Update Microsoft Defender Ternyata Punya Celah Baru? Hacker Bisa Penuhi Storage Windows Hingga Habis

Belum lama ini Microsoft merilis pembaruan darurat untuk Microsoft Defender guna menutup celah keamanan berbahaya yang dikenal dengan nama RoguePlanet (CVE-2026-50656).

Namun siapa sangka guys, setelah patch tersebut dianalisis lebih dalam, seorang peneliti keamanan justru menemukan potensi masalah baru yang cukup mengkhawatirkan.

Nah jadi guys, meskipun celah utamanya memang berhasil ditutup, pembaruan terbaru Defender disebut masih bisa dimanfaatkan untuk membuat ruang penyimpanan Windows penuh hingga habis.

Awalnya untuk Menutup Celah RoguePlanet

Sedikit informasi tambahan, RoguePlanet merupakan celah keamanan yang ditemukan pada Malware Protection Engine (mpengine.dll) milik Microsoft Defender.

TONTON JUGA:

Dimana kerentanan ini memungkinkan penyerang melakukan Elevation of Privilege, yaitu meningkatkan hak akses di dalam sistem Windows, mendapati hal tersebut, Microsoft kemudian memperbaikinya melalui update Microsoft Defender Engine versi 1.1.26060.3008, dimana seluruh versi sebelumnya, termasuk 1.1.26050.11, dinyatakan rentan terhadap serangan tersebut.

Peneliti Menemukan Efek Samping Baru

Namun setelah melakukan proses reverse engineering terhadap Defender versi terbaru, peneliti keamanan Nightmare-Eclipse menemukan beberapa hal yang cukup menarik.

Yang pertama adalah dugaan adanya information leak sebesar 8-byte yang muncul akibat mekanisme pertahanan baru Microsoft.

Meski saat ini kebocoran tersebut hanya dapat diakses melalui kernel driver dan belum bisa dieksploitasi dari aplikasi biasa, penelitian terkait masih terus dilakukan. Namun temuan yang jauh lebih mengkhawatirkan justru datang dari mekanisme penyimpanan cache Defender.

Nah normalnya Microsoft Defender memiliki batas ukuran file yang boleh dipindai maupun dikarantina agar tidak memenuhi penyimpanan.

Masalahnya, menurut peneliti, pembatasan tersebut tidak berlaku untuk Zone.Identifier Alternate Data Stream (ADS) yang digunakan Defender sebagai cache.

Akibatnya, penyerang dapat membuat Defender terus menyimpan data dalam ukuran sangat besar hingga kapasitas storage Windows perlahan habis.

Serangan Dilakukan Lewat SMB

Nah dalam proof of concept (PoC) yang dipublikasikan peneliti, serangan dilakukan menggunakan server SMB berbahaya, dimana server tersebut mengirimkan file beserta Zone.Identifier ADS berukuran sangat besar.

Yang membuat masalah semakin parah, server kemudian sengaja memperlambat proses pembacaan file namun tetap mempertahankan koneksi SMB tetap aktif.

Akibatnya Defender menganggap proses masih berlangsung sehingga file cache tidak pernah dibersihkan.

Semakin lama koneksi dipertahankan, semakin besar pula ruang penyimpanan yang digunakan hingga akhirnya drive Windows bisa penuh sepenuhnya.

Tidak Hanya Windows 11

Selain itu, menariknya teknik ini berhasil direproduksi pada Windows 11 25H2 dan Windows Server 2025, bahkan peneliti kini juga sedang menguji apakah metode serupa dapat dilakukan melalui WebDAV.

Jika berhasil, maka serangan tidak lagi membutuhkan server SMB dan berpotensi dilakukan langsung melalui internet.

Sementara itu, hingga artikel ini ditulis, Microsoft belum memberikan pernyataan resmi terkait temuan baru ini, meskipun memang mereka sudah mengonfirmasi bahwa RoguePlanet telah diperbaiki melalui pembaruan Defender terbaru.

Nah jika hasil penelitian ini valid, besar kemungkinan Microsoft akan kembali merilis pembaruan tambahan untuk memperbaiki mekanisme cache pada Microsoft Defender.

Untuk kita sebagai pengguna, intinya sih tidak ada tindakan khusus yang bisa kita lakukan, namun pastikan saja bahwa Microsoft Defender selalu berada pada versi terbaru dan menunggu pembaruan resmi apabila Microsoft nantinya mengonfirmasi kerentanan tersebut.

Via : Project Nightmare


Catatan Penulis : WinPoin sepenuhnya bergantung pada iklan untuk tetap hidup dan menyajikan konten teknologi berkualitas secara gratis — jadi jika kamu menikmati artikel dan panduan di situs ini, mohon whitelist halaman ini di AdBlock kamu sebagai bentuk dukungan agar kami bisa terus berkembang dan berbagi insight untuk pengguna Indonesia. Kamu juga bisa mendukung kami secara langsung melalui dukungan di Saweria. Terima kasih.

Gylang Satria

Tech writer yang sehari‑hari berkutat dengan Windows 11, Linux, dan Samsung S24. Punya pertanyaan atau butuh diskusi? Tag @gylang_satria di Disqus. Untuk kolaborasi, email saja ke [email protected]

Post navigation