Microsoft разрушили его жизнь
Хакер, известный под псевдонимом Nightmare-Eclipse, опубликовал уже второй эксплойт для Windows Defender, который позволяет повысить привилегии до системного уровня. Это произошло сразу после того, как Microsoft исправила первую такую уязвимость.
Первая уязвимость (CVE-2026-33825, оцененная в 7,8 балла из 10) была исправлена Microsoft в рамках «вторника исправлений» на этой неделе.
В ответ на это хакер выпустил новый эксплойт под названием «RedSun», который, как и его предшественник, позволяет неавторизованному пользователю получить права SYSTEM, манипулируя логикой работы антивируса.
Сам «недобросовестный исследователь» объясняет свои действия местью на действия Microsoft, которые, по его словам, «разрушили его жизнь». В своем блоге он также пригрозил корпорации публикацией еще более опасных эксплойтов, позволяющих удаленно выполнять код (RCE).
«Они отобрали все подчистую. Смешали меня с грязью и перепробовали все детские уловки, какие только можно. В какой-то момент стало так паршиво, что я начал сомневаться: я имею дело с огромной корпорацией или с кем-то, кто просто наслаждается моими мучениями? Но, похоже, это было их общее решение» — пишет Nightmare-Eclipse в своем блоге.
«Я не хотел становиться на сторону зла, но они сами нарываются, вынуждая меня выкладывать RCE-эксплойты в публичный доступ… И скоро я начну это делать. Я лично позабочусь о том, чтобы с каждым новым патчем Microsoft ситуация становилась все забавнее и забавнее», — добавил он.
Должен был защищать, но…
Хакеры уже начали активно использовать уязвимости во встроенном в ОС от Microsoft антивирусе Windows Defender. Сообщают специалисты по поиску угроз из Huntress SOC. По данным компании, злоумышленники применяют целый набор методов эксплуатации, объединенных под общим названием «Nightmare-Eclipse», в который входят такие инструменты и техники, как BlueHammer и RedSun.
Эксперты Huntress зафиксировали несколько реальных атак с участием подозрительных исполняемых файлов, размещенных в каталогах с низкими привилегиями, например, в папках «Изображения» или «Загрузки».
В одном из инцидентов, произошедших 16 апреля, был запущен файл с именем «RedSun.exe», что вызвало срабатывание сигнатуры, связанной с тестовым файлом EICAR. Исследователи отмечают, что это сознательная тактика, используемая злоумышленниками для проверки реакции антивируса и отработки путей эксплуатации уязвимости без немедленного развертывания вредоносной нагрузки.
Помимо BlueHammer и RedSun, в арсенале хакера есть UnDefend — уязвимость, которая блокирует обновление сигнатур Windows Defender. Проще говоря, антивирус перестает видеть новые угрозы, даже если Microsoft выпустила патч.
В отличие от первых двух, UnDefend не дает права SYSTEM, но делает систему слепой. А это уже идеальная почва для развертывания любых вредоносных программ — от шифровальщиков до бэкдоров. И, по данным Huntress, этот метод уже применяется в реальных атаках.
«Microsoft затыкает одну дыру — а хакер открывает две новые», — комментируют эксперты. Пока корпорация разбирается с повышением привилегий, злоумышленники просто отключают Defender на корню.
Поделиться
