Кибератаки с использованием трёх недавно раскрытых zero-day уязвимостей в Windows уже зафиксированы в реальной среде. Речь идёт об эксплойтах BlueHammer, RedSun и UnDefend, позволяющих злоумышленникам получать SYSTEM-доступ или повышенные привилегии администратора.
Все три уязвимости были опубликованы исследователем, известным как Chaotic Eclipse (Nightmare-Eclipse), который выложил proof-of-concept код в начале апреля. На момент публикации они считались zero-day — без доступных исправлений от Microsoft.
Атаки подтверждены в реальной среде
По данным Huntress Labs, эксплуатация всех трёх уязвимостей уже наблюдается в атаках. При этом BlueHammer используется как минимум с 10 апреля.
Также исследователи зафиксировали использование RedSun и UnDefend на взломанной системе Windows, доступ к которой был получен через скомпрометированного пользователя SSLVPN. Атака сопровождалась активностью типа “hands-on-keyboard”, что указывает на ручное управление злоумышленниками.
“The Huntress SOC is observing the use of Nightmare-Eclipse’s BlueHammer, RedSun, and UnDefend exploitation techniques.”
Что делают уязвимости
- BlueHammer — локальное повышение привилегий (LPE) в Microsoft Defender
- RedSun — LPE-уязвимость, позволяющая получить SYSTEM-доступ даже на полностью обновлённых системах
- UnDefend — блокирует обновления сигнатур Microsoft Defender
Особенно опасной считается RedSun. Эксплойт использует поведение Defender, при котором антивирус перезаписывает файл с “облачной меткой” обратно в систему. Это позволяет злоумышленникам перезаписывать системные файлы и получать административные права.
Патчи: исправлена только одна уязвимость
Microsoft уже устранила BlueHammer (CVE-2026-33825) в рамках апрельского обновления безопасности. Однако RedSun и UnDefend по-прежнему остаются без исправлений.
При этом RedSun продолжает работать даже на системах с установленными обновлениями Patch Tuesday, включая Windows 10, Windows 11 и Windows Server 2019 и новее.
Контекст и риски
Ситуация усугубляется тем, что эксплойты были опубликованы публично до выхода патчей, что ускорило их внедрение в реальные атаки. Это уже не первый случай активной эксплуатации уязвимостей Windows — ранее CISA также фиксировала подобные инциденты.
Microsoft заявляет, что придерживается политики coordinated vulnerability disclosure и продолжает расследование уязвимостей, однако сроки устранения оставшихся проблем не раскрываются.
Источник: BleepingComputer
