Súlyos kiberbiztonsági helyzet alakult ki: három, nemrég nyilvánosságra került sérülékenységet aktívan kihasználnak a Microsoft Defender ellen világszerte.
A hibákat a Huntress azonosította, és a támadók már valós környezetben is használják őket.
👉 Különösen aggasztó, hogy:
- csak egy hiba kapott javítást
- kettő továbbra is nyitott
A három sérülékenység röviden
A hibák nevei:
- BlueHammer
- RedSun
- UnDefend
👉 Ezek lehetővé teszik:
- jogosultságkiterjesztést
- védelem megkerülését
- teljes rendszerhozzáférést
Mit tudnak a támadók elérni?
A BlueHammer és RedSun:
👉 Local Privilege Escalation (LPE) hibák
Ez azt jelenti, hogy egy támadó:
- alacsony jogosultságról indul
- SYSTEM szintű hozzáférést szerez
Ez a Windows legmagasabb szintű jogosultsága.
Következmények:
- biztonsági szoftverek letiltása
- jelszavak kinyerése
- ransomware telepítése
- oldalirányú mozgás a hálózatban
- tartós hozzáférés kialakítása
- logok manipulálása
Az UnDefend hiba
Ez a sérülékenység más jellegű, de szintén kritikus.
Lehetővé teszi:
- Defender frissítések blokkolását
- vírusdefiníciók leállítását
👉 így a rendszer:
védtelen marad a támadásokkal szemben
Javítások állapota
A Microsoft:
- javította a BlueHammer hibát
- CVE-2026-33825 néven (CVSS 7.8)
❗ De:
- RedSun → nincs patch
- UnDefend → nincs patch
👉 ez veszélyes helyzet:
- exploit kód már nyilvános
- védelem még nincs teljesen kész
Már aktív támadások zajlanak
A Huntress szerint:
- április 10 → BlueHammer támadások
- április 16 → RedSun és UnDefend használata
A támadók tipikus parancsokat futtatnak:
- whoami /priv
- cmdkey /list
- net group
👉 ezekkel térképezik fel a rendszert
Miért célpont a Defender?
A Microsoft Defender:
- alapból telepítve van Windows-on
- globálisan több millió eszközön fut
👉 ezért különösen értékes célpont
Ráadásul:
- magas jogosultságokkal működik
- ha feltörik → teljes rendszer felett kontroll
Vita a nyilvánosságra hozatalról
A hibákat egy kutató publikálta:
- Chaotic Eclipse
- Nightmare-Eclipse
A lépés vitát indított:
👉 jó-e exploitot publikálni patch előtt?
Két nézőpont:
- gyorsítja a gyártói reakciót
- vagy segíti a támadókat
Mikor a legnagyobb a kockázat?
A támadás különösen veszélyes, ha már van kezdeti hozzáférés:
- phishing után
- malware futtatás után
- VPN hozzáférés megszerzése után
- belső hozzáférés esetén
👉 ilyenkor az LPE hibák:
teljes hálózati kompromittáláshoz vezethetnek
Mit kell tenni azonnal?
🔴 Kritikus lépések:
- CVE-2026-33825 azonnali telepítése
- Defender frissítések ellenőrzése
🟡 Haladó védelem:
- jogosultságkiterjesztési aktivitás figyelése
- gyanús parancsok monitorozása
- új admin fiókok keresése
- SYSTEM szintű shell-ek figyelése
🟢 Megelőzés:
- least privilege elv alkalmazása
- EDR láthatóság növelése
- naplózás és riasztások finomhangolása
Trend: a védelmi rendszerek támadás alatt
Egyre gyakoribb, hogy:
👉 nem a célrendszert támadják
👉 hanem a védelmi eszközöket
Célpontok:
- antivirus
- VPN
- backup rendszerek
- menedzsment eszközök
👉 ok: magas jogosultság + nagy hatás
Összegzés
A jelenlegi helyzet különösen veszélyes, mert:
- aktív támadások zajlanak
- exploitok elérhetők
- nincs teljes körű javítás
👉 a következő napokban:
további támadások várhatók
Ezért most:
- gyors reagálás
- folyamatos monitorozás
- proaktív védekezés
a kulcs.
