Trzy luki zero-day w Microsoft Defender wykorzystywane w atakach. Dwie przez cały czas bez poprawki

Wprowadzenie do problemu / definicja

Microsoft Defender znalazł się w centrum uwagi po ujawnieniu trzech podatności typu zero-day, które miały być wykorzystywane w rzeczywistych atakach. Sprawa dotyczy błędów określanych jako BlueHammer, RedSun oraz UnDefend, z których dwa prowadzą do lokalnego podniesienia uprawnień, a trzeci umożliwia zakłócenie mechanizmu aktualizacji sygnatur.

To szczególnie groźny scenariusz, ponieważ dotyka bezpośrednio narzędzia odpowiedzialnego za ochronę punktów końcowych. jeżeli komponent bezpieczeństwa staje się podatny na nadużycia, atakujący może wykorzystać go jako element dalszego łańcucha post-exploitation.

W skrócie

• W połowie kwietnia 2026 roku ujawniono trzy podatności zero-day w Microsoft Defender.
• BlueHammer została powiązana z CVE-2026-33825 i objęta poprawką w ramach kwietniowego Patch Tuesday.
• RedSun oraz UnDefend pozostawały bez oficjalnej łatki w momencie publikacji doniesień.
• Dwie luki umożliwiają lokalne podniesienie uprawnień, a jedna zakłóca aktualizację definicji.
• Wykorzystanie błędów obserwowano jako element działań po uzyskaniu początkowego dostępu do systemu.

Kontekst / historia

Sprawa nabrała rozgłosu po opublikowaniu proof-of-conceptów przez badacza działającego pod pseudonimem Chaotic Eclipse, znanego również jako Nightmare-Eclipse. Ujawnione materiały opisywały trzy odrębne techniki oddziałujące na komponenty związane z Microsoft Defender.

Według dostępnych informacji zagrożenie nie pozostało wyłącznie teoretyczne. Dane telemetryczne miały wskazywać, iż operatorzy ataków zaczęli wykorzystywać te techniki w praktyce, integrując je z procedurami operacyjnymi stosowanymi już po uzyskaniu wstępnego dostępu do hosta.

To ważne rozróżnienie, ponieważ publiczne ujawnienie luki w połączeniu z aktywnym wykorzystaniem istotnie zwiększa ryzyko dla organizacji. W takim modelu czas reakcji obrońców ma najważniejsze znaczenie, zwłaszcza jeżeli tylko część błędów została już załatana.

Analiza techniczna

BlueHammer i RedSun są opisywane jako luki lokalnego podniesienia uprawnień. Oznacza to, iż napastnik musi najpierw uruchomić kod na urządzeniu ofiary, ale następnie może wykorzystać podatność do uzyskania wyższego poziomu uprawnień, potencjalnie aż do kontekstu SYSTEM.

Z perspektywy technicznej jest to klasyczny mechanizm używany w wieloetapowych łańcuchach ataku. Początkowy dostęp może pochodzić z phishingu, złośliwego skryptu, kradzieży poświadczeń albo nadużycia innej słabości, a luka LPE staje się kolejnym krokiem prowadzącym do przejęcia pełnej kontroli nad systemem.

BlueHammer była wiązana z nieprawidłową obsługą operacji na ścieżkach i warunkami wyścigu. Tego typu błędy są szczególnie niebezpieczne w oprogramowaniu ochronnym, ponieważ działa ono z wysokimi uprawnieniami i ma szeroki dostęp do systemu plików, procesów oraz usług. o ile atakujący potrafi wpłynąć na walidację ścieżek lub obiektów, może przekierować uprzywilejowane operacje na zasoby znajdujące się pod jego kontrolą.

UnDefend różni się charakterem od dwóch pozostałych luk. W tym przypadku nie chodzi o eskalację uprawnień, ale o wywołanie stanu odmowy usługi i zablokowanie aktualizacji sygnatur. Z operacyjnego punktu widzenia taki efekt może być bardzo użyteczny dla napastnika, ponieważ utrzymuje silnik ochronny w stanie obniżonej skuteczności i zwiększa okno ekspozycji na nowe próbki malware.

Dostępne obserwacje sugerują również, iż exploity były uruchamiane po działaniach rozpoznawczych, takich jak sprawdzanie uprawnień użytkownika, przynależności do grup czy obecności zapisanych poświadczeń. To cenna wskazówka dla zespołów SOC, ponieważ wykorzystanie tych podatności może być widoczne jako fragment szerszej sekwencji działań wykonywanych manualnie przez operatora ataku.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość przejścia z ograniczonego kontekstu użytkownika do wysokich uprawnień lokalnych. Taki scenariusz pozwala atakującemu manipulować usługami systemowymi, wyłączać lub osłabiać mechanizmy ochronne, pozyskiwać dodatkowe poświadczenia oraz przygotować środowisko do dalszego ruchu bocznego lub wdrożenia ransomware.

Ryzyko rośnie szczególnie w organizacjach, które polegają głównie na wbudowanych mechanizmach ochrony i nie stosują dodatkowych warstw kontroli. jeżeli kompromitacja obejmuje produkt bezpieczeństwa albo jego krytyczne komponenty, skuteczność całej strategii obronnej może gwałtownie spaść.

UnDefend zwiększa ryzyko w bardziej subtelny sposób. Zatrzymanie aktualizacji sygnatur nie zawsze jest od razu widoczne, a jednocześnie prowadzi do stopniowej degradacji zdolności wykrywania nowych zagrożeń. W środowiskach rozproszonych lub słabiej monitorowanych może to stworzyć ciche okno dla kolejnych etapów intruzji.

Rekomendacje

Priorytetem powinno być jak najszybsze wdrożenie dostępnych aktualizacji związanych z CVE-2026-33825 oraz potwierdzenie, iż wszystkie zarządzane hosty otrzymały adekwatne wersje komponentów Defendera i powiązanych poprawek systemowych. Sama deklaracja wdrożenia aktualizacji nie wystarcza — konieczna jest walidacja oparta na telemetrii i inwentaryzacji.

W przypadku luk pozostających bez oficjalnej poprawki warto wdrożyć działania kompensacyjne ograniczające powierzchnię ataku oraz zwiększające szanse wykrycia nadużyć.

• Monitorować próby lokalnego podnoszenia uprawnień i nietypowe operacje na usługach Defendera.
• Alertować na zatrzymanie aktualizacji sygnatur lub dłuższy brak ich pobierania.
• Korelować komendy rozpoznawcze wykonywane przed eskalacją uprawnień.
• Ograniczyć możliwość uruchamiania nieautoryzowanych binariów i skryptów.
• Wzmocnić kontrolę aplikacyjną oraz zasadę least privilege na stacjach roboczych.
• Przeprowadzić threat hunting pod kątem anomalii w działaniu komponentów ochronnych.

W środowiskach o podwyższonym profilu ryzyka uzasadnione może być także czasowe zaostrzenie polityk wykonania, dodatkowa izolacja punktów końcowych oraz kontrola integralności kluczowych komponentów bezpieczeństwa.

Podsumowanie

Przypadek BlueHammer, RedSun i UnDefend pokazuje, iż choćby natywne mechanizmy ochrony mogą stać się celem skutecznych ataków. Połączenie lokalnego podniesienia uprawnień z możliwością zakłócenia aktualizacji silnika ochronnego tworzy scenariusz o dużej wartości operacyjnej dla napastników.

Dla organizacji to wyraźny sygnał, iż samo posiadanie narzędzia ochronnego nie jest wystarczające. najważniejsze stają się szybkie zarządzanie poprawkami, ciągła weryfikacja stanu ochrony, monitoring anomalii oraz gotowość do reagowania na sytuacje, w których produkt bezpieczeństwa sam staje się wektorem ryzyka.

Źródła

1. https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html
2. https://www.zerodayinitiative.com/blog/2026/4/14/the-april-2026-security-update-review
3. https://www.crowdstrike.com/content/crowdstrike-www/locale-sites/us/en-us/blog/patch-tuesday-analysis-april-2026.html
4. https://fieldeffect.com/blog/microsoft-april-2026-patch-tuesday-bluehammer
5. https://www.rapid7.com/db/vulnerabilities/windows-defender-cve-2026-33825/