CISA: Рансомвер групи почнаа активно да ја злоупотребуваат ранливоста BlueHammer во Windows

Објавено: 30.06.2026

Американската Агенција за сајбер безбедност и безбедност на инфраструктурата (CISA) во понеделникот потврди дека рансомвер групи почнале активно да ја злоупотребуваат високоризичната ранливост BlueHammer во Microsoft Defender, која претходно веќе била користена во zero-day напади.

Ранливоста, означена како CVE-2026-33825, беше јавно објавена на почетокот на април од безбедносниот истражувач познат под псевдонимот „Nightmare Eclipse“, кој заедно со техничките детали објави и proof-of-concept (PoC) експлоит-код. Истражувачот изјави дека тоа го направил како протест против начинот на кој Microsoft Security Response Center (MSRC) го спроведува процесот на пријавување и обработка на безбедносни пропусти.

Во своето безбедносно известување, Microsoft наведува дека ранливоста произлегува од недоволно прецизна контрола на пристапот (access control) во Microsoft Defender, што му овозможува на овластен локален напаѓач да ги зголеми своите привилегии на системот.

Will Dormann, главен аналитичар за ранливости во компанијата Tharros, изјави за BleepingComputer во април дека, иако експлоатацијата на ранливоста не е едноставна, таа им овозможува на локалните напаѓачи пристап до Security Account Manager (SAM) базата на податоци, која ги содржи хешовите на лозинките за локалните кориснички сметки.

Со пристап до овие податоци, напаѓачите можат да ги зголемат своите привилегии до SYSTEM, највисокото ниво на привилегии во Windows, со што потенцијално добиваат целосна контрола над компромитираниот систем.

„Во тој момент, напаѓачите практично целосно го контролираат системот и можат, на пример, да отворат командна школка (shell) со SYSTEM привилегии“, изјави Dormann.

Демонстрација на експлоатацијата (Will Dormann)

Microsoft ја отстрани ранливоста на 14 април, како дел од безбедносните ажурирања Patch Tuesday за април 2026 година. Сепак, само неколку дена подоцна, истражувачите од Huntress Labs открија дека напаѓачи веќе ја злоупотребувале како zero-day ранливост во реални напади, при што биле забележани јасни докази за таканаречена „hands-on-keyboard“ активност – односно директна, интерактивна контрола на компромитираниот систем од страна на напаѓачите.

Во изминатите неколку месеци, истражувачот Nightmare Eclipse јавно објави уште неколку zero-day експлоити за Windows, меѓу кои и ранливостите:

RoguePlanet
RedSun
GreenPlasma
MiniPlasma
YellowKey
UnDefend

Дел од овие ранливости го засегаат Microsoft Defender, додека други се однесуваат на BitLocker и различни компоненти на Windows.

Microsoft ги отстрани ранливостите GreenPlasma, MiniPlasma и YellowKey пред три недели, како дел од безбедносните ажурирања Patch Tuesday за јуни 2026 година.

CISA: Ранливоста активно ја користат рансомвер групи

На 22 април, Американската агенција за сајбер безбедност и безбедност на инфраструктурата (CISA) ја додаде ранливоста BlueHammer (CVE-2026-33825) во својот Каталог на познати активно злоупотребувани ранливости (Known Exploited Vulnerabilities – KEV).

Воедно, CISA им наложи на сите федерални институции од Federal Civilian Executive Branch (FCEB) да ги ажурираат своите Windows-системи и да ја отстранат ранливоста најдоцна до 7 мај, поради тековните напади во кои се користи CVE-2026-33825.

„Овој тип ранливости претставува чест вектор за напади од страна на злонамерни сајбер-актери и носи значителен ризик за федералните институции“, предупреди тогаш американската агенција.

Иако Microsoft сè уште официјално не ја означил ранливоста како активно злоупотребувана, CISA во понеделникот го ажурираше својот KEV каталог и потврди дека BlueHammer веќе се користи и во рансомвер кампањи.

Во последните неколку години, CISA идентификуваше осум ранливости во Microsoft Defender што биле активно злоупотребувани во напади. Од нив, две биле искористени и од рансомвер групи за компромитирање на системи.

Извори:

Bleeping Computer – CISA: Windows BlueHammer flaw now exploited by ransomware gangs Bleeping Computer