W ciągu ostatnich tygodni przez społeczność bezpieczeństwa przeszła fala publikacji, które na chwilę odwróciły logikę całej branży. Microsoft Defender — narzędzie, które miało chronić Windowsa przed złośliwym oprogramowaniem — sam stał się wektorem ataku. Badacz publikujący pod pseudonimem Chaotic Eclipse ujawnił trzy zero-daye w Defenderze: BlueHammer (CVE-2026-33825), RedSun oraz UnDefend. Wszystkie trzy są już wykorzystywane w realnych atakach, a 22 kwietnia 2026 amerykańska CISA dodała BlueHammer do katalogu KEV (Known Exploited Vulnerabilities), zobowiązując federalne agencje do załatania luki do 6 maja.
Jak działa BlueHammer
Sercem ataku jest klasyczny błąd typu TOCTOU (Time-Of-Check to Time-Of-Use) w mechanizmie czyszczenia plików przez Defender. Gdy silnik ochrony w czasie rzeczywistym wykryje złośliwy plik, uruchamia rutynę leczenia z uprawnieniami SYSTEM — i to właśnie w tym oknie czasowym napastnik wbija dłuto w szczelinę.
Eksploit najpierw umieszcza w katalogu tymczasowym plik, który gwarantowanie uruchomi detekcję Defendera. Następnie, korzystając z mechanizmu batch opportunistic locks (oplocków), zamraża operację Defendera w precyzyjnym momencie pomiędzy weryfikacją ścieżki a faktycznym zapisem. W tej zatrzymanej chwili eksploit podmienia katalog na junction point NTFS, który przekierowuje docelową ścieżkę z folderu kontrolowanego przez atakującego do C:\Windows\System32. Kiedy Defender wznawia operację, zapis trafia już w nowe miejsce — z pełnymi uprawnieniami SYSTEM. Skutek: dowolny nieuprzywilejowany użytkownik może nadpisać systemowy plik binarny i wykonać kod jako SYSTEM, bez interakcji użytkownika i bez żadnego dodatkowego exploitów.
Trzy luki w trzynaście dni
BlueHammer nie jest osamotniony. W ciągu zaledwie dwóch tygodni opublikowano dwie kolejne techniki:
- RedSun — wykorzystuje sposób, w jaki Defender obsługuje pliki oznaczone jako pochodzące z chmury, do nadpisywania ścieżek systemowych.
- UnDefend — celuje w mechanizm aktualizacji Defendera, stopniowo osłabiając ochronę i prowadząc do całkowitej dezaktywacji silnika.
Huntress Labs potwierdziło wykorzystanie wszystkich trzech technik w atakach na rzeczywistych ofiarach. BlueHammer jest aktywnie używany od co najmniej 10 kwietnia 2026, a Microsoft wypuścił poprawkę dopiero w kwietniowym Patch Tuesday — pozostałe dwie luki pozostają nadal niezałatane w momencie publikacji tego tekstu.
Dlaczego ten przypadek jest groźny
Ataki tego typu mają niepokojącą właściwość: nie wymagają od ofiary niczego nietypowego. Nie potrzeba phishingu, makra w Wordzie ani pirackiej gry z dopalonym instalatorem. Wystarczy, że napastnik ma już jakikolwiek punkt zaczepienia w systemie — choćby zwykłe konto użytkownika domeny, dostęp przez RDP czy konto serwisowe — i może wspiąć się do uprawnień SYSTEM, omijając wszystkie zabezpieczenia oparte na separacji kont.
Najbardziej bolesny jest fakt, że to sam Defender wykonuje uprzywilejowaną operację zapisu. Klasyczne mechanizmy obrony (UAC, izolacja użytkowników, zasady AppLocker) nie pomagają — bo to nie napastnik pisze do System32, tylko zaufany komponent Microsoftu, podstępem zmuszony do zrobienia tego za niego. To również tłumaczy, dlaczego badacz zdecydował się opublikować PoC mimo niezakończonego procesu odpowiedzialnego ujawnienia — w geście protestu wobec sposobu, w jaki MSRC podchodziło do tematu.
Co zrobić tu i teraz
Dla administratorów Windowsa lista zadań jest krótka, ale pilna:
- Zainstaluj kwietniowy Patch Tuesday — aktualizacja oznaczona jako KB obejmująca CVE-2026-33825 łata BlueHammer. Bez niej każde stanowisko z Windows 10 lub 11 jest bezbronne.
- Aktualizuj definicje silnika Defendera (platform update) — RedSun i UnDefend są łatane na poziomie aktualizacji platformy, nie poprzez Windows Update, więc zwykła aktualizacja systemu nie wystarczy.
- Monitoruj nietypowe modyfikacje w
C:\Windows\System32oraz tworzenie junction pointów przez nieuprzywilejowane procesy. Reguły Sysmon i EDR potrafią wyłapać taki schemat. - Ogranicz lokalne konta z prawem do uruchamiania własnych programów — w środowiskach o podwyższonych wymaganiach warto rozważyć politykę WDAC lub AppLocker, blokującą uruchamianie nieautoryzowanych binarek z katalogów użytkownika.
- Nie wyłączaj Defendera „na wszelki wypadek” — z uwagi na UnDefend pojawi się pokusa, żeby przesiąść się na inny silnik. To kuszące, ale błędne; Defender po patchu jest nadal jednym z najlepszych darmowych rozwiązań na Windowsie, a wyłączanie ochrony otwiera znacznie szerszy zestaw drzwi.
Wnioski
BlueHammer jest przypomnieniem, że żadne oprogramowanie zabezpieczające nie jest święte. Antywirus, EDR, firewall — każde z nich operuje na podwyższonych uprawnieniach i każde może stać się dźwignią, jeśli zawiera błąd logiczny. Dlatego prawdziwe bezpieczeństwo nigdy nie powinno opierać się na jednym filarze: aktualizacje, segmentacja sieci, zasada minimalnych uprawnień, monitorowanie i reagowanie na anomalie muszą działać razem. Sprawa Defendera pokazuje też, jak bardzo sposób komunikacji producenta z badaczami wpływa na ostateczne ryzyko dla użytkowników — kilkutygodniowa zwłoka w odpowiedzi MSRC sprawiła, że PoC wylądował w Internecie, zanim łatka trafiła do klientów.
źródło: https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html