Киберпреступники начали активно эксплуатировать сразу три недавно раскрытые уязвимости в Microsoft Defender, что создаёт серьёзные риски для корпоративных и домашних Windows‑систем. По данным компании Huntress, в атаках задействованы уязвимости, получившие названия BlueHammer, RedSun и UnDefend, причём эксплойты уже применяются на скомпрометированных хостах для повышения привилегий и нарушения работы защитных механизмов.
Новые zero‑day в Microsoft Defender: кто и что атакует
Все три уязвимости были публично раскрыты исследователем под псевдонимом Chaotic Eclipse (Nightmare‑Eclipse) в формате zero‑day — то есть до появления официальных исправлений со стороны Microsoft. По его словам, публикация эксплойтов стала реакцией на спор вокруг процесса раскрытия уязвимостей и взаимодействия с вендором.
BlueHammer и RedSun относятся к классу локальной эскалации привилегий (LPE). Это означает, что злоумышленник, уже получивший ограничённый доступ к системе (например, под учётной записью обычного пользователя), может использовать уязвимость для повышения своих прав до уровня администратора или системной учётной записи. В результате атакующий получает полный контроль над машиной: установку бэкдоров, отключение защитных средств, развертывание вымогателей и т.д.
Третья уязвимость, UnDefend, позволяет вызывать отказ в обслуживании (DoS) компонентов Defender и фактически блокировать обновление сигнатур и модулей защиты. Это создаёт «слепую зону», в которой вредоносная активность может остаться незамеченной даже при установленном антивирусе.
BlueHammer (CVE-2026-33825): первый эксплойт и уже доступный патч
По информации Huntress, эксплуатация уязвимости BlueHammer в реальных атаках фиксируется с 10 апреля 2026 года. Именно она получила официальный идентификатор CVE‑2026‑33825 и была исправлена Microsoft в рамках очередного набора обновлений Patch Tuesday, выпущенного на этой неделе.
Несмотря на наличие патча, риск для организаций остаётся высоким. На многих рабочих станциях и серверах обновления безопасности устанавливаются с задержкой — из-за тестирования, ограниченных окон обслуживания или устаревших политик управления. Это создаёт окно возможностей для атакующих: достаточно одного уязвимого хоста, чтобы получить точку опоры во внутренней сети.
Признаки эксплуатации: какие команды выдают злоумышленника
Huntress сообщает, что после успешной эксплуатации уязвимостей фиксировались характерные команды, используемые операторами атак при ручном («hands-on-keyboard») управлении сессией: whoami /priv, cmdkey /list, net group и ряд других.
Значение этих действий: команда whoami /priv показывает текущие привилегии пользователя, cmdkey /list позволяет найти сохранённые учётные данные, а net group используется для анализа групп и ролей в домене. Такой набор команд типичен для постэксплуатационного этапа — когда злоумышленник уже пробрался внутрь и пытается закрепиться, расширить доступ и подготовить дальнейшую атаку (движение по сети, развертывание вымогателя, кража данных).
RedSun и UnDefend: эксплойты есть, патчей пока нет
Уязвимости RedSun и UnDefend, по состоянию на момент подготовки материала, не имеют официальных исправлений со стороны Microsoft. Huntress зафиксировала использование proof‑of‑concept (PoC) эксплойтов для этих багов уже 16 апреля 2026 года, что указывает на крайне быстрое превращение исследовательского кода в реальное оружие.
RedSun, как и BlueHammer, представляет собой уязвимость локальной эскалации привилегий в Microsoft Defender. Это делает её особенно опасной в сценариях, где атакующий уже получил первичный доступ через фишинг, уязвимые веб‑приложения или украденные учётные данные.
UnDefend ориентирован на выведение из строя самого механизма защиты. Блокировка обновлений Defender и создание нестабильного состояния службы позволяют атакующим дольше оставаться незамеченными, устанавливать дополнительные инструменты удалённого доступа и запускать вредоносные процессы без немедленного обнаружения.
Почему уязвимости в защитных решениях особенно критичны
Средства защиты — такие как Microsoft Defender — установлены практически на каждом современном Windows‑хосте и обладают повышенными привилегиями в системе. Любая уязвимость в подобном продукте автоматически становится высокоприоритетной целью: её эксплуатация даёт злоумышленнику доступ не только к отдельной машине, но и к инструментам мониторинга, политике безопасности и механизмам обновления.
Мировая практика показывает, что компрометация защитных и управленческих решений (антивирусы, системы удалённого администрирования, платформы обновления) часто приводит к масштабным инцидентам. В таких случаях атакующий использует доверенную инфраструктуру для быстрого распространения по сети, обходя привычные механизмы контроля.
Рекомендации по защите Windows‑инфраструктуры
Организациям, использующим Microsoft Defender, имеет смысл незамедлительно предпринять ряд шагов для снижения риска, связанного с BlueHammer, RedSun и UnDefend.
1. Срочное обновление систем. Установите свежие обновления безопасности Windows, включающие патч для CVE‑2026‑33825 (BlueHammer). Проверьте успешность установки через систему управления обновлениями или сканер уязвимостей.
2. Мониторинг подозрительной активности. Настройте детектирование и оповещения по следующим признакам:
- частое или нетипичное использование команд
whoami /priv,cmdkey /list,net groupи аналогичных; - неожиданные перезапуски службы Microsoft Defender, ошибки обновления баз сигнатур;
- внезапное отключение или изменение политик антивирусной защиты.
3. Усиление принципа наименьших привилегий. Ограничьте права локальных пользователей и сервисных учётных записей, чтобы успешная эксплуатация LPE‑уязвимости приносила злоумышленнику как можно меньше выгоды. Регулярно пересматривайте членство в административных группах.
4. Дополнительные уровни защиты. Используйте EDR‑решения, системы корреляции событий (SIEM) и поведенческую аналитику, способные выявить постэксплуатационную активность, даже если базовые антивирусные механизмы временно выведены из строя.
5. Процедуры реагирования. По аналогии с действиями Huntress, важно иметь отработанный план изоляции скомпрометированных хостов: сегментация сети, временное отключение от критичных систем, быстрый сбор артефактов для анализа инцидента.
Текущая волна атак на уязвимости BlueHammer, RedSun и UnDefend демонстрирует, насколько быстро zero‑day‑эксплойты против защитных решений превращаются в реальный инструмент злоумышленников. Организациям стоит рассматривать уязвимости в Microsoft Defender как приоритетный риск, оперативно устанавливать обновления, усиливать мониторинг и развивать процессы реагирования на инциденты. Чем быстрее выявляются и блокируются попытки эскалации привилегий и отключения средств защиты, тем выше шансы предотвратить серьёзный инцидент и сохранить контроль над инфраструктурой.
