Microsoft Defender przez lata wyrósł na podstawową linię obrony w Windowsie. Problem w tym, iż w kwietniu 2026 to właśnie on stał się celem – i to nie jednego, a trzech zero-dayów wykorzystywanych w realnych atakach. Co gorsza, nie wszystkie zostały od razu załatane.
Kiedy antywirus staje się wektorem ataku
Cała sytuacja zaczęła się od ujawnienia podatności, które umożliwiają podniesienie uprawnień w systemie. W praktyce oznacza to scenariusz, w którym atakujący startuje z niskiego poziomu dostępu, a kończy z pełnymi uprawnieniami SYSTEM. To dokładnie ten moment, w którym maszyna przestaje należeć do użytkownika, a zaczyna do atakującego. Najbardziej niepokojące jest jednak to, iż exploity były już wykorzystywane w rzeczywistych kampaniach.
Podatność BlueHammer
BlueHammer to podatność, która została załatana przez Microsoft stosunkowo szybko, ale jej znaczenie wykracza poza sam fakt wydania poprawki.
Mechanizm ataku opiera się na możliwości manipulowania operacjami wykonywanymi przez Defendera z wysokimi uprawnieniami. W praktyce pozwala to na przejęcie kontroli nad procesami systemowymi i eskalację uprawnień.
Jest to coś więcej niż klasyczny exploit, który „przebija się” przez zabezpieczenia. To raczej subtelne wykorzystanie tego, jak Defender działa w tle i jakie możliwości ma w systemie.
BlueHammer udowodnił, iż jeżeli atakujący kontroluje mechanizmy ochronne, to nie musi ich omijać i ostateczny atak staje się dużo prostszy.
Podatność RedSun
Druga podatność, określana jako RedSun, idzie o krok dalej. W tym przypadku atakujący może wykorzystać sposób, w jaki Defender przetwarza i zapisuje dane, aby wpłynąć na strukturę plików w systemie.
Brzmi niewinnie, ale w praktyce otwiera drogę do nadpisywania kluczowych elementów systemu. jeżeli operacja wykonywana jest przez proces z wysokimi uprawnieniami, skutki mogą być poważne.
To właśnie typ podatności, który na pierwszy rzut oka nie wygląda groźnie. Nie daje natychmiastowego efektu, ale w odpowiednich rękach staje się potężnym narzędziem do dalszej eskalacji. RedSun dobrze pokazuje, jak cienka jest granica między funkcjonalnością a podatnością.
Podatność UnDefend
Trzecia luka, nazwana UnDefend, uderza w samą istotę działania Defendera. Zamiast bezpośrednio przejmować kontrolę nad systemem, pozwala na osłabienie lub częściowe wyłączenie mechanizmów ochronnych.
W praktyce oznacza to, iż atakujący może przygotować grunt pod kolejne etapy ataku, nie będąc wykrywanym przez system zabezpieczeń. To szczególnie niebezpieczny scenariusz, bo atak często pozostaje niezauważony. System przez cały czas działa, Defender przez cały czas jest włączony, ale jego skuteczność jest znacząco ograniczona.
UnDefend nie daje natychmiastowego dostępu do systemu. Daje za to czas i przestrzeń na dalsze działania.
Jeden problem, trzy różne podejścia
Każda z tych podatności działa inaczej, ale wszystkie prowadzą do podobnego celu. Atakujący zyskuje możliwość wykorzystania Defendera jako elementu swojego łańcucha ataku. To efekt tego, jak bardzo złożone i uprzywilejowane są dziś narzędzia bezpieczeństwa. Widzimy na tym przykładzie, iż im większe uprawnienia ma sama aplikacja i im mocniej „wgryza się” w system, tym bardziej powinniśmy zadbać o jej bezpieczeństwo i o dostęp do niej.
Podsumowanie
Największy problem nie polega na samych podatnościach, tylko na miejscu, w którym się pojawiły.
Defender to komponent, który ma w systemie najwyższy poziom zaufania. Działa głęboko w jego strukturze i ma dostęp do krytycznych zasobów. jeżeli takie narzędzie staje się podatne, konsekwencje są znacznie poważniejsze niż w przypadku zwykłej aplikacji.
Zmienia to sposób patrzenia na bezpieczeństwo. Nie chodzi już tylko o to, co znajduje się „na zewnątrz”. Coraz większe znaczenie ma to, co dzieje się wewnątrz samego systemu.
Trzy zero-daye w Microsoft Defender to nie jest tylko kolejny incydent i kolejne podatności, które trzeba załatać. To sygnał, iż ataki coraz częściej koncentrują się na najbardziej zaufanych elementach systemu. Zamiast omijać zabezpieczenia, zaczynają je wykorzystywać.
Zamiast szukać słabych punktów na obrzeżach, uderzają w sam środek. I właśnie dlatego takie przypadki są istotne – pokazują kierunek rozwoju zaawansowanych ataków.
