Експлоатациите го претвораат Windows Defender во алатка за напаѓачи

Три proof-of-concept (PoC) експлоатации се користат во активни напади против вградената безбедносна платформа на Microsoft; два од нив сè уште немаат закрпи.

Напаѓачите користат три јавно достапни PoC експлоатации за да го нападнат Microsoft Defender и да ги свртат неговите главни функции за заштита и чистење против организациите што треба да ги штити.

Два од експлоатациите овозможуваат пристап со SYSTEM привилегии на ранливи системи. Третиот тивко го нарушува механизмот за ажурирање на Defender, постепено намалувајќи ја неговата способност да открива нови закани.

---

Трио експлоатации

Истражувач познат под псевдонимот Nightmare-Eclipse ги објави PoC експлоатации откако, наводно, претходно се обидел да ги пријави кај Microsoft без соодветен одговор.

Еден од експлоатациите , наречен BlueHammer, беше користен како zero-day за CVE-2026-33825 – ранливост од типот time-of-check to time-of-use (TOCTOU) во процесот на ажурирање на сигнатури во Windows Defender.

Според Vectra.ai, „Defender детектира сомнителна датотека, одлучува да ја препише, а напаѓачот ја добива трката (race condition) и го пренасочува тоа препишување на локација по свој избор.“

Ова им овозможува на напаѓачите да добијат SYSTEM пристап без kernel експлоит или корупција на меморија, искористувајќи го начинот на кој Defender работи со датотечниот систем при санација.

Microsoft објави закрпа за оваа ранливост во април 2026 година. Таа го ублажува ризикот од BlueHammer, но не ги покрива другите два експлоити: RedSun и UnDefend.

---

Претворање на Defender против корисниците

RedSun функционира слично како BlueHammer, но го таргетира процесот TieringEngineService.exe, кој се користи за класификација и приоритизација на закани.

За да се активира ранливоста, напаѓачот користи EICAR тест-стринг (стандард за тестирање на антивируси). Кога Defender ќе го детектира, започнува процес на санација, но RedSun ја „добива трката“ и го пренасочува препишувањето, по што системот извршува малициозен код со SYSTEM привилегии.

RedSun функционира дури и на целосно ажурирани системи како Windows 10, Windows 11 и Windows Server 2019.

UnDefend, пак, се користи по добивање SYSTEM пристап и ја саботира способноста на Defender да добива нови информации за закани без да предизвика очигледни аларми.

---

Насочени напади

Истражувачите од Huntress Labs забележале насочени напади со овие експлоатации . Напаѓачите рачно извршуваат команди, поставуваат малициозни датотеки во директориуми како Downloads и Pictures и користат преименувани фајлови за да избегнат детекција.

Овие напади се со ниска сложеност, но се ефикасни – дури и напаѓачи со умерени вештини можат да ги искористат за ескалација на привилегии и слабеење на заштитата.

---

Поширок проблем

Експлоатациите откриваат пошироки слабости во довербата и валидацијата во Defender:

• BlueHammer – злоупотребува race condition при обработка на датотеки
• RedSun – користи слабости во cloud обработка на датотеки
• UnDefend – го нарушува механизмот за ажурирање и известување

Сите тие го искористуваат фактот дека Defender работи со високи привилегии и има доверба во сопствените процеси.

---

Најголем предизвик: почетен пристап

Истражувањата покажуваат дека експлоатациите функционираат, но најтешкиот дел за напаѓачите е почетниот пристап.

Во реални случаи, нападите започнувале со компромитирани VPN сметки без мултифакторска автентикација. Откако ќе добијат пристап, ескалацијата до SYSTEM е релативно лесна.

---

Препораки за заштита

• Инсталирајте ги априлските ажурирања од 2026
• Потврдете ја верзијата на Antimalware Platform
• Активирајте мултифакторска автентикација (MFA)
• Блокирајте извршување од директориуми како Downloads и Pictures
• Следете промени во критични системски процеси
• Користете дополнителни безбедносни слоеви независни од Defender

Извори:

• DarkReading – Exploits Turn Windows Defender into Attacker Tool DarkReading