan fitur ini di Microsoft Defender untuk mencegah perubahan yang tidak sah pada pengaturan keamanan.
Analisis Retasan
RoguePlanet adalah kerentanan keempat dalam serangkaian exploit Defender yang diungkap oleh Chaotic Eclipse dalam beberapa bulan terakhir. Pola ini menunjukkan bahwa
mpengine.dllmemiliki attack surface yang signifikan dan menjadi target yang menarik bagi peneliti. Fakta bahwa kerentanan sebelumnya (BlueHammer, UnDefend, RedSun) sempat dieksploitasi di dunia nyata menunjukkan bahwa temuan peneliti ini bukan sekadar teoretis.Yang mengkhawatirkan adalah analisis pasca-patch yang menemukan masalah baru, seperti memory leaks dan kendala pada penanganan quarantined files. Ini menunjukkan bahwa menambal satu kerentanan dapat menimbulkan masalah baru—masalah klasik yang sering disebut sebagai “permainan pukul tikus” (whack-a-mole). Pembaruan defense-in-depth dari Microsoft, meskipun berniat baik, tampaknya juga memperkenalkan celah baru.
Bagi organisasi di Indonesia, pelajaran utamanya adalah: manajemen patch merupakan proses berkelanjutan, bukan tindakan satu kali. Verifikasi penyebaran patch, pantau adanya regresi, dan pertahankan pertahanan berlapis. Jangan berasumsi bahwa pernyataan Microsoft mengenai “tidak ada tindakan pengguna yang diperlukan” berarti situasi dapat diabaikan. Lakukan audit versi engine Defender di seluruh perangkat secara berkala.
Sumber: SecurityWeek – Microsoft Patches Defender RoguePlanet Vulnerability | The Hacker News – Microsoft Patches RoguePlanet Defender Flaw | CVE-2026-50656 | CVSS 7.8

