Eksploity przeciw Microsoft Defender pozwalają eskalować uprawnienia i osłabiać ochronę systemów Windows - Security Bez Tabu

Eksploity przeciw Microsoft Defender pozwalają eskalować uprawnienia i osłabiać ochronę systemów Windows

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft Defender jest domyślnym mechanizmem ochronnym w wielu środowiskach Windows, dlatego wszelkie błędy w jego uprzywilejowanych komponentach mają szczególnie wysoką wartość dla atakujących. Najnowsze analizy pokazują, że określone techniki eksploatacji mogą odwrócić rolę tego rozwiązania i wykorzystać jego zaufane procesy do przejęcia wyższych uprawnień lub osłabienia skuteczności ochrony.

Problem dotyczy trzech publicznie opisanych metod: BlueHammer, RedSun oraz UnDefend. Dwie pierwsze są kojarzone z eskalacją uprawnień do poziomu SYSTEM, natomiast trzecia pozwala na stopniowe pogarszanie zdolności Defendera do skutecznego aktualizowania i egzekwowania ochrony.

W skrócie

  • BlueHammer wykorzystuje warunek wyścigu w mechanizmie aktualizacji sygnatur i został powiązany z CVE-2026-33825.
  • RedSun ma umożliwiać eskalację uprawnień poprzez nadużycie procesu klasyfikacji i remediacji plików.
  • UnDefend nie służy bezpośrednio do podniesienia uprawnień, ale może cicho osłabiać skuteczność ochrony endpointu.
  • Zaobserwowane użycie tych technik dotyczy głównie działań po uzyskaniu wstępnego dostępu do systemu.
  • Dla organizacji kluczowe znaczenie mają szybkie aktualizacje, kontrola wykonywania plików i niezależne mechanizmy monitoringu.

Kontekst / historia

Publiczne informacje wskazują, że zestaw exploitów został udostępniony po nieudanej próbie odpowiedzialnego ujawnienia. W krótkim czasie po publikacji techniki zaczęły być analizowane nie tylko w środowiskach testowych, ale również w realnych incydentach bezpieczeństwa.

Charakter tych incydentów sugeruje raczej działania ukierunkowane niż masowe kampanie automatyczne. Operatorzy po uzyskaniu dostępu do zwykłego konta użytkownika prowadzili rozpoznanie lokalne, sprawdzali kontekst uprawnień i uruchamiali potrzebne narzędzia z katalogów użytkownika, aby ograniczyć widoczność operacyjną. Taki model działania wskazuje na wykorzystanie exploitów głównie na etapie post-compromise.

Analiza techniczna

BlueHammer jest opisywany jako podatność typu TOCTOU, czyli time-of-check to time-of-use. W praktyce oznacza to sytuację, w której system najpierw sprawdza obiekt lub ścieżkę, a następnie wykonuje operację w późniejszym momencie, pozostawiając krótkie okno czasowe na manipulację. Jeśli atakujący wygra taki wyścig, może przekierować zapis lub modyfikację do kontrolowanej lokalizacji i doprowadzić do wykonania operacji z uprawnieniami SYSTEM.

RedSun ma działać według podobnego schematu, ale koncentruje się na procesie odpowiedzialnym za klasyfikację i priorytetyzację wykrytych plików oraz zagrożeń. Według opublikowanych analiz aktywacja ścieżki podatnej może nastąpić nawet z użyciem testowego ciągu EICAR, powszechnie wykorzystywanego do sprawdzania działania silników antywirusowych. Następnie exploit ponownie wykorzystuje warunek wyścigu, aby podstawić obiekt kontrolowany przez napastnika i doprowadzić do wykonania własnego kodu z wysokimi uprawnieniami.

UnDefend różni się celem operacyjnym. Nie koncentruje się na natychmiastowej eskalacji uprawnień, lecz na obniżeniu skuteczności warstwy ochronnej po wcześniejszym przejęciu systemu. Technika ingeruje w proces aktualizacji sygnatur i mechanizmy raportowania, przez co endpoint może wyglądać na poprawnie chroniony, mimo że bieżąca inteligencja o zagrożeniach nie jest skutecznie dostarczana.

Wspólnym elementem wszystkich trzech scenariuszy jest nadużycie zaufania do uprzywilejowanych operacji wejścia/wyjścia wykonywanych przez komponent bezpieczeństwa. Gdy zaufany proces operuje z wysokimi uprawnieniami bez pełnej walidacji ścieżek, blokad i kontekstu wykonania, sam staje się atrakcyjnym wektorem ataku.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość uzyskania uprawnień SYSTEM bez konieczności sięgania po exploit jądra czy klasyczne błędy korupcji pamięci. To znacząco upraszcza działania napastnika po kompromitacji, umożliwiając trwałe osadzenie się w systemie, dostęp do wrażliwych zasobów, obchodzenie zabezpieczeń i przygotowanie gruntu pod dalszy ruch boczny.

Ryzyko szczególnie rośnie tam, gdzie atakujący może najpierw zdobyć lokalny dostęp do zwykłego konta użytkownika, na przykład przez przejęte dane logowania, słabo chroniony zdalny dostęp lub brak uwierzytelniania wieloskładnikowego. W takim scenariuszu publicznie dostępne proof-of-concepty obniżają próg wejścia także dla mniej zaawansowanych operatorów.

Dodatkowym zagrożeniem jest cicha degradacja detekcji. Jeśli organizacja polega wyłącznie na natywnych wskaźnikach stanu, może przez pewien czas funkcjonować w błędnym przekonaniu, że ochrona działa prawidłowo. To zwiększa szansę powodzenia kolejnych etapów ataku, w tym kradzieży danych, wdrożenia ransomware lub długotrwałej obecności intruza w środowisku.

Rekomendacje

Priorytetem powinno być niezwłoczne wdrożenie dostępnych aktualizacji bezpieczeństwa oraz potwierdzenie rzeczywistej wersji platformy antymalware na stacjach roboczych i serwerach. Nie należy opierać oceny wyłącznie na widoku kondycji prezentowanym przez konsolę zarządzającą.

Organizacje powinny założyć, że problem ma szerszy charakter niż pojedyncza poprawka. RedSun i UnDefend wskazują na klasę słabości związaną z walidacją ścieżek, warunkami wyścigu oraz nadmiernym zaufaniem do operacji wykonywanych przez uprzywilejowane procesy ochronne.

  • Wymusić MFA dla wszystkich kanałów zdalnego dostępu, zwłaszcza VPN i interfejsów administracyjnych.
  • Zablokować wykonywanie plików z katalogów zapisywalnych przez użytkownika, takich jak Downloads, Pictures i Temp.
  • Monitorować nietypowe procesy potomne oraz uruchamianie binariów z profili użytkowników.
  • Objąć krytyczne pliki i usługi ochronne monitoringiem integralności.
  • Wdrożyć niezależną warstwę detekcji, która nie współdzieli tej samej granicy zaufania co lokalny agent ochronny.
  • Analizować oznaki ręcznej aktywności po kompromitacji, w tym enumerację uprawnień i próby manipulacji komponentami Defendera.

Podsumowanie

BlueHammer, RedSun i UnDefend pokazują, że nawet natywne mechanizmy bezpieczeństwa mogą stać się narzędziem ataku, jeśli intruz potrafi przejąć kontrolę nad uprzywilejowanymi workflowami plikowymi i aktualizacyjnymi. Nie chodzi więc wyłącznie o pojedynczy błąd, ale o szerszy problem architektoniczny związany z bezpieczeństwem zaufanych procesów działających z wysokimi uprawnieniami.

Dla zespołów bezpieczeństwa najważniejsze pozostają trzy filary: szybkie aktualizowanie środowiska, ograniczanie możliwości uzyskania wstępnego dostępu oraz stosowanie niezależnych mechanizmów detekcji i kontroli integralności. W realiach, w których publiczny exploit może szybko przejść z laboratorium do prawdziwych włamań, tempo reakcji i wielowarstwowa obrona pozostają kluczowe.

Źródła

  1. Dark Reading — Exploits Turn Windows Defender Into Attacker Tool — https://www.darkreading.com/cyberattacks-data-breaches/exploits-turn-windows-defender-attacker-tool
  2. Huntress — Nightmare-Eclipse Tooling Seen in Real-World Intrusion — https://www.huntress.com/blog/nightmare-eclipse-intrusion
  3. National Vulnerability Database — CVE-2026-33825 — https://nvd.nist.gov/vuln/detail/CVE-2026-33825