Trei zero-day-uri Microsoft Defender exploatate activ; două încă necorectate

Huntress atenționează că actorii rău intenționați exploatează trei vulnerabilități de securitate recent disponibile în Microsoft Defender pentru a obține privilegii elevate în sistemele compromise. Această activitate implică exploatarea a trei vulnerabilități cunoscute sub denumirile de cod BlueHammer (care necesită autentificare GitHub), RedSun și UnDefend, toate fiind publicate ca zero-day-uri de un cercetător cunoscut sub numele de Chaotic Eclipse (alias Nightmare-Eclipse) ca răspuns la modul în care Microsoft a gestionat procesul de divulgare a vulnerabilităților, conform thehackernews.com.

👉 Detalii privind tipurile de vulnerabilități și remedieri disponibile

De asemenea, atât BlueHammer cât și RedSun sunt defecte de escaladare a privilegiilor locale (LPE) care afectează Microsoft Defender, în timp ce UnDefend poate fi folosit pentru a provoca o stare de deny-of-service (DoS) și a bloca efectiv actualizările de definiție. Microsoft a luat măsuri pentru a rezolva problema BlueHammer ca parte a actualizărilor Patch Tuesday lansate la începutul acestei săptămâni. Vulnerabilitatea este urmărită sub identificatorul CVE CVE-2026-33825. Cu toate acestea, celelalte defecte nu au o soluție disponibilă în momentul redactării acestui articol.

👉 Exploatarea vulnerabilităților și reacția Microsoft

Într-o serie de postări distribuite pe X, Huntress a declarat că a observat exploatarea tuturor celor trei vulnerabilități în sălbăticie, cu BlueHammer fiind utilizat ca armă încă din 10 aprilie 2026, urmat de utilizarea exploit-urilor proof-of-concept (PoC) pentru RedSun și UnDefend pe 16 aprilie. "Aceste invocări au urmat după comenzi tipice de enumerare: whoami /priv, cmdkey /list, net group și altele care indică activitatea unui actor rău intenționat activ la tastatură", a adăugat aceasta.

Furnizorul de soluții de securitate cibernetică a declarat că a luat măsuri pentru a izola organizația afectată pentru a preveni alte exploatări ulterioare. Când a fost contactat pentru comentarii, Microsoft a confirmat că exploatarea BlueHammer a fost abordată prin CVE-2026-33825. "Microsoft are un angajament față de clienți de a investiga problemele de securitate raportate și de a actualiza dispozitivele afectate pentru a proteja clienții cât mai curând posibil", a declarat un purtător de cuvânt al Microsoft. "De asemenea, susținem divulgarea coordonată a vulnerabilităților, o practică larg acceptată în industrie care ajută la asigurarea că problemele sunt investigate și abordate cu atenție înainte de a fi divulgate public, sprijinind atât protecția clienților, cât și comunitatea de cercetare în domeniul securității." (Povestea a fost actualizată după publicare pentru a include un răspuns din partea Microsoft.)