Хакер обнародовал вторую брешь в Windows Defender спустя менее двух недель после того, как Microsoft в срочном порядке закрыла первую. Он также грозит начать публиковать еще более серьезные уязвимости удаленного выполнения кода, утверждая, что корпорация «разрушила его жизнь».
Исследователь, действующий под псевдонимом Nightmare-Eclipse, выложил уже второй эксплойт для Windows Defender, дающий возможность повысить привилегии до уровня системы. Это случилось вскоре после того, как Microsoft устранила первую подобную уязвимость.
Первая уязвимость (CVE-2026-33825, оцененная в 7,8 балла из 10) была закрыта Microsoft в рамках ежемесячного обновления безопасности на этой неделе.
В ответ на это хакер представил новый эксплойт под названием «RedSun», который, как и его предшественник, позволяет неавторизованному пользователю получить права SYSTEM, воздействуя на логику работы антивирусного программного обеспечения.
Сам «недобросовестный исследователь» объясняет свои поступки желанием отомстить Microsoft за то, что, по его словам, «полностью разрушило его существование». В своем блоге он также пригрозил компании публикацией еще более опасных эксплойтов, позволяющих удаленно выполнять код (RCE).
«Они отняли у меня всё. Смешали с грязью и испробовали все возможные детские трюки. В какой-то момент мне стало настолько плохо, что я засомневался: я имею дело с огромной корпорацией или с кем-то, кто просто получает удовольствие от моих страданий? Но, похоже, это было их общее решение», — пишет Nightmare-Eclipse в своем блоге.
«Я не хотел становиться на сторону зла, но они сами провоцируют меня, заставляя выкладывать RCE-эксплойты в открытый доступ… И скоро я начну это делать. Я лично прослежу, чтобы с каждым новым патчем Microsoft ситуация становилась всё более забавной», — добавил он.
Хакеры уже активно начали использовать уязвимости во встроенном в ОС от Microsoft антивирусе Windows Defender. Об этом сообщают специалисты по поиску угроз из Huntress SOC. По данным компании, злоумышленники применяют целый набор методов эксплуатации, объединенных под общим названием «Nightmare-Eclipse», в который входят такие инструменты и техники, как BlueHammer и RedSun.
Эксперты Huntress зафиксировали несколько реальных атак с участием подозрительных исполняемых файлов, размещенных в каталогах с низкими привилегиями, например, в папках «Изображения» или «Загрузки».
16 апреля, в ходе одного из инцидентов, был активирован файл под названием «RedSun.exe», что привело к активации сигнатуры, соответствующей тестовому файлу EICAR. Специалисты подчеркивают, что это намеренная стратегия злоумышленников, применяемая для оценки реакции антивирусного ПО и отработки путей эксплуатации уязвимости без непосредственного внедрения вредоносного кода.
В дополнение к BlueHammer и RedSun, в распоряжении хакеров имеется UnDefend — уязвимость, препятствующая обновлению сигнатур Windows Defender. Иными словами, антивирус перестает распознавать новые угрозы, даже если Microsoft уже выпустила соответствующее исправление.
В отличие от двух предыдущих методов, UnDefend не предоставляет привилегии SYSTEM, однако делает систему уязвимой. А это создает идеальные условия для внедрения любых вредоносных программ — от программ-шифровальщиков до бэкдоров. Как сообщает Huntress, данная техника уже используется в реальных атаках.
«Microsoft закрывает одну брешь — а хакер находит две новые», — отмечают аналитики. Пока корпорация занимается устранением проблем с повышением привилегий, злоумышленники просто отключают Defender на корню.
