- Автор темы
- #1
Исследователь Chaotic Eclipse, ранее опубликовавший эксплоит BlueHammer для непропатченной уязвимости в Windows, продолжил свой «крестовый поход» против Microsoft и выложил еще два 0-day эксплоита для Microsoft Defender — RedSun и UnDefend. Специалисты компании Huntress уже зафиксировали эксплуатацию всех трех уязвимостей в реальных атаках.
Все три уязвимости (BlueHammer, RedSun и UnDefend) появились в открытом доступе благодаря ИБ-исследователю Chaotic Eclipse (он же Nightmare-Eclipse). Ранее мы уже рассказывали о первом эксплоите из этой серии — BlueHammer. Тогда исследователь опубликовал информацию на GitHub в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обошлись с его отчетом о проблеме.
Что именно подтолкнуло исследователя к публикации эксплоита, тогда осталось неясным. Он саркастически благодарил руководство MSRC и писал, что, в отличие от прошлых раз, не собирается объяснять, как проблема работает: «Вы, гении, сами разберетесь».
В конце прошлой недели Chaotic Eclipse вернулся с новой информацией и обнародовал еще два эксплоита — RedSun и UnDefend.
На этот раз исследователь заявил, что публикует эксплоиты в знак протеста против того, как в MSRC обращаются с ИБ-специалистами, которые сообщают об уязвимостях. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».
Если BlueHammer и RedSun представляют собой уязвимости локального повышения привилегий, позволяющие получить права уровня SYSTEM, то UnDefend работает иначе и провоцирует отказ в обслуживании, в итоге блокируя обновление баз Microsoft Defender.
Разработчики Microsoft исправили проблему BlueHammer в рамках апрельского «вторника обновлений», присвоив ей идентификатор CVE-2026-33825. Однако патчей для RedSun и UnDefend пока не существует.
Эксплоит RedSun использует особенности поведения облачной защиты Windows Defender. Как объясняет автор, когда Defender обнаруживает файл с облачным тегом, он по какой-то причине перезаписывает его в исходное расположение. PoC злоупотребляет этим поведением для перезаписи системных файлов и получения административных привилегий.
Уилл Дорманн (Will Dormann), известный ИБ-специалист и ведущий аналитик по уязвимостям в компании Tharros, подтвердил, что RedSun работает и позволяет получить права уровня SYSTEM на полностью пропатченных Windows 10, Windows 11 и Windows Server 2019.
По словам Дорманна, эксплоит использует Cloud Files API, записывает тестовый файл EICAR, выигрывает состояние гонки с теневой копией тома при помощи oplock, а затем через directory junction перенаправляет перезапись на C:\Windows\system32\TieringEngineService.exe. В итоге инфраструктура Cloud Files запускает подставленный атакующим исполняемый файл от имени SYSTEM.
Также эксперт отметил, что ряд представленных на VirusTotal антивирусов обнаруживают эксплоит благодаря встроенному в него файлу EICAR, однако шифрование строки EICAR внутри исполняемого файла снижает уровень детектирования.
Аналитики из компании Huntress предупреждают, что эксплуатация проблемы BlueHammer в реальных атаках началась 10 апреля 2026 года, а применять RedSun и UnDefend злоумышленники начали 16 апреля.
В частности, исследователи обнаружили эксплоиты UnDefend и RedSun на устройстве под управлением Windows, взломанном с помощью скомпрометированного пользователя SSLVPN. В этой атаке были замечены характерные признаки «ручной работы»: перед применением эксплоитов хакеры вручную выполняли разведывательные команды вроде whoami /priv, cmdkey /list и net group.
Представители Microsoft заявили СМИ, что компания уже расследует сообщения о проблемах с безопасностью и выпускает обновления «как можно скорее». Также в компании напомнили о приверженности принципу скоординированного раскрытия уязвимостей, при котором детали багов публикуются только после выхода исправлений.
Все три уязвимости (BlueHammer, RedSun и UnDefend) появились в открытом доступе благодаря ИБ-исследователю Chaotic Eclipse (он же Nightmare-Eclipse). Ранее мы уже рассказывали о первом эксплоите из этой серии — BlueHammer. Тогда исследователь опубликовал информацию на GitHub в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обошлись с его отчетом о проблеме.
Что именно подтолкнуло исследователя к публикации эксплоита, тогда осталось неясным. Он саркастически благодарил руководство MSRC и писал, что, в отличие от прошлых раз, не собирается объяснять, как проблема работает: «Вы, гении, сами разберетесь».
В конце прошлой недели Chaotic Eclipse вернулся с новой информацией и обнародовал еще два эксплоита — RedSun и UnDefend.
На этот раз исследователь заявил, что публикует эксплоиты в знак протеста против того, как в MSRC обращаются с ИБ-специалистами, которые сообщают об уязвимостях. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь».
Также исследователь утверждал, что в MSRC знали о готовящемся раскрытии обеих уязвимостей, но проигнорировали предупреждения. Chaotic Eclipse пригрозил, что в будущем начнет публиковать эксплоиты для удаленного выполнения кода (RCE) после каждого патча Microsoft и намерен делать каждую следующую публикацию «еще более веселой».
Если BlueHammer и RedSun представляют собой уязвимости локального повышения привилегий, позволяющие получить права уровня SYSTEM, то UnDefend работает иначе и провоцирует отказ в обслуживании, в итоге блокируя обновление баз Microsoft Defender.
Разработчики Microsoft исправили проблему BlueHammer в рамках апрельского «вторника обновлений», присвоив ей идентификатор CVE-2026-33825. Однако патчей для RedSun и UnDefend пока не существует.
Эксплоит RedSun использует особенности поведения облачной защиты Windows Defender. Как объясняет автор, когда Defender обнаруживает файл с облачным тегом, он по какой-то причине перезаписывает его в исходное расположение. PoC злоупотребляет этим поведением для перезаписи системных файлов и получения административных привилегий.
Уилл Дорманн (Will Dormann), известный ИБ-специалист и ведущий аналитик по уязвимостям в компании Tharros, подтвердил, что RedSun работает и позволяет получить права уровня SYSTEM на полностью пропатченных Windows 10, Windows 11 и Windows Server 2019.
По словам Дорманна, эксплоит использует Cloud Files API, записывает тестовый файл EICAR, выигрывает состояние гонки с теневой копией тома при помощи oplock, а затем через directory junction перенаправляет перезапись на C:\Windows\system32\TieringEngineService.exe. В итоге инфраструктура Cloud Files запускает подставленный атакующим исполняемый файл от имени SYSTEM.
Также эксперт отметил, что ряд представленных на VirusTotal антивирусов обнаруживают эксплоит благодаря встроенному в него файлу EICAR, однако шифрование строки EICAR внутри исполняемого файла снижает уровень детектирования.
Аналитики из компании Huntress предупреждают, что эксплуатация проблемы BlueHammer в реальных атаках началась 10 апреля 2026 года, а применять RedSun и UnDefend злоумышленники начали 16 апреля.
В частности, исследователи обнаружили эксплоиты UnDefend и RedSun на устройстве под управлением Windows, взломанном с помощью скомпрометированного пользователя SSLVPN. В этой атаке были замечены характерные признаки «ручной работы»: перед применением эксплоитов хакеры вручную выполняли разведывательные команды вроде whoami /priv, cmdkey /list и net group.
Представители Microsoft заявили СМИ, что компания уже расследует сообщения о проблемах с безопасностью и выпускает обновления «как можно скорее». Также в компании напомнили о приверженности принципу скоординированного раскрытия уязвимостей, при котором детали багов публикуются только после выхода исправлений.