O vulnerabilitate de escaladare a privilegiilor în Microsoft Defender, dezvăluită recent, a fost exploatată în mediul real ca zero-day, folosind un proof-of-concept (PoC) disponibil public, potrivit BleepingComputer.
Zero-day (cunoscut și sub numele de 0-day) este o vulnerabilitate a unui software care, de regulă, este necunoscută furnizorului și pentru care nu există încă un patch sau altă soluție. În ciuda eforturilor dezvoltatorilor de a livra produse care funcționează conform specificațiilor, aproape toate programele și componentele hardware conțin erori. Unele dintre acestea afectează securitatea sistemului și sunt considerate vulnerabilități. Deși exploatările de tip zero-day stau la baza unei minorități de atacuri cibernetice, ele sunt considerate mai periculoase decât vulnerabilitățile cunoscute, deoarece există mai puține contramăsuri disponibile.
Remediată pe 14 aprilie, problema este înregistrată sub numărul CVE-2026-33825 (scor CVSS de 7,8) și a primit denumirea de BlueHammer. Microsoft o descrie ca o eroare de escaladare a privilegiilor cauzată de granularitatea insuficientă a controlului accesului.
Agenția pentru Securitate Cibernetică și Infrastructură (CISA) din SUA a adăugat BlueHammer în catalogul său de vulnerabilități exploatate cunoscute (KEV), acordând agențiilor din cadrul Ramurii Executive Civile Federale (FCEB) un termen de două săptămâni pentru a remedia problema sau a înceta complet utilizarea software-ului vulnerabil.
Aceasta a fost dezvăluită pentru prima dată la începutul lunii aprilie a acestui an de un cercetător în domeniul securității aparent nemulțumit, cu pseudonimul „Chaotic Eclipse”. Acesta a publicat vulnerabilitatea pe blogul său ca o vulnerabilitate zero-day, la momentul respectiv, deoarece nu era mulțumit de modul în care Microsoft gestionează dezvăluirile de vulnerabilități.
„Nu am blufat cu Microsoft…”, a spus acesta, înainte de a partaja un depozit GitHub pentru BlueHammer.
Microsoft a răspuns afirmând că are „angajamentul față de clienți de a investiga problemele de securitate raportate și de a actualiza dispozitivele afectate pentru a proteja clienții cât mai curând posibil”.
„De asemenea, susținem divulgarea coordonată a vulnerabilităților, o practică larg adoptată în industrie care ajută la asigurarea faptului că problemele sunt investigate și rezolvate cu atenție înainte de divulgarea publică, sprijinind atât protecția clienților, cât și comunitatea de cercetare în domeniul securității”, a declarat Microsoft.
BlueHammer se bazează pe blocări de operațiuni (oplocks) pentru a suspenda funcționarea Defender și pe declanșarea unei actualizări de semnături pentru a păcăli Defender să copieze baza de date Security Account Manager (SAM) în directorul său de ieșire.
BlueHammer analizează apoi structura SAM, decriptează hash-urile NT ale utilizatorilor, schimbă temporar toate parolele utilizatorilor cu una nouă și folosește noua parolă pentru a genera sesiuni de administrator care pot fi folosite pentru a obține permisiuni de sistem.
O săptămână mai târziu, același cercetător a dezvăluit încă o vulnerabilitate zero-day în Microsoft Defender. Aceasta, numită RedSun, este descrisă ca o vulnerabilitate de escaladare a privilegiilor locale care permite actorilor rău intenționați să obțină privilegii de sistem în cele mai recente versiuni de Windows 10, Windows 11 și Windows Server, unde Defender este activat.
De asemenea, a fost dezvăluită o a treia vulnerabilitate, numită UnDefend, care aparent poate fi exploatată de un utilizator standard pentru a bloca actualizările definițiilor Defender.
RedSun funcționează la fel ca BlueHammer, dar se bazează pe rescrierea fișierelor critice de sistem pentru a obține privilegii de sistem. Acesta păcălește Defender să încerce să restaureze un „fișier rău intenționat” inexistent pentru a plasa o copie a sa în directorul System32, apoi generează un fișier cu permisiuni de sistem.
UnDefend blochează Defender prin blocarea fișierelor de definiții. Pentru aceasta, monitorizează modificările aduse actualizărilor de definiții și folderelor instrumentului de eliminare a software-ului rău intenționat de la Microsoft pentru a bloca fișierele noi înainte ca Defender să le poată utiliza și blochează fișierele de definiții de rezervă imediat după pornirea Defender.
În același timp, cercetătorii în securitate cibernetică de la Huntress Labs au declarat că au observat actori rău intenționați care abuzează de aceste vulnerabilități în mediul real.
„Activitatea părea, de asemenea, să facă parte dintr-o intruziune mai amplă, mai degrabă decât dintr-un test izolat de tip proof-of-concept (PoC)”, a declarat compania de securitate cibernetică într-un raport. „Huntress a identificat accesuri suspecte la VPN-ul SSL FortiGate legate de mediul compromis, inclusiv o adresă IP sursă geolocalizată în Rusia, cu infrastructură suspectă suplimentară observată în alte regiuni.”
About the Author
