Trei zero-day-uri Microsoft Defender exploatate activ; două rămân nesoluționate

Huntress avertizează că actorii rău intenționați exploatează trei vulnerabilități de securitate recent dezvăluite în Microsoft Defender pentru a obține privilegii elevate în sistemele compromise. Această activitate implică exploatarea a trei vulnerabilități denumite BlueHammer (necesită autentificare GitHub), RedSun și UnDefend, toate fiind lansate ca zero-days de un cercetător cunoscut sub numele de Chaotic Eclipse (aka Nightmare-Eclipse) ca răspuns la modul în care Microsoft a gestionat procesul de divulgare a vulnerabilităților, potrivit thehackernews.com.

👉 Descrierea și stadiul actual al vulnerabilităților BlueHammer, RedSun și UnDefend

Atât BlueHammer, cât și RedSun sunt vulnerabilități de escaladare a privilegiilor locale (LPE) care afectează Microsoft Defender, în timp ce UnDefend poate fi utilizat pentru a declanșa o condiție de refuz al serviciului (DoS) și efectiv a bloca actualizările de definiții. Microsoft a început să abordeze BlueHammer ca parte a actualizărilor Patch Tuesday lansate la începutul săptămânii. Vulnerabilitatea este urmărită sub identificatorul CVE CVE-2026-33825. Cu toate acestea, celelalte vulnerabilități nu au o soluție disponibilă la momentul redactării.

Într-o serie de postări distribuite pe X, Huntress a declarat că a observat toate cele trei vulnerabilități fiind exploatate în mediul real, cu BlueHammer devenind operabil din 10 aprilie 2026, urmat de utilizarea exploit-urilor de tip proof-of-concept (PoC) pentru RedSun și UnDefend pe 16 aprilie. „Aceste invocări au urmat comenzi tipice de enumerare: whoami /priv, cmdkey /list, net group și altele care indică activitatea unui actor rău intenționat aflat la tastatură”, a adăugat aceasta. Furnizorul de securitate cibernetică a menționat că a luat măsuri pentru a izola organizația afectată pentru a preveni alte exploatări ulterioare.

👉 Reacția Microsoft privind gestionarea vulnerabilităților raportate

Când a fost contactat pentru comentarii, Microsoft a confirmat că exploit-ul BlueHammer a fost abordat prin CVE-2026-33825. "Microsoft are un angajament față de clienți de a investiga problemele de securitate raportate și de a actualiza dispozitivele afectate pentru a proteja clienții cât mai repede posibil", a declarat un purtător de cuvânt al Microsoft. "De asemenea, susținem divulgarea coordonată a vulnerabilităților, o practică adoptată pe scară largă în industrie care ajută la asigurarea investigării și soluționării atente a problemelor înainte de divulgarea publică, sprijinind atât protecția clienților, cât și comunitatea de cercetare în domeniul securității." (Povestea a fost actualizată după publicare pentru a include un răspuns din partea Microsoft.)