Злоумышленники эксплуатируют три недавно раскрытые уязвимости безопасности Windows в атаках, направленных на получение прав уровня SYSTEM или повышенных прав администратора.
В начале апреля исследователь под псевдонимом «Chaotic Eclipse» (Nightmare-Eclipse) опубликовал PoC-эксплойты для всех трех уязвимостей, выразив таким образом несогласие с тем, как Центр реагирования на безопасность Microsoft (MSRC) обработал процесс их раскрытия.
Демонстрация работы эксплойта BlueHammer. Источник: Will Dormann
Две из уязвимостей под названием BlueHammer и RedSun представляют собой уязвимости повышения привилегий в Microsoft Defender, а третья UnDefend может использоваться обычным пользователем для блокировки обновлений сигнатур Microsoft Defender.
На момент утечки уязвимости, на которые нацелены эти эксплойты, считались уязвимостями нулевого дня по классификации Microsoft, поскольку для них не существовало официальных исправлений или обновлений.
16 апреля 2026 года исследователи безопасности из Huntress Labs сообщили, что зафиксировали использование всех трех эксплойтов нулевого дня в реальных атаках, при этом уязвимость BlueHammer эксплуатируется как минимум с 10 апреля.
Также было обнаружено использование эксплойтов UnDefend и RedSun на устройстве Windows, которое было скомпрометировано через взломанную учетную запись пользователя SSLVPN.
Исследователи сообщили:
Центр мониторинга безопасности Huntress (SOC) наблюдает использование техник эксплуатации BlueHammer, RedSun и UnDefend, разработанных Nightmare-Eclipse.
UnDefend и RedSun не исправлены
Хотя Microsoft отслеживает уязвимость BlueHammer под идентификатором CVE-2026-33825 и исправила ее в обновлениях безопасности за апрель 2026 года, две другие уязвимости остаются без исправлений.
Злоумышленники могут использовать эксплойт RedSun для получения прав уровня SYSTEM в Windows 10, Windows 11 и Windows Server 2019 и более новых системах при включенном антивирусе Microsoft Defender, причем даже после установки апрельских обновлений безопасности, выпущенных во «Вторник Патчей».
Исследователь пояснил:
Когда Windows Defender обнаруживает, что вредоносный файл имеет облачную метку, по какой-то странной причине антивирус решает заново записать найденный файл в его исходное расположение. Демонстрационный эксплойт (PoC) использует это поведение, чтобы перезаписывать системные файлы и получать административные привилегии.
Представитель Microsoft так прокомментировал эту ситуацию:
Microsoft обязуется проверять сообщения о проблемах безопасности и обновлять затронутые устройства, чтобы как можно быстрее защитить пользователей.
Мы также поддерживаем координированное раскрытие уязвимостей — широко принятую в отрасли практику, которая помогает тщательно изучать и устранять проблемы до их публичного раскрытия.