Microsoft mungkin mengira masalah sudah selesai saat merilis pembaruan keamanan November lalu. Namun, bagi James Forshaw dan tim Google Project Zero, upaya raksasa teknologi itu hanyalah solusi kosmetik yang gagal menyentuh akar masalah. Ketegangan antar dua raksasa teknologi ini memuncak pekan ini ketika Google memutuskan langkah berani dengan mengungkap kelemahan fitur Administrator Protection di Windows 11 ke hadapan publik.
Pemicu utamanya adalah fitur keamanan eksperimental yang justru menjadi celah keamanan itu sendiri. Administrator Protection dirancang sebagai benteng pertahanan Windows 11 yang memanfaatkan biometrik Windows Hello untuk mencegah akses admin tanpa izin. Ironisnya, Forshaw menemukan bahwa proses dengan hak akses rendah sekalipun bisa memanipulasi mekanisme tersebut dan mengambil alih kendali penuh sistem. Laporan ini sebenarnya sudah mendarat di meja Microsoft sejak 8 Agustus lalu yang memicu penghitungan mundur 90 hari khas Project Zero.
Dinamika menjadi menarik ketika Microsoft meminta perpanjangan waktu dan merilis perbaikan (CVE-2025-60718) pada 12 November. Di atas kertas, kasus ditutup. Microsoft bahkan menyematkan nama Forshaw dalam kredit perbaikan tersebut. Namun, realitas di lapangan berkata lain. Sang peneliti menemukan bahwa patch yang dirilis perusahaan Redmond tersebut tidak menuntaskan kerentanan inti yaitu jalur pembajakan antarmuka yang ia temukan masih terbuka lebar. Karena komunikasi lebih lanjut tidak membuahkan hasil dan perbaikan dianggap tidak memadai, Forshaw terikat pada aturan main transparansi Google untuk membuka detail teknisnya kepada komunitas keamanan global.
Meski terdengar mengkhawatirkan, pengguna awam masih bisa sedikit bernapas lega. Eksploitasi celah ini bukanlah serangan jarak jauh yang bisa dilakukan sembarang peretas, pelaku membutuhkan akses fisik ke mesin target. Selain itu, fitur yang bermasalah ini belum digulirkan ke publik luas dan masih terkunci dalam ekosistem uji coba Windows Insider.
Publikasi oleh Google ini menempatkan Microsoft dalam posisi sulit. Mereka kini dipaksa berpacu dengan waktu untuk merombak total mekanisme keamanan tersebut sebelum fitur ini menyentuh jutaan perangkat di seluruh dunia. Bagi industri keamanan siber, insiden ini kembali menegaskan reputasi Project Zero: tidak ada kompromi untuk kerentanan yang belum tuntas, bahkan jika pelakunya adalah Microsoft.
