Хакер обнародовал очередную брешь в Windows Defender — прошло меньше двух недель с тех пор, как Microsoft в срочном порядке закрыла предыдущую. Он также пригрозил начать публиковать еще более серьезные уязвимости, позволяющие удаленно выполнять код, поскольку Microsoft, по его словам, «разрушила его жизнь».
Пользователь под ником Nightmare-Eclipse выложил уже второй эксплойт для Windows Defender, дающий возможность поднять привилегии до уровня системы. Это случилось сразу после того, как Microsoft устранила первую подобную проблему.
Первая уязвимость (CVE-2026-33825, получившая 7,8 балла из 10) была закрыта Microsoft в рамках ежемесячного обновления безопасности на этой неделе.
В ответ на это хакер представил новый эксплойт под названием «RedSun», который, как и его предшественник, позволяет неавторизованному пользователю получить права SYSTEM, вмешиваясь в логику работы антивируса.
Сам «недобросовестный исследователь» объясняет свои поступки местью за действия Microsoft, которые, как он утверждает, «разрушили его жизнь». В своем блоге он также пообещал корпорации опубликовать еще более опасные эксплойты с возможностью удаленного выполнения кода (RCE).
«У меня отобрали всё. Растоптали меня и испробовали все возможные детские трюки. В какой-то момент стало настолько отвратительно, что я задумался: я имею дело с гигантской корпорацией или с кем-то, кто просто наслаждается моими страданиями? Но, видимо, это было их общее решение», — пишет Nightmare-Eclipse в своем блоге.
«Я не хотел становиться на сторону зла, но они сами провоцируют меня, вынуждая публиковать RCE-эксплойты в открытом доступе… И скоро я это сделаю. Я лично прослежу, чтобы с каждым новым патчем Microsoft ситуация становилась всё более забавной», — добавил он.
Хакеры уже активно начали использовать уязвимости во встроенном антивирусе Windows Defender от Microsoft. Об этом сообщают специалисты по поиску угроз из Huntress SOC. По данным компании, злоумышленники применяют целый набор методов эксплуатации, объединенных под общим названием «Nightmare-Eclipse», который включает такие инструменты и техники, как BlueHammer и RedSun.
Эксперты Huntress зафиксировали несколько реальных атак с участием подозрительных исполняемых файлов, размещенных в каталогах с низкими привилегиями, например, в папках «Изображения» или «Загрузки».
В ходе одного из инцидентов, зафиксированного 16 апреля, был активирован файл под названием «RedSun.exe», что привело к активации сигнатуры, соответствующей тестовому файлу EICAR. Специалисты подчеркивают, что это намеренная стратегия, применяемая киберпреступниками для тестирования работы антивирусного ПО и отработки методов эксплуатации уязвимостей без немедленного внедрения вредоносного кода.
Кроме BlueHammer и RedSun, в распоряжении хакера имеется UnDefend — уязвимость, предотвращающая обновление сигнатур Windows Defender. Иными словами, антивирус перестает распознавать новые угрозы, даже если Microsoft выпустила исправление.
В отличие от первых двух, UnDefend не предоставляет прав SYSTEM, однако оставляет систему уязвимой и неспособной обнаруживать угрозы. Это создает идеальные условия для развертывания любых вредоносных программ — от программ-вымогателей до бэкдоров. Как сообщает Huntress, данный метод уже используется в реальных атаках.
«Microsoft закрывает одну брешь — а хакер открывает две новые», — отмечают эксперты. Пока корпорация устраняет проблему повышения привилегий, злоумышленники просто полностью отключают Defender.
