- CISA menambahkan BlueHammer, celah eskalasi hak istimewa Microsoft Defender, ke dalam katalog Kerentanan yang Dikenal Dieksploitasi.
- Agensi federal memiliki batas waktu hingga 6 Mei untuk memperbaiki atau menghentikan penggunaan, karena para peneliti mengonfirmasi adanya eksploitasi aktif di alam.
- Pembocoran ini berasal dari “Chaotic Eclipse,” yang juga mengungkapkan dua celah zero-day Defender lainnya, dengan Huntress Labs mengaitkan upaya eksploitasi dengan infrastruktur global yang mencurigakan.
Badan Keamanan Siber dan Keamanan Infrastruktur AS (CISA) baru saja menambahkan BlueHammer ke dalam katalog kerentanan yang diketahui dieksploitasi (KEV). Kabar ini bikin heboh karena pemerintah federal harus cepat-cepat memperbaiki atau menghentikan penggunaan perangkat lunak rentan ini dalam waktu dua minggu!
BlueHammer digambarkan sebagai celah di Microsoft Defender yang menyebabkan “kontrol akses yang tidak memadai,” sehingga memungkinkan penyerang yang tidak berwenang untuk meningkatkan hak aksesnya secara lokal. Kerentanan ini, yang dilacak dengan kode CVE-2026-33825, mendapatkan skor keparahan 7.8 dari 10, yang menunjukkan betapa seriusnya potensi ancaman ini.
Penemuan celah ini pertama kali diungkapkan awal April lalu oleh seorang peneliti keamanan bernama “Chaotic Eclipse.” Mereka membagikan informasi tersebut melalui blog, menandai celah ini sebagai zero-day karena ketidakpuasan terhadap cara Microsoft menangani pengungkapan kerentanan.
RedSun dan unDefend
“Saya tidak sedang menipu Microsoft dan saya akan melakukannya lagi,” kata Chaotic Eclipse sambil membagikan repositori GitHub untuk BlueHammer.
Respons dari Microsoft datang dengan tegas. Mereka menyatakan bahwa perusahaan memiliki “komitmen untuk menyelidiki isu keamanan yang dilaporkan dan memperbarui perangkat yang terdampak agar pelanggan terlindungi secepat mungkin.”
“Kami juga mendukung pengungkapan kerentanan yang terkoordinasi, praktik yang banyak diadopsi industri untuk memastikan masalah ditangani secara hati-hati sebelum pengungkapan publik, menguntungkan perlindungan pelanggan dan komunitas riset keamanan,” tambah Microsoft.
Namun, seminggu setelahnya, peneliti yang sama mengungkap celah zero-day lainnya di Microsoft Defender, bernama RedSun. Celah ini memungkinkan aktor jahat untuk mendapatkan hak akses SYSTEM di versi terbaru Windows 10, Windows 11, dan Windows Server saat Defender diaktifkan.
Mereka juga merilis celah ketiga yang dinamakan unDefend, yang bisa dieksploitasi oleh pengguna biasa untuk menghentikan pembaruan definisi Defender.
Ketika CISA menambahkan kerentanan ke KEV, itu artinya sudah ada bukti bahwa celah tersebut sedang aktif dieksploitasi di luar sana. Semua agensi FCEB diharapkan bisa memperbaiki kerentanan ini sebelum 6 Mei mendatang.
Sementara itu, para peneliti keamanan dari Huntress Labs melaporkan bahwa mereka telah melihat aktor jahat memanfaatkan celah ini di dunia nyata.
“Aktivitas ini tampaknya jadi bagian dari intrusi yang lebih luas, bukan sekadar uji coba bukti konsep (PoC) yang terpisah,” kata perusahaan keamanan siber tersebut. “Huntress mengidentifikasi akses VPN SSL FortiGate yang mencurigakan terhubung dengan lingkungan yang terdampak, termasuk alamat IP sumber yang terlokalisasi di Rusia, dengan infrastruktur mencurigakan lainnya yang terdeteksi di wilayah lain.”
Melalui BleepingComputer
