Kerentanan (CVE)
▲ KRITIS
Zero-Day Kritis Windows Server 2025: Patch Darurat Microsoft Tersedia
7 Mei 2026 • Budi Santoso • 6 mnt baca
CVE-2026-29357: Gambaran Umum
Microsoft mengeluarkan Security Advisory darurat pada Senin 6 Mei 2026 untuk mengatasi kerentanan zero-day yang sudah dieksploitasi secara aktif di alam liar. Kerentanan ini memengaruhi komponen Windows Remote Desktop Licensing Service (RDL) pada semua varian Windows Server 2025.
| Detail | Informasi |
|---|---|
| CVE ID | CVE-2026-29357 |
| CVSS Score | 9.8 (KRITIS) |
| Attack Vector | Network |
| Privileges Required | None |
| User Interaction | None |
| Exploited in Wild | Ya |
Dampak Teknis
Kerentanan terdapat pada cara RDL Service memproses paket RPC (Remote Procedure Call) yang tidak diautentikasi. Penyerang dapat mengirimkan paket RPC yang dibuat khusus untuk memicu heap buffer overflow yang berujung pada eksekusi kode arbitrer dengan hak SYSTEM.
Attack Chain:
Penyerang di internet → Port 135/TCP (RPC Endpoint Mapper) →
Buffer Overflow di RDL Service → RCE sebagai SYSTEM →
Domain CompromiseSistem yang Terdampak
- Windows Server 2025 (semua edisi) — sebelum KB5038371
- Windows Server 2025 Core
- Azure Virtual Machines menjalankan Windows Server 2025
Tidak terdampak:
- Windows Server 2022 dan sebelumnya
- Windows 10/11 (komponen berbeda)
- Azure-managed RDS services
Cara Pengecekan Kerentanan
# Cek versi build Windows Server
(Get-WmiObject Win32_OperatingSystem).BuildNumber
# Build rentan: < 26100.3775
# Build aman: >= 26100.3775 (setelah KB5038371)
# Cek apakah RDL service aktif
Get-Service -Name TermServLicensing | Select-Object Status
# Cek patch status
Get-HotFix -Id KB5038371Mitigasi Sementara (Jika Patch Belum Dapat Diterapkan)
Jika patch belum dapat diterapkan segera karena jendela maintenance:
# Disable RDL Service (jika tidak diperlukan)
Stop-Service -Name TermServLicensing -Force
Set-Service -Name TermServLicensing -StartupType Disabled
# Blokir akses port RPC dari internet (Windows Firewall)
netsh advfirewall firewall add rule `
name="Block RPC External" `
dir=in action=block `
protocol=TCP localport=135 `
remoteip=!LocalSubnetCara Penerapan Patch
# Windows Update via PowerShell
Install-Module PSWindowsUpdate -Force
Import-Module PSWindowsUpdate
Install-WindowsUpdate -KBArticleID KB5038371 -AcceptAll -AutoReboot
# WSUS deployment (lingkungan enterprise)
wuauclt /detectnow /updatenow
# Verifikasi setelah reboot
Get-HotFix -Id KB5038371 | Select-Object InstalledOnIndikator Eksploitasi
Jika sistem Anda mungkin sudah dikompromikan sebelum patch:
# Cek proses mencurigakan yang spawn dari TermServLicensing
Get-WinEvent -LogName Security |
Where-Object { $_.Message -match "TermServLicensing" -and $_.Id -eq 4688 } |
Select-Object TimeCreated, Message -First 20
# Cari koneksi jaringan keluar yang tidak biasa
netstat -anob | findstr "ESTABLISHED"
# Cek Windows Event Log untuk eksploitasi RPC
Get-WinEvent -LogName System |
Where-Object { $_.Id -in @(7022, 7023, 7031) -and $_.Message -match "TermServ" }Rekomendasi Tim Seraphim
- Segera terapkan KB5038371 pada semua Windows Server 2025
- Jika tidak bisa patch sekarang: nonaktifkan RDL service dan blokir port 135 dari internet
- Review log 14 hari terakhir untuk aktivitas RPC mencurigakan
- Aktifkan Windows Defender Credential Guard untuk membatasi dampak jika terkompromikan