Microsoft Defender превратили в орудие атаки: три zero‑day, два до сих пор без патча
--------------------------------------------------------------------
Исследователь под псевдонимом Nightmare‑Eclipse выложил в публичный доступ рабочие эксплойты к трём уязвимостям Windows Defender. В итоге стандартный антивирус Windows, который должен защищать систему, используется как средство повышения привилегий и ослепления защиты. Одна уязвимость (BlueHammer) уже закрыта, две другие - RedSun и UnDefend - всё ещё эксплуатируются в реальных атаках без доступного исправления.
Что случилось и почему это критично
17 апреля 2026 года аналитики Huntress Labs сообщили, что эксплойты BlueHammer, RedSun и UnDefend уже применяются злоумышленниками в боевых инцидентах. По их данным:
- BlueHammer начали использовать не позднее 10 апреля;
- RedSun и UnDefend были обнаружены на системе, скомпрометированной через учётную запись SSLVPN;
- активность носила характер "hands‑on‑keyboard" - атакующий вручную управлял действиями на машине, а не просто запускал скрипты.
Все три уязвимости находятся в Microsoft Defender - предустановленном антивирусе в Windows 10, Windows 11 и Windows Server 2019+. Это означает, что под удар попадает практически любая современная машина с включённым Defender по умолчанию.
Парадокс ситуации: защитный компонент системы становится основным вектором атаки. Злоумышленник не обходит антивирус, а использует его функциональность, чтобы:
- поднять привилегии до уровня SYSTEM;
- либо помешать обновлению антивирусных баз и снизить уровень защиты.
---
BlueHammer (CVE-2026-33825): повышение привилегий, уже запатчено
BlueHammer - локальное повышение привилегий (LPE) в процессе MsMpEng.exe, который отвечает за работу Defender. Уязвимость позволяла обычному пользователю добиться выполнения кода с правами SYSTEM.
- Microsoft закрыла дыру в апрельском Patch Tuesday (14 апреля 2026 года).
- По наблюдениям Huntress, атаки с использованием BlueHammer начались как минимум 10 апреля - то есть уязвимость активно эксплуатировалась за несколько дней до выхода исправления.
- До выхода патча это был полноценный zero‑day: уязвимость в коде Defender, для которой не существовало официального решения, но уже имелся рабочий эксплойт.
Отдельно важно, что BlueHammer работал даже когда Defender переведён в пассивный режим, если его движок установлен в системе. Это означало, что машины с альтернативным EDR, но с неотключённым MsMpEng.exe, тоже находились под угрозой.
После установки апрельских обновлений риск эксплуатации BlueHammer снимается - но только при условии, что все поддерживаемые системы действительно получили и применили патч.
---
RedSun: подмена системных файлов через механизм cloud‑tag
RedSun - наиболее опасная из трёх уязвимостей, и именно она пока остаётся без патча.
Как работает механизм, который ломает RedSun
При проверке файла Microsoft Defender обращается к облачному сервису репутации (так называемый cloud tag). Если облако решает, что файл вредоносен, Defender:
1. помещает его в карантин;
2. в ряде сценариев пытается восстановить оригинальный объект из "облачной копии" по исходному пути.
Ошибка как раз в логике этого восстановления. При определённой последовательности действий можно заставить Defender:
- восстановить файл не туда, где он должен находиться;
- а перезаписать произвольный системный файл Windows содержимым, подконтрольным атакующему.
Ключевой момент: операции выполняются процессом Defender, который работает с привилегиями SYSTEM. Таким образом, пользователь с обычными правами, запустив PoC RedSun, фактически получает полный административный контроль над системой.
На каких системах работает RedSun
По состоянию на момент публикации:
- уязвимы Windows 10, Windows 11 и Windows Server 2019 и новее;
- патча от Microsoft ещё нет - даже после установки всех апрельских обновлений эксплойт продолжает надёжно работать.
Именно RedSun даёт злоумышленнику прямой и быстрый путь к эскалации привилегий практически на любой современной системе Windows с активным Defender.
---
UnDefend: "ослепление" антивируса без прав администратора
Вторая не закрытая уязвимость - UnDefend - не повышает привилегии, но стратегически не менее опасна.
Суть проблемы
UnDefend позволяет пользователю без административных прав:
- блокировать обновления сигнатур и определений Microsoft Defender;
- при этом сам антивирус продолжает формально работать, детектировать старые угрозы и создавать иллюзию защищённости.
На практике это приводит к тому, что:
- через некоторое время базы устаревают;
- новые вредоносные образцы, использующие свежие техники и сигнатуры, перестают детектироваться;
- создаётся идеальное окно для последующих атак - ручных или автоматизированных.
По факту, UnDefend - это инструмент тихой предварительной подготовки инфраструктуры к более серьёзному вторжению.
---
Кого затрагивают RedSun и UnDefend
По описанию исследователя и данным независимых аналитиков, под удар попадают:
- Windows 10;
- Windows 11;
- Windows Server 2019 и новее;
при условии, что:
- Microsoft Defender включён и работает в качестве основного средства защиты.
Если на машине установлен сторонний EDR‑продукт и Defender полностью отключён (служба WinDefend переведена в состояние Disabled), то:
- RedSun и UnDefend применить нельзя, поскольку они эксплуатируют именно логику работы Defender;
- однако до апрельского патча BlueHammer мог оставаться актуальным, даже если Defender был в пассивном режиме.
---
Почему всё оказалось в публичном доступе
Nightmare‑Eclipse опубликовал PoC‑эксплойты после конфликта с программой реагирования Microsoft (MSRC). По его версии:
- отчёты об уязвимостях долго игнорировались;
- исправления затягивались;
- коммуникация с вендором оставляла желать лучшего.
Microsoft придерживается противоположной позиции, однако для администраторов сути дела это не меняет. Комбинация из:
- публично доступного кода эксплойтов;
- и замедленной реакции на критические отчёты
почти неизбежно приводит к тому, что zero‑day начинают использоваться в атаках в течение нескольких дней после утечки.
---
Что делать прямо сейчас: базовые шаги
Если в вашей инфраструктуре есть Windows 10, Windows 11 или Windows Server 2019+ с включённым Microsoft Defender, действовать нужно немедленно.
1. Установите апрельские обновления
- Обновите все поддерживаемые версии Windows. Это единственный способ закрыть BlueHammer (CVE‑2026‑33825).
- Убедитесь, что обновления действительно применились, а не только были скачаны.
2. Включите и жёстко настройте Attack Surface Reduction (ASR)
- ASR‑правила позволяют серьёзно сузить поверхность атаки, в том числе для механизмов, связанных с Defender и Office.
- На этапе внедрения целесообразно работать в режиме "аудит" на пилотной группе, после чего включать блокировку по всей инфраструктуре.
3. Проверьте конфигурацию Microsoft Defender и политику WDAC
- Windows Defender Application Control (WDAC) позволяет ограничить запуск непроверенных исполняемых файлов и скриптов.
- Жёсткая политика WDAC может не дать эксплойтам выполнить необходимые компоненты или подменить критические файлы.
4. Сегментируйте права пользователей и ограничьте возможности локальных аккаунтов
- Чем меньше привилегий у стартовой точки атаки, тем сложнее злоумышленнику реализовать цепочку: начальный доступ → RedSun/UnDefend → развитие атаки.
- Минимизируйте использование локальных администраторов, применяйте Just‑in‑Time и Just‑Enough Administration.
---
Дополнительные меры защиты и мониторинга
Помимо первоочередных шагов, имеет смысл внедрить дополнительные уровни контроля:
- Мониторинг SSLVPN и удалённого доступа
- Атака, где были замечены RedSun и UnDefend, началась с компрометации учётки SSLVPN.
- Настройте:
- многофакторную аутентификацию для всех VPN‑доступов;
- поведенческую аналитику (подозрительные геолокации, время активности, аномальные объёмы трафика);
- жёсткие ограничения по наборам доступных ресурсов после входа по VPN.
- Просмотр и корреляция логов Defender
- Используйте Event Viewer (Applications and Services Logs → Microsoft → Windows → Windows Defender) или централизованный сбор логов.
- Важные сигналы:
- отсутствие свежих обновлений сигнатур при нормальной доступности сети - возможный маркер работы UnDefend;
- нетипичные операции с карантином и восстановлением файлов - потенциальный индикатор эксплуатации RedSun;
- внезапное появление процессов или служб с правами SYSTEM, инициированных обычными пользователями.
- EDR‑телеметрия и поведенческий анализ
- Если в инфраструктуре есть сторонний EDR, убедитесь, что:
- он собирает события по Defender;
- настроены правила обнаружения нестандартных действий MsMpEng.exe и WinDefend.
- Журналирование изменений конфигурации Defender
- Фиксируйте любые переключения режима работы, выключения модулей, изменения политик.
- Это поможет выявлять попытки подготовить почву для атак через UnDefend либо ручное вмешательство.
---
Практические рекомендации по уменьшению риска RedSun
Полностью устранить риск до выхода официального патча нельзя, но можно сильно снизить вероятность успешной эксплуатации:
- ограничьте возможность записи пользователями в каталоги, из которых Defender чаще всего выполняет восстановление файлов;
- внедрите контроль целостности критических системных файлов:
- регулярное сравнение хешей;
- мониторинг неожиданных изменений в системных директориях;
- используйте контроль приложений, чтобы заблокировать запуск неподписанных или неизвестных файлов, которые могут выступать в роли "приманки" для Defender.
Важно помнить: в случае RedSun злоумышленнику нужен хотя бы локальный доступ на уровне обычного пользователя. Поэтому:
- ужесточите политики работы с рабочими станциями;
- ограничьте установку ПО пользователями;
- минимизируйте возможность запуска скриптов из пользовательских каталогов.
---
Как заметить возможную эксплуатацию UnDefend
Чтобы своевременно выявить попытки "ослепить" защиту, держите под контролем:
- Частоту и время обновления сигнатур Defender
- Отслеживайте, когда в последний раз обновлялись базы на каждой машине;
- внедрите оповещения, если обновлений нет дольше заданного порога при доступности интернет‑соединения.
- Состояние службы обновления и задач планировщика
- Проверяйте, не были ли изменены или отключены задачи, отвечающие за обновление определения угроз.
- Несоответствие версии сигнатур корпоративным политикам
- Задайте минимально допустимую версию/дату определений;
- подсвечивайте устройства, которые выбиваются из этого диапазона.
---
Почему важно не откладывать реакцию
В подобных случаях окно между утечкой PoC и началом целевых атак измеряется не неделями, а днями. В ситуации с BlueHammer:
- эксплойт начали использовать за четыре дня до выхода официального патча;
- к моменту, когда большинство компаний успевает установить обновления, часть систем уже могла быть скомпрометирована.
RedSun и UnDefend на момент описания вообще не имеют исправлений. Это означает, что:
- злоумышленники могут продолжать экспериментировать с тактиками и техниками на базе открытого PoC;
- появление более удобных, надёжных и трудно детектируемых эксплойтов только вопрос времени.
---
Итоги для администраторов и специалистов по ИБ
1. Сразу закрыть BlueHammer установкой апрельских обновлений Windows на всех поддерживаемых системах.
2. Включить ASR и WDAC, минимизируя возможности для эксплуатации логики Defender.
3. Усилить контроль над Defender: обновления сигнатур, конфигурация, логирование всех изменений.
4. Ужесточить удалённый доступ, особенно через SSLVPN, с обязательной MFA и поведенческим мониторингом.
5. Отслеживать возможные признаки эксплуатации RedSun и UnDefend в логах и телеметрии, заранее подготовив сценарии реагирования.
До выхода официальных патчей RedSun и UnDefend остаются реальными боевыми угрозами. Единственный рабочий подход сейчас - многоуровневая защита, агрессивное ужесточение политик и постоянный мониторинг любых аномалий в работе Microsoft Defender и в активности пользователей.
