Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Кнопка «выключить антивирус» теперь в руках у хакеров. И Microsoft пока не знает, что с этим делать

leer en español

Windows Microsoft BlueHammer RedSun UnDefend zero-day
Кнопка «выключить антивирус» теперь в руках у хакеров. И Microsoft пока не знает, что с этим делать
Windows Microsoft BlueHammer RedSun UnDefend zero-day

Злоумышленники начали массово использовать новые уязвимости в Windows для захвата компьютеров.

image

В сети появились работающие эксплойты для уязвимостей Windows, которые ещё недавно считались «нулевыми днями». Злоумышленники не стали ждать исправлений и уже используют их, чтобы получить полный контроль над системой.

Речь идёт о трёх проблемах безопасности, которые в начале апреля опубликовал специалист под псевдонимами Chaotic Eclipse и Nightmare-Eclipse. Так он отреагировал на работу центра реагирования на инциденты безопасности Microsoft Security Response Center, когда раскрывал уязвимости. Вместе с описанием появились и демонстрационные эксплойты, пригодные для реальных атак.

Две уязвимости, получившие названия BlueHammer и RedSun, позволяют повысить привилегии в Microsoft Defender и получить права администратора или уровня SYSTEM. Третья, UnDefend, даёт обычному пользователю возможность блокировать обновления антивирусных баз, фактически отключая защиту.

На момент публикации ни одна из проблем не была исправлена, поэтому их считали уязвимостями нулевого дня. Теперь стало ясно, что злоумышленники быстро взяли ситуацию в работу. Специалисты из Huntress Labs зафиксировали атаки, в которых применялись все три эксплойта, причём BlueHammer начали применять уже с 10 апреля.

Кроме того, UnDefend и RedSun обнаружили на взломанном компьютере с Windows, куда проникли через скомпрометированную учётную запись SSLVPN. Следы указывают на ручные действия злоумышленника: атака развивалась не автоматически – атакой управлял человек напрямую. Сейчас ситуация частично изменилась. Уязвимость BlueHammer получила идентификатор CVE-2026-33825 и закрыта в апрельских обновлениях безопасности. Однако RedSun и UnDefend по-прежнему остаются без исправлений.

Особенно опасной выглядит RedSun. Эксплойт работает на Windows 10, Windows 11 и Windows Server 2019 и более новых версиях, если включён защитник Windows. Механизм атаки строится на странном поведении антивируса. Когда защитник обнаруживает вредоносный файл с «облачной меткой», он может перезаписать файл обратно в исходное место. Злоумышленник использует эту особенность, чтобы подменить системные файлы и получить максимальные привилегии.

В Microsoft заявили, что продолжают разбирать сообщения об уязвимостях и стараются как можно быстрее выпускать обновления. Компания также напомнила о практике согласованного раскрытия, при которой детали уязвимостей публикуют только после того как исправления подготовят.