Dalam proof of concept (PoC) yang dipublikasikan peneliti, serangan dilakukan menggunakan server SMB berbahaya. Server tersebut mengirimkan file beserta Zone.

Identifier ADS berukuran sangat besar.

Server kemudian sengaja memperlambat proses pembacaan file namun tetap mempertahankan koneksi SMB tetap aktif. Akibatnya, Defender menganggap proses masih berlangsung sehingga file cache tidak pernah dibersihkan.

Semakin lama koneksi dipertahankan, semakin besar ruang penyimpanan yang digunakan hingga akhirnya drive Windows bisa penuh sepenuhnya.

Tidak Hanya Windows 11

Teknik ini berhasil direproduksi pada Windows 11 25H2 dan Windows Server 2025. Peneliti kini juga menguji apakah metode serupa dapat dilakukan melalui WebDAV.

Jika berhasil, serangan tidak lagi membutuhkan server SMB dan berpotensi dilakukan langsung melalui internet.

Hingga artikel ini ditulis, Microsoft belum memberikan pernyataan resmi terkait temuan baru ini. Mereka sudah mengonfirmasi bahwa RoguePlanet telah diperbaiki melalui pembaruan Defender terbaru.

Jika hasil penelitian ini valid, besar kemungkinan Microsoft akan kembali merilis pembaruan tambahan untuk memperbaiki mekanisme cache pada Microsoft Defender.

>>> Bocoran Kunci Jawaban Teka-Teki Snack MPLS 2026: Daftar Lengkap dari Chiki Pembohong hingga Permen Serigala!

Pengguna disarankan memastikan Defender selalu pada versi terbaru dan menunggu pembaruan resmi.