Хакеры активно используют три недавно раскрытые уязвимости в Microsoft Defender, чтобы получить полный контроль над компьютерами.
Исследователь под псевдонимом Chaotic Eclipse опубликовал код для эксплуатации этих брешей в открытом доступе после того, как Microsoft проигнорировала его сообщения.
На данный момент компания выпустила патч только для одной из трёх уязвимостей, а остальные две остаются неисправленными.
Уязвимость BlueHammer была опубликована исследователем 3 апреля 2026 года.
Это локальная уязвимость повышения привилегий, которая позволяет злоумышленнику получить доступ к учётной записи SYSTEM — наивысшему уровню доступа в Windows.
BlueHammer злоупотребляет механизмом обновления сигнатур Microsoft Defender, используя уловки с очередями и перенаправлением путей.
Microsoft присвоила этой бреши идентификатор CVE-2026-33825 и выпустила исправление 14 апреля в рамках планового обновления Patch Tuesday.
Уязвимость RedSun была опубликована тем же исследователем 16 апреля, всего через два дня после выхода патча для BlueHammer.
Она позволяет атакующему с правами обычного пользователя повысить свои привилегии до SYSTEM.
RedSun работает на Windows 10, Windows 11 и Windows Server 2019 и новее, даже если на систему установлены все последние обновления.
Уязвимость использует API облачных файлов Windows, записывая вредоносный код в системную папку через сложную цепочку действий.
Аналитик Уилл Дорманн, проверивший RedSun, подтвердил, что эксплуатация срабатывает со 100-процентной надёжностью.
Уязвимость UnDefend была опубликована одновременно с RedSun 16 апреля.
Она позволяет обычному пользователю полностью заблокировать обновление вирусных баз Microsoft Defender или вовсе отключить антивирус.
В результате система остаётся беззащитной перед любыми другими вредоносными программами.
Все три уязвимости были выложены в одном GitHub-репозитории, который остаётся доступным, несмотря на предупреждение платформы.
Исследователь, выступающий под псевдонимами Chaotic Eclipse и Nightmare Eclipse, публично заявил, что его вынудили к этому действия Microsoft.
Он сообщил о найденных уязвимостях в Центр реагирования на кибератаки Microsoft (MSRC), но компания не отреагировала должным образом.
По данным из открытых источников, MSRC потребовала от исследователя предоставить видео с демонстрацией эксплуатации, что необычно для процесса раскрытия уязвимостей.
Chaotic Eclipse отказался выполнять это требование, после чего его обращение было закрыто.
Исследователь прямо написал в своём блоге: «Я не блефовал перед Microsoft и делаю это снова».
Специалисты компании Huntress зафиксировали использование всех трёх уязвимостей в реальных атаках.
Активность с использованием BlueHammer была впервые замечена 10 апреля 2026 года.
Атаки с применением RedSun и UnDefend начались 16 апреля, сразу после публикации кода.
В одном из инцидентов злоумышленники скомпрометировали корпоративную сеть через украденные учётные данные SSL-VPN.
Затем они разместили файлы эксплойтов в папках «Изображения» и «Загрузки» на атакованном устройстве, переименовав их, чтобы избежать подозрений.
Перед запуском эксплойтов они выполнили команды для изучения привилегий пользователя, поиска сохранённых паролей и структуры Active Directory.
Huntress изолировала атакованную организацию, чтобы предотвратить дальнейшее распространение взлома.
Единственная защита от двух неисправленных уязвимостей RedSun и UnDefend на данный момент отсутствует.
Microsoft пока не объявила дату выпуска внеплановых патчей.
Следующее плановое обновление выйдет только во второй половине мая, что слишком долго для критических уязвимостей.
Пользователям рекомендуется ограничить количество пользователей с локальным доступом к критическим системам и усилить мониторинг активности с помощью EDR-решений.
Представитель компании Бен Хоуп заявил, что Microsoft поддерживает скоординированное раскрытие уязвимостей и решение проблем до их публичного разглашения.
Компания также подтвердила, что расследует сообщения об инцидентах и обновляет устройства для защиты клиентов.
Автор: Виталий Кистерный