Як нові експлойти ламають захист Windows Defender

Дослідник під псевдонімом Nightmare-Eclipse публічно оприлюднив сценарії експлуатації після невдалих спроб повідомити експертам розробника про проблеми.

Один із них, названий BlueHammer, був використаний як уразливість нульового дня проти простору CVE-2026-33825. Це вразливість типу TOCTOU (різниця між часом перевірки та часом використання) у системі оновлення сигнатур антивірусу.

Зловмисник використовує race condition, перенаправляючи перезапис підозрілого файлу в іншу локацію. Це дозволяє отримати системний доступ без маніпуляцій із ядром.

У квітневому оновленні безпеки 2026 року Microsoft випустила патч, який нейтралізує загрозу BlueHammer. Водночас він не усуває ризики, пов’язані з іншими сценаріями — RedSun та UnDefend.;

RedSun працює за схожим принципом, але фокусується на процесі TieringEngineService.exe, який класифікує виявлені файли. Для запуску вразливості достатньо використати стандартний тестовий рядок EICAR.

Коли система виявляє цей рядок, запускається цикл виправлення. У цей момент інструмент перехоплює процес і дозволяє виконати закладений код із правами SYSTEM.

Атака успішно працює навіть в оновлених середовищах Windows 10, Windows 11 та Windows Server 2019.

UnDefend, зі свого боку, застосовується вже після отримання початкового доступу. Він позбавляє інструмент захисту актуальної інформації про загрози, не спричиняючи критичних помилок. У результаті на панелі керування відображається хибний статус повністю справної системи.

Незалежні фахівці фіксують цілеспрямовану активність кіберзловмисників, у межах якої ці експлойти використовуються під час скоординованих вторгнень.

Після проникнення подальші дії в системі виконуються вручну: шкідливі файли розміщують у малопомітних користувацьких директоріях, наприклад у папках завантажень або зображень. Вони зберігають оригінальні назви або отримують лише незначно змінений формат, що суттєво ускладнює їх виявлення іншими засобами захисту.

Керівник відділу досліджень безпеки Picus Security Хюсейн Джан Юджель зазначає, що ці інструменти застосовуються з мінімальними модифікаціями. Такий вектор атаки є відносно простим, але дуже результативним: він демонструє, як навіть нападники із середнім рівнем підготовки можуть ефективно використовувати публічно доступний код.

Фундаментальна проблема полягає в тому, що базовий антивірус перебуває всередині тієї самої межі довіри, яку намагається захищати. Перехоплення його робочих процесів перетворює лінію безпеки на механізм доставлення загроз.

Для протидії організаціям насамперед необхідно встановити актуальні оновлення операційної системи та підтвердити використання версії платформи Antimalware 4.18.26050.3011. Оскільки початковий доступ часто здобувається через скомпрометовані VPN-облікові записи без багатофакторної автентифікації, обов’язковим кроком є налаштування та застосування MFA.

Крім того, бізнесу варто додати незалежний експертний рівень виявлення загроз, який не поділяє спільної межі довіри з кінцевим агентом. Саме в цьому контексті рішення Picus Security на базі технології Breach and Attack Simulation (BAS) допомагають організаціям безпечно перевіряти ефективність наявних засобів захисту, моделювати реальні техніки атак і виявляти прогалини до того, як ними скористаються зловмисники.

Виявлені вразливості у процесах захисту операційної системи чітко показують, що кіберзловмисники можуть ефективно компрометувати базові корпоративні інструменти. Загрози такого характеру вимагають повноцінного переходу до методології Zero Trust та організації ешелонованої оборони з додатковим ізольованим моніторингом.

Компанія iIT Distribution працює як офіційний дистриб’ютор передових рішень з кібербезпеки, зокрема Picus Security, та допомагає партнерам масштабувати надійні інфраструктурні архітектури. Команда експертів iITD забезпечує професійне консультування, підбір технологій і експертну підтримку безпекових проєктів на кожному етапі їх реалізації.