.png)
Selama bertahun-tahun, static analysis di kernel Windows selalu mentok di titik yang sama: local reasoning. Scanner bisa melihat sinkronisasi yang hilang dalam satu fungsi, bisa melihat dereference setelah free secara linear, tapi mulai gagal ketika lifecycle object tersebar lintas callback, lintas subsystem, atau bahkan lintas file yang ownership-nya implisit.
MDASH mencoba menyelesaikan masalah itu bukan dengan model lebih pintar, tetapi dengan memecah proses audit menjadi sistem reasoning bertingkat.Yang menarik bukan sekadar penggunaan LLM. Banyak vendor sudah melakukan itu. Yang berubah di sini adalah bentuk orchestration-nya.
Microsoft membangun harness yang memperlakukan vulnerability research seperti proses engineering internal: ada auditor, ada debater, ada prover, lalu semuanya bekerja di atas plugin domain-specific yang memahami aturan kernel sebenarnya.
Masalah Utama Scanner Tradisional
Mayoritas scanner gagal pada bug modern karena state corruption sekarang jarang bersifat lokal. Race-condition kernel modern hampir selalu melibatkan: reference counting, deferred cleanup, asynchronous completion, ownership ambiguity, allocator reuse di CPU berbeda, dan kondisi state machine protocol yang tidak linear.
Pada CVE-2026-33827 di tcpip.sys, masalahnya bukan hanya pointer dipakai setelah free tetapi bug muncul karena lifecycle object path routing berubah saat opsi IPv4 SSRR diproses dalam jalur penerimaan paket. Objek kehilangan reference lebih awal, lalu execution flow lain masih menganggap object tersebut valid. Di sistem SMP, window race menjadi cukup besar karena allocator kernel bisa langsung mendaur ulang chunk yang baru dibebaskan sebelum traversal berikutnya selesai menggunakan pointer lama.
Scanner biasa cenderung gagal karena: free terjadi di file berbeda, dereference terjadi di callback, berbeda timing corruption, bergantung scheduler ownership, dan object tidak eksplisit di AST lokal. Dengan MDASH masalah ini bisa di pecahkan menjadi reasoning graph lintas state, bukan sekadar pattern matching syntax seperti pada teknik tradisional atau konvesional.
Prepare Stage
Tahap prepare terdengar sederhana di dokumentasi Microsoft, tetapi sebenarnya ini fondasi penting. Mereka tidak hanya membangun symbol index namun membangun konteks eksploitasi melalui record atau dokumentasi sebelumnya. Riwayat commit digunakan untuk memetakan area kode yang historically fragile: parser jaringan, lock-heavy subsystem, IRP dispatch chain, allocator-sensitive path, legacy compatibility layer. Ini penting karena bug kernel modern sering muncul di area yang sudah lama mengalami patch churn. Semakin sering suatu subsystem disentuh untuk compatibility atau hardening, semakin tinggi probabilitas invariant internal mulai beribah ke arah yang bisa memicu kerentanan atau bug.
Untuk ethical hacker, hal ini menarik karena secara praktis meniru workflow manusia saat triage target besar: cari subsystem yang historically noisy, ownership ambiguity, asynchronous cleanup, dan transisi state yang tidak lengkap. MDASH hanya mengotomatisasi proses itu dalam skala besar.
Auditor dan Debater: Kenapa False Positive Bisa Turun
Static analyzer biasanya menghasilkan noise besar karena semua path dianggap reachable sampai dibuktikan sebaliknya, MDASH memiliki kemampuan untuk menguji hasil dari static analyzer dengan cara agent auditor melakukan dugaan atau hipotesis dan di debat oleh agent debater dengan tujuan untuk mematahkan asumsi atau membuktikan asumsi tersebut yang di hasilkan oleh debater, dan sekara teknis ini merupakan teknik merubah disagreement menjadi signal yang diperhitungkan oleh agent. Jika auditor tetap bertahan setelah proses adversarial internal, confidence score naik. Secara praktis, ini mirip proses code review antar exploit developer. Sistem yang terlalu agresif menghasilkan ribuan laporan tidak berguna. Dalam environment kernel production, noise seperti itu lebih berguna daripada missed bug kecil.
CVE-2026-33827: Race-Condition UAF di tcpip.sys
Temuan CVE dari MDASH ini menunjukan bahwa SSRR sendiri bukan jalur kode yang sering diuji sehingga langsung meningkatkan probabilitas invariant lama tertinggal, sebab MDASH perlu melihat histori dari dokumentasi yang di berikan. Berikut merupakan flow teknis dari CVE ini:
1. Paket IPv4 dengan opsi routing diproses
2. Path object dibuat/referenced
3. Kondisi tertentu memicu pelepasan reference lebih awal
4. Traversal networking lain masih menyimpan pointer lama
5. CPU lain melakukan allocator reuse
6. Stale pointer dipakai ulang dalam jalur navigasi paket
Yang membuat ini berbahaya bukan UAF tetapi reuse karena dalam kernel networking, reuse allocator sering terjadi sangat cepat karena traffic packet processing bersifat bursty dan highly parallel. Akibatnya attacker tidak selalu perlu kontrol presisi penuh terhadap heap layout. Kadang cukup menciptakan pressure allocator yang membuat object lama tertimpa struktur baru dengan shape yang kompatibel sebagian.
Cross-File Reasoning pada ikeext.dll
CVE-2026-33824 lebih menarik dari sisi ownership semantics, masalah yang terjadi adalah shallow copy melalui memcpy Ketika struktur internal IKEv2 disalin tanpa menduplikasi pointernya, ownership berubah ambigu: subsystem A merasa memiliki buffer, subsystem B merasa hasil copy adalah ownership baru, cleanup berjalan independen, dan allocator menerima dua free untuk chunk sama. Yang penting justru hubungan implicit antar state, di sinilah model reasoning lintas file menjadi relevan. Banyak exploit modern muncul bukan karena fungsi berbahaya tunggal, tetapi karena dua subsystem berbeda memiliki asumsi ownership yang bertentangan.
Prove Stage
Prove stage ini menjadi bagian yang sangat berbeda dari tools AI lain karena MDASH mencoba membangun trigger aktual. dengan kondisi bahwa sistem harus melakukan tahap memahami constraint parser, memahami format input valid, memahami jalur reachability, dan memahami bagaimana sanitizer mendeteksi corruption. Secara praktek ini sudah mendekati automated exploit triage.
Bahkan kegagalan yang disebut Microsoft cukup revealing atau memberikan output yang di mana AI menghasilkan format input untuk libFuzzer, padahal harness target menggunakan honggfuzz. Kondisi tersebut memperlihatkan adanya pergeseran pandangan dari cara tools digunakan untuk mencari bug yang sebelumnya tunggal kini mulai menggunakan konteks operasional saat mencari kerentanan.
Plugin Domain-Specific
Bagian paling penting dari MDASH bukan model frontier saja tetapi plugin internal yang digunakan, kernel Windows penuh aturan implisit: siapa yang boleh free IRP, kapan spinlock harus dilepas ,APC state apa yang valid, object mana yang reference-counted, callback mana yang berjalan di DISPATCH_LEVEL. Ini juga menjelaskan kenapa MDASH bisa mencapai recall tinggi pada tcpip.sys dan clfs.sys. Mereka menginputkan pengetahuan invariant internal langsung ke reasoning pipeline.
Ini juga memperlihatkan kepada kita bahwa suatu saat yang hebat atau yang jago itu bukan lagi yang paham cara reverse engineering manual tapi yang memiliki pemahaman tentang plugin yang data tersebut bisa di berikan kepada AI tentang sistem yang di targetkan.
Limitasi MDASH
82% failure di benchmark berasal dari task description yang ambigu yang diuji oleh CyberGym artinya sistem masih membutuhkan anchor awal. Jika target benar-benar undocumented, reasoning graph kemungkinan mulai mengalami ambigu karena model kehilangan arah eksplorasi dan ini menjadi tantangan AI dalam konteks cyber security kepedan karena, dalam cyber security yang hands-on memiliki noise yang sangat singgi sekali sedangkan AI memerlukan data clear untuk membangun konteks yang tepat.
Dampak terhadap Ethical Hacking
MDASH mengubah cara pekerjaan vulnerability research, Bug sederhana kemungkinan akan habis lebih dulu oleh sistem internal vendor. Jadi bug yang memiliki potensi tersihsah untuk publik bisa memiliki kompleksitas yang sangat tinggi seperti semantic corruption, state desynchronization, logic race, protocol confusion, trust-boundary mismatch. Artinya practical value seorang researcher mulai bergeser ke: memahami invariant internal, membangun plugin reasoning, memahami allocator behavior, memahami lifecycle asynchronous, dan pada akhirnya mengajari AI tentang subsystem tertentu.
Dalam beberapa tahun ke depan, kemungkinan besar competitive edge bukan lagi siapa punya model terbesar, tetapi siapa punya harness paling matang untuk menghubungkan: LLM, sanitizer, symbolic execution, protocol mutator, historical patch intelligence, ownership reasoning, exploit triage.
MDASH menjadi realisasi terhadap kemampuan AI Model untuk memasuki area cyber security yang kemudian akan terus berkembang kedepan, kondisi ini tidak secara otomatis membuat manusia tergantikan. Karena sangat diperlukan pertanggung jawaban terhadap sebuah tindakan yang dibuat dalam konteks keamanan apalagi di tingkat korporasi akuntabilitas dan pertanggung jawab sangat di perlukan. Pola kedepan yang sangat mungkin terjadi yaitu AI vs AI, kemudian manusia sangat perlu memahami hal-hal mendasar tentang sistem agar memahami apa yang dikerjakan oleh AI itu sendiri.
Pada realitasnya AI bisa mencari kerentanan tetapi yang memahami sistem keseluruhan apalagi pada tingkat infrastruktu perusahaan adalah manusia, karena sistem yang besar dan kompleks itu perlu sekali fleksibilitas yang tinggi dalam menanganinnya, contoh yang bisa kita ambil bahwa ketika terjadi gangguan pada sistem sebuah perusahaan pada waktu tertentu akan sangat berbeda dengan gangguan pada waktu yang bisa di pahami AI ini juga memberikan gap antara AI yang kaku karena memerlukan pola dan kepastian dokumentasi dengan manusia yang sangat flesibel dan mampu memahami logic secara keseluruhan dalam kondisi tertentu. Jadi AI itu sanagt cepat tetapi potensi buta ketika tidak ada arah itu sangat tinggi dan ini bisa menimbulkan bahaya, sedangkan manusia itu cendrung lambat namun memahami dan perkerjaan bisa di delegasikan kepada siapaun.
Benediktus Sava – Security Researcher
Baca Juga tentang:
False Positive - Windows Behaviour
Sumber:
