Microsoft telah mengeluarkan tampalan untuk menangani kelemahan keselamatan pada sistem Windows dan Office. Menurut syarikat itu, penggodam kini giat menyalahgunakan kelemahan ini untuk memecah masuk komputer pengguna.
Jenis serangan ini dikategorikan sebagai ‘serangan satu klik’. Ini bermakna, dengan hanya sedikit tindakan daripada pengguna, penggodam berupaya memasang perisian hasad atau memperoleh capaian kepada peranti mangsa. Terdapat sekurang-kurangnya dua kelemahan yang boleh dieksploitasi apabila seseorang terpedaya mengklik pautan berbahaya pada komputer Windows mereka. Selain itu, pencerobohan sistem juga boleh berlaku sekiranya fail Office yang berniat jahat dibuka.
Kelemahan-kelemahan ini dipanggil ‘zero-day’. Gelaran ini diberikan kerana penggodam telah berjaya mengeksploitasi pepijat tersebut sebelum Microsoft mempunyai masa untuk mengeluarkan sebarang pembetulan.
Microsoft memaklumkan bahawa cara-cara mengeksploitasi pepijat-pepijat ini telah didedahkan, sekali gus berpotensi melonjakkan risiko serangan siber. Bagaimanapun, syarikat tersebut tidak mendedahkan lokasi penerbitan butiran tersebut. Seorang jurucakap Microsoft juga tidak memberikan komen serta-merta apabila dihubungi oleh TechCrunch. Dalam laporan pepijatnya, Microsoft telah memberikan penghargaan kepada penyelidik keselamatan dari Kumpulan Perisikan Ancaman Google atas sumbangan mereka dalam mengenal pasti kelemahan-kelemahan ini.
Salah satu pepijat yang dikesan, dikenali dengan kod rasmi CVE-2026-21510, terletak pada ‘shell’ Windows, iaitu komponen yang menguasai antara muka pengguna sistem operasi tersebut. Microsoft menyatakan bahawa kelemahan ini menjejaskan kesemua versi Windows yang disokong. Sekiranya mangsa mengklik pautan berniat jahat dari peranti mereka, pepijat tersebut akan membenarkan penggodam memintas fungsi SmartScreen Microsoft. Fungsi SmartScreen ini biasanya bertanggungjawab menapis pautan serta fail mencurigakan yang mungkin mengandungi perisian hasad.
Pakar keselamatan, Dustin Childs, menjelaskan bahawa pepijat ini boleh dieksploitasi untuk memasang perisian hasad pada komputer mangsa secara kawalan jauh.
Childs dalam catatan blognya menjelaskan bahawa serangan ini memerlukan interaksi daripada pengguna, iaitu dengan mengklik pautan atau fail pintasan. Meskipun begitu, beliau menegaskan bahawa pepijat yang membolehkan pelaksanaan kod hanya dengan satu klik merupakan suatu perkara yang jarang ditemui.
Seorang jurucakap Google mengesahkan bahawa pepijat pada shell Windows tersebut sedang dieksploitasi secara aktif dan meluas. Penggodaman yang berjaya membolehkan perisian hasad dilaksanakan secara senyap dengan capaian istimewa yang tinggi. Ini membawa kepada risiko besar seperti pencerobohan sistem, penyebaran perisian tebusan (ransomware), atau aktiviti pengumpulan maklumat.
Satu lagi pepijat Windows, yang dikenal pasti sebagai CVE-2026-21513, telah ditemui dalam enjin pelayar proprietari Microsoft, MSHTML. Enjin ini sebelum ini digunakan untuk menggerakkan pelayar Internet Explorer yang kini telah dihentikan pembangunannya. Namun, MSHTML masih wujud dalam versi Windows yang lebih baru bagi tujuan memastikan keserasian dengan aplikasi-aplikasi lama.
Menurut Microsoft, pepijat ini membolehkan penggodam untuk melangkau ciri-ciri keselamatan Windows dan kemudian menanam perisian hasad.
Wartawan keselamatan bebas, Brian Krebs, turut melaporkan bahawa Microsoft telah menampal tiga lagi pepijat ‘zero-day’ lain dalam perisian mereka, yang juga sedang giat dieksploitasi oleh penggodam.
