Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft Defender od lat stanowi podstawową warstwę ochronną w systemach Windows, odpowiadając za wykrywanie zagrożeń, kwarantannę, remediację oraz aktualizację sygnatur. Najnowsze doniesienia pokazują jednak, że błędy występujące w uprzywilejowanych procesach tego rozwiązania mogą zostać wykorzystane przeciwko samym użytkownikom i administratorom.
W praktyce oznacza to odwrócenie logiki bezpieczeństwa: komponent zaprojektowany do obrony hosta może zostać użyty do eskalacji uprawnień, uruchamiania złośliwego kodu lub osłabienia skuteczności detekcji. To szczególnie groźny scenariusz w środowiskach firmowych, gdzie Defender działa w granicy wysokiego zaufania systemowego.
W skrócie
W centrum uwagi znalazły się trzy publicznie opisane proof-of-concept exploity: BlueHammer, RedSun oraz UnDefend. Dwa pierwsze koncentrują się na lokalnej eskalacji uprawnień do poziomu SYSTEM poprzez nadużycie uprzywilejowanych operacji plikowych wykonywanych przez Microsoft Defender.
Trzeci z mechanizmów, UnDefend, nie służy głównie do uzyskiwania wyższych uprawnień, lecz do zakłócania procesu aktualizacji i raportowania, co może prowadzić do stopniowego osłabienia ochrony. Według badaczy techniki te były już obserwowane w ukierunkowanych włamaniach, a poprawka dla CVE-2026-33825 została uwzględniona w kwietniowych aktualizacjach Microsoftu.
- BlueHammer: eskalacja uprawnień z użyciem warunku wyścigu w procesie aktualizacji sygnatur
- RedSun: nadużycie mechanizmu remediacji prowadzące do uruchomienia kodu jako SYSTEM
- UnDefend: degradacja zdolności ochronnych przez zakłócenie aktualizacji i raportowania
Kontekst / historia
Sprawa nabrała rozgłosu po publicznym opublikowaniu exploitów przez badacza posługującego się pseudonimem Nightmare-Eclipse. Z dostępnych informacji wynika, że co najmniej jedna z technik była wcześniej zgłaszana producentowi, jednak dopiero upublicznienie szczegółów zwróciło szerszą uwagę branży.
Największe zainteresowanie wzbudził BlueHammer, powiązany z luką CVE-2026-33825, opisywaną jako problem typu time-of-check to time-of-use w przepływie aktualizacji sygnatur Microsoft Defender. Wraz z nim opisano również RedSun i UnDefend, które pokazują, że ten sam obszar zaufanych operacji ochronnych może zostać wykorzystany na różne sposoby.
Wspólnym mianownikiem wszystkich trzech technik jest nadużycie szerokich uprawnień procesów ochronnych Defendera. To przypomina, że nawet natywny komponent bezpieczeństwa może stać się punktem ataku, jeśli walidacja ścieżek, stanów plików i momentu wykonania operacji jest niewystarczająca.
Analiza techniczna
BlueHammer wykorzystuje warunek wyścigu w procesie obsługi aktualizacji sygnatur. Atakujący przechwytuje moment, w którym Defender wykrywa plik, klasyfikuje go do remediacji i wykonuje operację zapisu. Jeśli przeciwnik wygra wyścig, może przekierować ten zapis do wybranej lokalizacji, uzyskując efekt działania w kontekście uprzywilejowanym.
RedSun działa na podobnej zasadzie koncepcyjnej, lecz dotyczy procesu TieringEngineService.exe. Według opisu wystarczy doprowadzić do uruchomienia podatnej ścieżki przez wykorzystanie testowego ciągu EICAR, używanego do bezpiecznej weryfikacji silników antywirusowych. Po wykryciu próbki Defender inicjuje remediację, a napastnik przejmuje kontrolę nad skutkiem operacji plikowej, co może doprowadzić do uruchomienia przygotowanego pliku wykonywalnego jako SYSTEM.
UnDefend pełni inną funkcję w łańcuchu ataku. Nie skupia się bezpośrednio na eskalacji uprawnień, lecz na zakłóceniu aktualizacji sygnatur i stanu raportowania. W efekcie Defender może wyglądać na poprawnie działający z perspektywy narzędzi administracyjnych, mimo że przestaje skutecznie pobierać aktualne informacje o zagrożeniach.
Technicznie wszystkie trzy przypadki pokazują podobne słabości:
- niedostateczną walidację ścieżek wejścia i wyjścia,
- podatność na warunki wyścigu,
- nadmierne zaufanie do uprzywilejowanych operacji plikowych,
- możliwość manipulowania legalnym procesem realizowanym przez zaufany komponent ochronny.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem BlueHammer i RedSun jest lokalna eskalacja uprawnień do poziomu SYSTEM. Taki dostęp oznacza pełną kontrolę nad hostem, możliwość instalacji dodatkowego malware, wyłączania mechanizmów ochronnych, kradzieży poświadczeń oraz budowy trwałej obecności w systemie.
W środowiskach korporacyjnych ryzyko jest jeszcze większe. Przejęcie pojedynczej stacji roboczej lub konta użytkownika może stać się punktem wyjścia do dalszego ruchu bocznego, kompromitacji serwerów i rozszerzenia incydentu na większą część infrastruktury. Publiczna dostępność PoC dodatkowo obniża próg wejścia dla mniej zaawansowanych napastników.
UnDefend zwiększa ryzyko w bardziej podstępny sposób. Jeśli Defender przestaje aktualizować sygnatury, organizacja może działać w fałszywym poczuciu bezpieczeństwa. Taka cicha degradacja ochrony zmniejsza szanse na wykrycie nowych kampanii malware, ransomware i narzędzi post-exploitation, jednocześnie wydłużając czas obecności atakującego w środowisku.
Rekomendacje
Organizacje powinny w pierwszej kolejności zweryfikować wdrożenie kwietniowych poprawek bezpieczeństwa usuwających CVE-2026-33825 oraz sprawdzić rzeczywistą wersję platformy Microsoft Defender. Sama zgodność raportowana w konsoli zarządzającej nie powinna być uznawana za wystarczający dowód pełnej ochrony.
W warstwie prewencji warto wdrożyć następujące działania:
- wymuszenie MFA dla wszystkich ścieżek zdalnego dostępu, zwłaszcza dla kont administracyjnych i VPN,
- ograniczenie uruchamiania plików wykonywalnych z katalogów zapisywalnych przez użytkownika, takich jak Downloads, Temp czy Pictures,
- monitorowanie tworzenia i uruchamiania binariów w nietypowych lokalizacjach profilu użytkownika,
- kontrolę integralności kluczowych procesów i plików Defendera,
- wdrożenie dodatkowej warstwy detekcji niezależnej od tego samego agenta endpointowego.
W warstwie detekcji zespoły SOC i IR powinny zwracać uwagę na:
- nietypowe procesy potomne uruchamiane po aktywności Defendera,
- nagłe zmiany stanu aktualizacji sygnatur lub długotrwały brak ich odświeżania,
- artefakty exploitów w profilach użytkowników,
- operacje sugerujące wyścigi plikowe i przekierowanie zapisów do uprzywilejowanych ścieżek,
- anomalie związane z TieringEngineService.exe oraz przepływami aktualizacji platformy ochronnej.
Warto także przyjąć założenie, że skuteczny atak na Defendera może być elementem etapu post-compromise. Oznacza to konieczność analizy nie tylko samego exploita, lecz również pierwotnego wektora wejścia, użytych poświadczeń, aktywności VPN i śladów ruchu bocznego.
Podsumowanie
Przypadki BlueHammer, RedSun i UnDefend pokazują, że nawet natywny komponent ochronny Windows może zostać wykorzystany przeciwko bronionej organizacji. Gdy błędy dotyczą uprzywilejowanych operacji plikowych i mechanizmów aktualizacji, skutki obejmują zarówno eskalację uprawnień, jak i cichą degradację ochrony.
Dla obrońców najważniejsze pozostają szybkie aktualizowanie systemów, niezależna weryfikacja stanu platformy ochronnej, kontrola uruchamiania plików z katalogów użytkownika oraz budowa wielowarstwowej detekcji. W praktyce kluczowe staje się założenie, że nawet zaufany mechanizm bezpieczeństwa może wymagać monitorowania jak każdy inny element infrastruktury.
Źródła
- Dark Reading — Exploits Turn Windows Defender into Attacker Tool — https://www.darkreading.com/cyberattacks-data-breaches/exploits-turn-windows-defender-attacker-tool
- NVD — CVE-2026-33825 — https://nvd.nist.gov/vuln/detail/CVE-2026-33825
- Microsoft Learn — Microsoft Defender Antivirus updates: Previous versions for technical upgrade support — https://learn.microsoft.com/en-us/defender-endpoint/msda-updates-previous-versions-technical-upgrade-support
- RadioCSIRT — Microsoft Patch Tuesday April 2026 — https://blog.marcfredericgomez.com/wp-content/uploads/2026/04/RadioCSIRT_PatchTuesday_April2026_EN.pdf
- HackMag — Microsoft Patches Over 160 Vulnerabilities, Including Two 0-Days — https://hackmag.com/news/april-2026-patches