CISA: группировки вымогателей начали использовать уязвимость BlueHammer в Microsoft Defender

Агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) подтвердило 29 июня, что группировки вымогателей начали эксплуатировать уязвимость повышения привилегий высокой степени опасности в Microsoft Defender. Ранее эта уязвимость уже использовалась в атаках нулевого дня.

Демонстрация работы эксплойта BlueHammer. Источник: Will Dormann

Уязвимость получила название BlueHammer и отслеживается под идентификатором CVE-2026-33825 (оценка CVSS – 7,8). В начале апреля её раскрыл исследователь безопасности, известный под псевдонимами Chaotic Eclipse и Nightmare Eclipse. Он также опубликовал эксплойт «доказательства концепции» (proof-of-concept) в знак протеста против того, как Microsoft Security Response Center (MSRC) выстраивает процесс раскрытия уязвимостей.

В бюллетене безопасности Microsoft пояснила:

Недостаточно детализированный контроль доступа в Microsoft Defender позволяет авторизованному злоумышленнику локально повысить привилегии.

Доступ к базе SAM и привилегиям SYSTEM

Уилл Дорман (Will Dormann), главный аналитик уязвимостей в Tharros, в апреле рассказал, что хотя эту проблему непросто эксплуатировать, она даёт локальным злоумышленникам доступ к базе данных Security Account Manager (SAM), где хранятся хеши паролей локальных учётных записей.

Получив такой доступ, атакующие могут повысить привилегии до уровня SYSTEM и потенциально полностью захватить контроль над целевой системой.

На этом этапе злоумышленники, по сути, владеют системой и могут, например, запустить оболочку с привилегиями SYSTEM.

Технически BlueHammer представляет собой состояние гонки типа «время проверки – время использования» (TOCTOU) в механизме Microsoft Defender. Эксплойт с помощью блокировок файловых операций (oplock) приостанавливает работу Defender в нужный момент и через манипуляции с файловой системой вынуждает антивирус скопировать базу SAM в доступный злоумышленнику каталог. Затем из неё извлекаются и расшифровываются хеши паролей, что в итоге позволяет получить сессии с правами администратора и привилегии SYSTEM.

Исправление и атаки нулевого дня

Microsoft исправила уязвимость 14 апреля во «Вторник патчей». Однако вскоре исследователи Huntress Labs сообщили, что злоумышленники уже эксплуатировали её как уязвимость нулевого дня: первые атаки с использованием опубликованного эксплойта были зафиксированы 10 апреля, ещё одна волна активности – 16 апреля, с признаками ручной работы операторов угрозы.

Вместе с BlueHammer тот же исследователь опубликовал ещё две техники для Microsoft Defender – RedSun (повышение привилегий через логику сканирования в реальном времени) и UnDefend (блокировка обновлений определений Defender обычным пользователем). На момент утечки все три уязвимости считались уязвимостями нулевого дня, поскольку официальных исправлений ещё не было.

Эксплуатируется группировками вымогателей

CISA добавила уязвимость BlueHammer в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) 22 апреля. Ведомство обязало федеральные гражданские органы исполнительной власти США (FCEB) установить исправления на Windows-устройства в течение двух недель – из-за продолжающихся атак с использованием CVE-2026-33825.

Уязвимости такого типа часто используются злоумышленниками как вектор атаки и представляют значительные риски для федеральной инфраструктуры.

Хотя Microsoft пока не пометила эту уязвимость как эксплуатируемую в атаках, CISA теперь также указала, что её используют в кампаниях с программами-вымогателями. Это изменение появилось в обновлении каталога KEV, опубликованном 29 июня.

За последние годы CISA внесла в каталог известных эксплуатируемых уязвимостей восемь уязвимостей Microsoft Defender – это означает, что все они уже использовались в реальных атаках. Две из этих восьми уязвимостей, включая BlueHammer, также применялись в кампаниях с шифровальщиками.