Masalah inti dari kasus ini bukan sekadar adanya tiga vulnerability baru di Microsoft Defender, tetapi bagaimana kombinasi desain internal antivirus dan trust model terhadap file menghasilkan primitive eksploitasi yang sangat kuat. BlueHammer dan RedSun membuka jalur local privilege escalation (LPE), sementara UnDefend secara efektif menonaktifkan mekanisme proteksi melalui manipulasi update pipeline. Ketika ketiganya digunakan secara berurutan, Defender tidak lagi berfungsi sebagai kontrol keamanan, melainkan menjadi enabler post-exploitation.
Secara teknis, akar masalah pada BlueHammer dan RedSun berada pada bagaimana Defender memperlakukan file dengan metadata tertentu, khususnya yang terkait dengan cloud tagging dan trust evaluation. Dalam kasus RedSun, perilaku yang paling krusial adalah proses “remediation” yang justru melakukan rewrite file ke lokasi asalnya setelah terdeteksi sebagai malicious. Ini bukan sekadar false positive handling ini adalah flaw dalam lifecycle handling file yang memungkinkan attacker mengontrol write primitive. Jika file target diarahkan ke path sistem (misalnya melalui symlink atau teknik path manipulation), maka proses Defender yang berjalan dengan privilege tinggi akan melakukan overwrite terhadap file sistem tersebut. Di titik ini, vulnerability berubah dari sekadar bypass menjadi privilege escalation primitive.
Baca Juga Tentang: CVE-2026-21513: Zero-Day MSHTML Diduga Dieksploitasi APT28 untuk Bypass Fitur Keamanan Windows
BlueHammer, yang sudah memiliki patch (CVE-2026-33825), menunjukkan pola yang serupa: interaksi antara komponen Defender dengan resource eksternal (dalam hal ini GitHub authentication context) menciptakan celah trust boundary yang bisa dimanfaatkan. Ini mengindikasikan bahwa Defender tidak sepenuhnya mengisolasi konteks eksternal dari proses internalnya, sebuah pola yang sering muncul dalam supply-chain-style attack surface meskipun bukan supply chain klasik.
UnDefend berbeda secara karakter, tetapi justru melengkapi chain eksploitasi. Vulnerability ini tidak membutuhkan privilege administratif, yang berarti attacker hanya perlu foothold sebagai user biasa. Dalam mode pasif, tool ini memblokir signature update, yang berarti Defender berhenti menerima intelijen ancaman terbaru. Secara operasional, ini menciptakan blind spot permanen: malware baru tidak akan terdeteksi karena signature tidak pernah diperbarui. Dalam mode agresif, ketika platform update terjadi (misalnya update engine seperti MsMpEng.exe), exploit dapat menyebabkan Defender crash atau tidak responsif, effectively disabling endpoint protection.
Skenario eksploitasi realistisnya cukup jelas dalam konteks intrusion yang sudah berjalan. Misalnya, attacker mendapatkan initial access melalui phishing atau exploit aplikasi web internal. Setelah mendapatkan shell dengan hak user biasa, attacker menjalankan UnDefend dalam mode pasif untuk memastikan Defender tidak menerima update baru. Selanjutnya, attacker melakukan enumerasi standar seperti whoami /priv, cmdkey /list, dan net group untuk memahami privilege landscape. Setelah itu, RedSun digunakan untuk melakukan overwrite file sistem misalnya mengganti binary yang dijalankan dengan privilege tinggi atau menanamkan payload dalam scheduled task system-level. Jika diperlukan, BlueHammer dapat digunakan sebagai jalur alternatif untuk eskalasi privilege pada sistem yang sudah dipatch sebagian. Setelah privilege escalation berhasil, Defender sudah dalam kondisi tidak efektif, sehingga persistence dan lateral movement dapat dilakukan tanpa banyak hambatan.
Dampaknya tidak berhenti pada satu endpoint. Dalam lingkungan enterprise dengan EDR terpusat, UnDefend bahkan membuka kemungkinan manipulasi telemetry. Disebutkan bahwa ada metode untuk membuat console EDR tetap menampilkan status “up-to-date” meskipun sebenarnya Defender tidak berfungsi. Ini menciptakan kondisi yang sangat berbahaya: security team kehilangan visibility tanpa menyadarinya. Dalam konteks yang lebih luas, ini masuk ke kategori identity dan trust attack bukan hanya menyerang sistem, tetapi juga memanipulasi persepsi sistem monitoring.
Dari perspektif praktisi, ada beberapa insight penting. Pertama, antivirus modern bukan sekadar scanner, tetapi sistem kompleks dengan banyak komponen: cloud integration, remediation engine, update pipeline. Setiap komponen ini adalah attack surface. Kedua, vulnerability pada mekanisme “self-protection” sering kali lebih kritis daripada vulnerability deteksi malware itu sendiri. Ketiga, chaining vulnerability (LPE + DoS + update blocking) jauh lebih berbahaya dibandingkan masing-masing vulnerability secara terpisah.
Mitigasi tidak bisa hanya bergantung pada patch, terutama karena RedSun dan UnDefend belum memiliki perbaikan resmi. Pendekatan yang lebih defensif melibatkan pembatasan kemampuan user dalam memanipulasi file system (misalnya kontrol ketat terhadap symbolic link dan write access ke direktori sensitif), monitoring anomali pada proses Defender (termasuk restart tidak wajar atau kegagalan update), serta validasi independen terhadap status endpoint security jangan hanya percaya pada status yang dilaporkan oleh agent itu sendiri. Network-level detection terhadap aktivitas post-exploitation juga menjadi krusial, karena pada tahap ini endpoint protection sudah tidak dapat diandalkan.
Kasus ini menegaskan satu hal: ketika komponen keamanan memiliki hak istimewa tinggi, setiap bug di dalamnya secara inheren adalah privilege escalation vector. Defender tidak gagal karena tidak mendeteksi malware, tetapi karena trust model internalnya bisa dimanipulasi. Dalam lanskap serangan modern, ini adalah target yang jauh lebih menarik bagi attacker dibandingkan bypass deteksi konvensional.
Benediktus Sava – Security Researcher
Sumber:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
.png)
.png)
.png)
.png)
.png)
.png "Ethical Hacking Indonesia")
.png)
.png)
