Infractorii cibernetici exploatează activ trei vulnerabilități zero-day din Microsoft Defender, după ce un cercetător de securitate nemulțumit a publicat cod de tip proof-of-concept ca protest față de modul în care compania a gestionat procesul de divulgare responsabilă, potrivit firmei de securitate cibernetică Huntress Labs.
Cercetătorul, cunoscut sub pseudonimele „Chaotic Eclipse” sau „Nightmare-Eclipse”, a publicat de-a lungul lunii aprilie exploit-uri denumite BlueHammer, RedSun și UnDefend, vizând software-ul antivirus integrat în fiecare PC cu Windows. Joi, Huntress a raportat că a observat toate cele trei exploit-uri utilizate în atacuri reale, BlueHammer fiind weaponizat încă din 10 aprilie.
Ce fac exploit-urile
BlueHammer și RedSun sunt vulnerabilități de escaladare locală a privilegiilor care permit atacatorilor să obțină acces la nivel de SYSTEM pe mașinile afectate, în timp ce UnDefend poate bloca complet primirea actualizărilor de semnături de către Defender — slăbind treptat protecția sistemului.
Microsoft a remediat BlueHammer prin CVE-2026-33825 în actualizările de securitate Patch Tuesday din aprilie 2026, lansate pe 14 aprilie, care au acoperit în total 167 de vulnerabilități. Vulnerabilitatea, evaluată cu 7,8 pe scala CVSS, exploatează o condiție de cursă de tip time-of-check to time-of-use în motorul de remediere a amenințărilor din Defender. Will Dormann, analist principal senior de vulnerabilități la Tharros, a confirmat că exploit-ul public BlueHammer nu mai funcționează după aplicarea patch-ului.
RedSun și UnDefend rămân însă neremediați. RedSun este deosebit de periculos: exploatează un comportament contraintuitiv din procesul de remediere a fișierelor cloud din Defender. „Când Windows Defender detectează că un fișier malițios are un tag de cloud, dintr-un motiv cât se poate de stupid și hiliant, antivirusul care ar trebui să protejeze sistemul decide că este o idee bună să rescrie fișierul găsit în locația sa originală”, a scris cercetătorul pe GitHub-ul Microsoft. Exploit-ul abuzează de acest comportament pentru a suprascrie fișiere de sistem și a obține privilegii administrative pe sisteme Windows 10, Windows 11 și Windows Server 2019 și versiuni ulterioare, complet actualizate.
Exploatare activă și perspectivă
Huntress a identificat exploit-urile UnDefend și RedSun pe un dispozitiv Windows compromis printr-un utilizator SSLVPN afectat, cu dovezi ale „activității unui actor de amenințare cu acces direct la tastatură”. Combinarea tuturor celor trei exploit-uri le oferă atacatorilor un arsenal redutabil: escaladarea privilegiilor, urmată de împiedicarea actualizării Defender pentru a nu fi detectați.
„Microsoft are angajamentul față de clienți de a investiga problemele de securitate raportate și de a actualiza dispozitivele afectate pentru a-i proteja cât mai curând posibil”, a declarat un purtător de cuvânt Microsoft pentru BleepingComputer. Compania a subliniat, de asemenea, sprijinul său pentru divulgarea coordonată a vulnerabilităților — o remarcă intenționată, având în vedere decizia cercetătorului de a face informațiile publice.
Cu două dintre cele trei vulnerabilități încă neacoperite prin patch-uri și cu exploatarea activă confirmată, o actualizare de urgență out-of-band din partea Microsoft pare din ce în ce mai probabilă. Până atunci, administratorilor li se recomandă să instaleze imediat actualizările de securitate din aprilie și să monitorizeze activitățile neobișnuite de escaladare a privilegiilor în rețelele lor.