Три нещодавно оприлюднені zero-day уразливості в Microsoft Defender уже використовуються зловмисниками у реальних атаках проти корпоративних та домашніх систем Windows. Йдеться про вразливості BlueHammer, RedSun і UnDefend, експлойти до яких застосовуються для підвищення привілеїв та виведення з ладу захисних механізмів. Про активну експлуатацію повідомляє компанія Huntress, яка спостерігає атаки на скомпрометовані хости у своїй клієнтській інфраструктурі.
Zero-day уразливості в Microsoft Defender: що відомо про BlueHammer, RedSun і UnDefend
Усі три уразливості були публічно розкриті дослідником під псевдонімом Chaotic Eclipse (Nightmare‑Eclipse) у форматі zero-day, тобто до виходу офіційних виправлень з боку Microsoft. За словами дослідника, публікація експлойтів стала реакцією на дискусію навколо відповідального розкриття вразливостей і взаємодії з вендором.
BlueHammer і RedSun належать до класу локальної ескалації привілеїв (LPE). Це означає, що зловмисник, який уже має обмежений доступ до системи (наприклад, через скомпрометований обліковий запис користувача), може використати вразливість для отримання прав адміністратора або системної служби. У результаті відкривається можливість встановлення бекдорів, розгортання програм-вимагачів, зміни політик безпеки та вимкнення засобів захисту.
UnDefend має інший ефект: вона дозволяє ініціювати відмову в обслуговуванні (DoS) компонентів Microsoft Defender, блокуючи оновлення сигнатур та модулів захисту. Так створюється «сліпа зона», у якій шкідлива активність може залишатися непоміченою, навіть якщо антивірус формально увімкнений.
BlueHammer (CVE‑2026‑33825): активна експлуатація та вже доступний патч
За даними Huntress, експлуатація уразливості BlueHammer фіксується щонайменше з 10 квітня 2026 року. Ця вразливість отримала ідентифікатор CVE‑2026‑33825 і була виправлена Microsoft у рамках останнього циклу оновлень Patch Tuesday, випущеного цього тижня.
Попри наявність патча, ризики для організацій залишаються значними. У багатьох середовищах оновлення безпеки встановлюються із затримкою: через необхідність попереднього тестування, обмежені вікна обслуговування або застарілі процеси управління патчами. Ця затримка створює вікно можливостей для нападників: достатньо одного вразливого хоста, щоб отримати точку опори у внутрішній мережі.
Ознаки компрометації та типова постексплуатаційна активність
Huntress повідомляє, що після успішної експлуатації уразливостей оператори атак виконують характерні команди під час ручного (hands-on-keyboard) керування сесією: whoami /priv, cmdkey /list, net group та інші.
Функції цих команд: whoami /priv показує поточні привілеї користувача; cmdkey /list дає змогу виявити збережені облікові дані; net group використовується для аналізу груп і ролей у домені. Такий набір дій типовий для постексплуатаційного етапу, коли зловмисник уже проник до системи й намагається закріпитися, розширити доступ та підготувати подальші кроки — бічний рух мережею, розгортання програм‑вимагачів або ексфільтрацію даних.
RedSun та UnDefend: експлойти вже в обігу, а патчів ще немає
На момент підготовки матеріалу вразливості RedSun і UnDefend не мають офіційних виправлень від Microsoft. Huntress зафіксувала використання proof‑of‑concept (PoC) експлойтів для цих багів уже 16 квітня 2026 року, що демонструє дуже швидке перетворення дослідницького коду на практичний інструмент атак.
RedSun, як і BlueHammer, є уразливістю локальної ескалації привілеїв у Microsoft Defender. Вона особливо небезпечна у сценаріях, де зловмисник уже отримав початковий доступ через фішинг, уразливі веб‑додатки або вкрадені облікові дані.
UnDefend націлена на нейтралізацію самого механізму захисту. Виведення з ладу служби Defender, збої оновлення сигнатур і нестабільний стан антивіруса дозволяють нападникам довше залишатися непоміченими, розгортати додаткові засоби віддаленого доступу та запускати шкідливі процеси без негайного виявлення.
Чому атаки на засоби захисту такі небезпечні
Засоби захисту, зокрема Microsoft Defender, зазвичай встановлені майже на кожному сучасному Windows‑хості й працюють з підвищеними привілеями. Будь‑яка уразливість у таких продуктах автоматично стає привабливою ціллю: її експлуатація дає нападнику не лише контроль над окремою машиною, а й вплив на політику безпеки, моніторинг та оновлення.
Міжнародна практика показує, що компрометація захисних або керівних рішень (антивірусів, систем віддаленого адміністрування, платформ оновлення) часто призводить до масштабних інцидентів. У низці гучних випадків зловмисники використовували довірену інфраструктуру як канал для швидкого розповсюдження шкідливого коду мережею, обходячи традиційні механізми контролю.
Практичні рекомендації для захисту Windows‑інфраструктури
Організаціям, які покладаються на Microsoft Defender як основний засіб захисту Windows, варто оперативно реалізувати такі кроки з мінімізації ризиків, пов’язаних з BlueHammer, RedSun і UnDefend.
1. Негайне встановлення оновлень. Впровадьте останні оновлення безпеки Windows, що включають патч для CVE‑2026‑33825 (BlueHammer). Переконайтеся в успішній установці через систему керування оновленнями або сканер уразливостей і відслідковуйте хости, які відстають за патчами.
2. Посилений моніторинг підозрілої активності. Налаштуйте в EDR, SIEM чи журналах подій детектування за такими індикаторами:
- нетипове або часте використання команд
whoami /priv,cmdkey /list,net groupта аналогічних утиліт розвідки; - неочікувані перезапуски служби Microsoft Defender, помилки оновлення сигнатур, затяжний статус «неактивний»;
- раптове вимкнення, зниження рівня захисту чи зміна політик антивіруса.
3. Реалізація принципу найменших привілеїв. Обмежте права локальних користувачів і сервісних облікових записів, регулярно переглядайте членство в адміністративних групах. Чим нижчий базовий рівень доступу, тим меншу вигоду отримає нападник навіть у разі успішної LPE‑атаки.
4. Додаткові шари захисту. Використовуйте EDR‑рішення, системи кореляції подій (SIEM) та засоби поведінкового аналізу, які здатні виявляти постексплуатаційну активність, навіть якщо базовий антивірус тимчасово дестабілізовано чи вимкнено.
5. Відпрацьовані процедури реагування. Розробіть і регулярно тестуйте план дій при інцидентах: сегментація мережі, швидка ізоляція підозрілих хостів, тимчасове відключення від критичних систем, оперативний збір артефактів для форензіки та чіткі критерії прийняття рішень щодо відновлення чи перевстановлення систем.
Поточна хвиля атак на уразливості BlueHammer, RedSun і UnDefend демонструє, наскільки швидко zero-day експлойти проти захисних рішень переходять від дослідницького коду до повноцінної зброї в руках зловмисників. Щоб зберегти контроль над Windows‑інфраструктурою, організаціям варто розглядати уразливості в Microsoft Defender як пріоритетний ризик, максимально скорочувати час між виходом патчів і їх установкою, посилювати моніторинг та готуватися до швидкого реагування. Чим раніше буде виявлено спроби ескалації привілеїв і вимкнення захисту, тим вищі шанси запобігти серйозному інциденту та зменшити потенційні збитки.
