Microsoft Defender стал вектором атаки — RedSun и UnDefend эксплуатируются без патча
Исследователь слил PoC трёх Windows zero-day после конфликта с MSRC. Huntress уже фиксирует BlueHammer, RedSun и UnDefend в атаках — два бага Microsoft пока не запатчила. Разбираем, что делать сейчас.
Новости Tproger
Если у вас в инфраструктуре есть Windows 10, Windows 11 или Windows Server 2019+ с включённым Microsoft Defender — установите апрельские обновления и включите Attack Surface Reduction прямо сейчас: два из трёх слитых Windows zero-day эксплуатируются в реальных атаках и дают SYSTEM-привилегии, а патчей от Microsoft пока нет.
17 апреля 2026 года исследователи Huntress Labs сообщили в своём отчёте, что эксплойты BlueHammer, RedSun и UnDefend, слитые в сеть в начале месяца анонимным исследователем под ником Nightmare-Eclipse, теперь применяются в живых кибератаках. По данным BleepingComputer, BlueHammer атакуют с 10 апреля, а RedSun и UnDefend зафиксированы на устройстве, скомпрометированном через учётку SSLVPN — с признаками hands-on-keyboard-атаки (ручное управление оператором, а не автоматический скрипт).
Ключевые выводы
Что произошло с Windows Defender в апреле 2026
Три эксплойта, два без патча, реальная эксплуатация
- BlueHammer — LPE (локальное повышение привилегий) в Microsoft Defender, получил CVE-2026-33825 и запатчен в апрельском Patch Tuesday. Эксплуатируется с 10 апреля 2026 года.
- RedSun — даёт SYSTEM-привилегии через обход cloud-tag-механизма Defender, работает на Windows 10, 11 и Server 2019+ даже после установки апрельских обновлений.
- UnDefend — позволяет обычному пользователю блокировать обновления сигнатур Defender, оставляя систему с устаревшей защитой.
- PoC-код (proof-of-concept, пример рабочего эксплойта) всех трёх уязвимостей публично доступен, Huntress фиксирует использование в живых атаках.
- Microsoft пока не выпустила патчи для RedSun и UnDefend, сроки не анонсированы.
Три zero-day в Microsoft Defender — что внутри
Все три бага находятся в Microsoft Defender — штатном антивирусе Windows, который установлен на миллионах машин по умолчанию. Парадокс уязвимостей в том, что атакующий использует сам механизм защиты: превращает Defender в инструмент для повышения привилегий или отключения собственных обновлений.
BlueHammer (CVE-2026-33825) — запатчен в апреле, эксплуатировался до патча
Local privilege escalation (локальное повышение привилегий) в Microsoft Defender. Microsoft выпустила патч в составе апрельского Patch Tuesday — 14 апреля 2026 года. Huntress зафиксировал эксплуатацию в атаках с 10 апреля — то есть за четыре дня до того, как вышло официальное исправление. На момент этих атак BlueHammer был полноценным zero-day без публичного патча.
RedSun — обход cloud-tag-механизма Defender
Самая опасная из трёх. Microsoft Defender при проверке файла сверяется с облачным сервисом репутации — cloud tag. Если вердикт помечает файл как вредоносный, антивирус отправляет его в карантин. Но в механизме реакции есть баг: при определённых условиях Defender не просто удаляет заражённый файл, а пытается «восстановить» его из облачного бэкапа обратно по исходному пути. PoC RedSun манипулирует путём восстановления так, чтобы Defender перезаписал системный файл Windows содержимым, подконтрольным атакующему. Запись идёт от процесса Defender, который работает с правами SYSTEM — поэтому обычный пользователь получает полные административные привилегии.
RedSun работает на Windows 10, Windows 11 и Windows Server 2019 и новее. Патча от Microsoft нет — даже после применения апрельских обновлений эксплойт продолжает работать.
UnDefend — блокировка обновлений Defender
Не про привилегии, а про «ослепление» защиты. UnDefend позволяет обычному пользователю (не админу) заблокировать обновление сигнатур и определений Windows Defender. Это значит, что после эксплуатации антивирус продолжает работать, но постепенно устаревает и перестаёт ловить новые угрозы. Идеальная подготовка почвы для последующих атак.
Хронология утечки и атак
- Начало апреля 2026 — анонимный исследователь Nightmare-Eclipse (он же Chaotic Eclipse) публикует PoC всех трёх уязвимостей в знак протеста против того, как Microsoft Security Response Center (MSRC) обработал процесс раскрытия.
- 10 апреля 2026 — Huntress фиксирует первые попытки эксплуатации BlueHammer в реальных атаках. На этот момент патча от Microsoft ещё нет, это полноценный zero-day.
- 14 апреля 2026 — Microsoft выпускает апрельский Patch Tuesday, в котором BlueHammer получает CVE-2026-33825 и исправление. RedSun и UnDefend остаются без патча.
- 16—17 апреля 2026 — на устройстве, взломанном через учётку SSLVPN, обнаружены эксплойты UnDefend и RedSun. Активность имеет признаки «hands-on-keyboard» — ручного управления оператором, а не автоматической малвари.
- 17 апреля 2026 — Huntress публикует отчёт, BleepingComputer распространяет новость.
Что делать прямо сейчас
Универсального патча для RedSun и UnDefend нет. Ниже — шесть митигаций, первые три закрывают основной вектор атаки и должны быть сделаны прямо сейчас. Остальные — желательны, но не критичны, если первые три уже настроены.
- [Обязательно] Установите апрельский Patch Tuesday — это закрывает BlueHammer (CVE-2026-33825). Актуально для всех поддерживаемых Windows.
- [Обязательно] Включите Attack Surface Reduction (ASR) в Windows Defender — правила, которые блокируют типовые техники эксплуатации даже без патча на конкретный CVE. Минимальный набор — правила блокировки создания дочерних процессов Office-приложениями и запуска исполняемых файлов из писем.
- [Обязательно] Проверьте журналы SSLVPN и RDP на признаки компрометации за последние две недели. Huntress указывает: эксплойты пришли именно через скомпрометированные учётки удалённого доступа. Конкретные сигналы — входы в нерабочие часы, логины с новых IP и ASN, серии неуспешных попыток перед успешным входом, одновременные сессии с разных географий.
- [Желательно] Ограничьте модификацию системных файлов через Windows Defender Application Control (WDAC) или AppLocker — это снизит эффективность RedSun.
- [Желательно] Настройте мониторинг обновлений сигнатур Defender — UnDefend блокирует их незаметно, и машина считается защищённой, хотя новые угрозы уже не ловятся.
- [Желательно] Рассмотрите EDR (Endpoint Detection and Response, решения для обнаружения и реагирования на угрозы) третьих сторон — если ваш SOC зависит только от Defender, на текущий момент это single point of failure (единая точка отказа).
Почему исследователь слил всё публично
Nightmare-Eclipse в предыдущем комментарии BleepingComputer объяснил публикацию PoC как протест против практик MSRC: по его словам, Microsoft затягивала с исправлениями и не реагировала на репорты в приемлемые сроки. Позиция Microsoft противоположная.
Microsoft имеет обязательство перед клиентами расследовать заявленные проблемы безопасности и обновлять затронутые устройства для защиты пользователей как можно быстрее. Мы также поддерживаем скоординированное раскрытие уязвимостей — широко принятую индустриальную практику, которая помогает гарантировать, что проблемы тщательно исследуются и устраняются до публичного раскрытия, что служит и защите клиентов, и сообществу исследователей безопасности.
Независимо от того, кто прав в этом конкретном конфликте, практический результат одинаковый для всех админов: публичный PoC плюс медленная реакция вендора равно эксплуатация в атаках за считаные дни.
FAQ
Какие версии Windows уязвимы к RedSun?
По описанию исследователя и подтверждению BleepingComputer — Windows 10, Windows 11 и Windows Server 2019 и новее, с включённым Microsoft Defender. Конкретный список сборок Microsoft пока не публиковала, так как патча нет.
Защитит ли сторонний антивирус?
RedSun и UnDefend эксплуатируют логику именно Microsoft Defender — если на машине установлен сторонний EDR и Defender полностью отключён (сервис WinDefend в состоянии Disabled), эти два эксплойта не применимы. BlueHammer — CVE в коде Defender, и до апрельского патча процесс MsMpEng.exe оставался уязвимым даже в режиме пассивной защиты. После установки апрельского Patch Tuesday BlueHammer закрыт.
Как понять, что моя система скомпрометирована?
Проверьте логи обновлений Defender (Event Viewer → Applications and Services Logs → Microsoft → Windows → Windows Defender): отсутствие свежих обновлений сигнатур при наличии сети — тревожный сигнал UnDefend. Для RedSun отслеживайте необычную перезапись системных файлов и процессы с SYSTEM-правами, стартовавшие от пользовательских сессий. Huntress в своём отчёте обещает опубликовать IoC (indicators of compromise, индикаторы компрометации) отдельно.
Когда Microsoft выпустит патч для RedSun и UnDefend?
Официальный срок не объявлен. По стандартному циклу Microsoft следующий Patch Tuesday — 12 мая 2026 года (второй вторник месяца). Возможны внеплановые обновления, если эксплуатация станет массовой.
Это опасно для домашних пользователей?
Прямой риск ниже, чем для корпоративных сетей: BlueHammer и RedSun требуют локального доступа, а UnDefend — возможности выполнить код от пользователя. Но если на вашем домашнем ПК уже установлена малварь с ограниченными правами, RedSun позволит ей мгновенно получить SYSTEM. Держите Defender обновлённым и установите апрельский Patch Tuesday.
Итог
Конфликт между исследователем и MSRC превратился в реальные атаки на инфраструктуру. Для администраторов главное — не ждать следующего Patch Tuesday молча, а закрыть то, что можно закрыть сейчас: апрельские обновления, ASR-правила и проверку журналов удалённого доступа. RedSun и UnDefend — это не теоретические угрозы, это инструменты, которые уже используют для закрепления на скомпрометированных машинах.
Источники: BleepingComputer, Huntress Labs, Microsoft Security Update Guide (CVE-2026-33825).
