Ключевые выводы
- Хакеры уже используют минимум одну из трёх уязвимостей Windows — BlueHammer, UnDefend и RedSun.
- BlueHammer был быстро исправлен Microsoft, а UnDefend и RedSun остаются без патча.
- Раскрытие кода эксплойтов исследователем «Chaotic Eclipse» привело к «полному раскрытию», позволяющему киберпреступникам быстро собрать инструменты атаки.
- Уязвимости затрагивают Windows Defender, давая злоумышленникам административный доступ.
- Эксперты советуют ускоренно обновлять системы и применять дополнительные слои защиты.
Недавно опубликованный код эксплойтов создал «идеальный набор» для хакеров. Мы рассмотрим, как это случилось, какие риски уже есть и что сделать, чтобы система оставалась в безопасности.
Что случилось: три уязвимости и их публичный код
В конце апреля компания Huntress в серии постов в X объявила, что обнаружила активное использование хакерами трех уязвимостей в Windows — BlueHammer, UnDefend и RedSun. Все они позволяют обойти защиту Windows Defender и получить права администратора.
BlueHammer (CVE‑2026‑33825) уже получило исправление от Microsoft в начале недели. Оставшиеся два багa – UnDefend и RedSun – пока не имеют официальных патчей.
Код эксплойтов появился в открытом доступе благодаря исследователю, известному под псевдонимом Chaotic Eclipse. В начале месяца он опубликовал «proof‑of‑concept» для уязвимости, которая ещё не была исправлена, а спустя несколько дней добавил код для UnDefend и RedSun.
Эти репозитории находятся на GitHub (Nightmare‑Eclipse) и уже получили широкое распространение среди киберпреступных групп.
Полное раскрытие: как работает механизм
Обычно исследователь сообщает о баге в Microsoft Security Response Center (MSRC). После проверки выпускается патч, а детали раскрываются позже. В случае Chaotic Eclipse процесс прервался: автор публично обнародовал детали и код, ссылаясь на «конфликт с Microsoft».
Это называется полным раскрытием – уязвимость сразу попадает в открытый доступ, а киберпреступники получают «готовый» инструмент. По словам Джона Хаммонда из Huntress, «это создаёт гонку между защитниками и атакующими».
Код эксплойтов позволяет обойти защиту Windows Defender, установить собственный драйвер, а затем выполнить команды с привилегиями SYSTEM, то есть полным административным доступом.
Почему это важно для обычных пользователей и компаний
Windows Defender установлен на большинстве ПК с Windows 10/11, значит потенциальный вектор доступен почти всем. Если уязвимость UnDefend или RedSun эксплуатируется, злоумышленник может установить бэкдор, украсть данные, зашифровать файлы и даже использовать машину в ботнете.
Для организаций это означает риск потери конфиденциальной информации и простоя. Для частных пользователей – вероятность заражения через фишинговые письма или компрометированные обновления.
Что можно сделать сейчас
Обновить систему. Если вы ещё не получили патч для BlueHammer, проверьте обновления Windows Update и установите их немедленно.
Включить расширенную защиту. В настройках Windows Defender включите «Контроль доступа к ядру» (Core Isolation) и «Защиту от атак на память» (Memory Integrity).
Многоуровневая защита. Используйте дополнительный антивирус, EDR‑систему и сетевой мониторинг для обнаружения подозрительной активности.
Проверка журналов. Администраторы должны искать необычные процессы, связанные с драйверами, и следить за событиями входа.
Как реагирует Microsoft
Бен Хоуп, директор по коммуникациям Microsoft, подтвердил, что компания поддерживает процесс «координированного раскрытия уязвимостей». Он отметил, что в случае полного раскрытия они «сотрудничают с исследователями, чтобы быстро закрыть пробелы».
Однако в текущей ситуации UnDefend и RedSun остаются без официального исправления, и Microsoft просит сообщать о найденных эксплойтах через их портал.
Краткий обзор трёх уязвимостей
BlueHammer (CVE‑2026‑33825) – уязвимость в компоненте, отвечающем за проверку подписи драйверов. Патч выпущен 5 апреля 2026 года.
UnDefend – позволяет отключить защитные механизмы Windows Defender, используя уязвимость в подсистеме AVC.
RedSun – использует ошибку в обработке файлов‑пакетов, предоставляя возможность выполнить произвольный код с правами SYSTEM.
Справка
Huntress – американская киберsecurity‑компания, основанная в 2015 году. Специализируется на обнаружении вредоносных активов в средах SMB и предоставляет сервисы Managed Detection & Response (MDR).
Microsoft Security Response Center (MSRC) – подразделение Microsoft, отвечающее за приём, анализ и исправление уязвимостей в продуктах компании. Ведёт базу CVE и координирует работу с исследователями.
Chaotic Eclipse (Nightmare‑Eclipse) – псевдоним независимого исследователя, известного своими публикациями кода эксплойтов. Впервые привлёк внимание к сообществу в 2024 году.
Windows Defender – встроенный антивирус и система защиты от угроз в операционных системах Windows 10/11. Включает в себя антивирус, брандмауэр и средства защиты от эксплойтов.
CVE‑2026‑33825 – идентификатор уязвимости BlueHammer в базе данных Common Vulnerabilities and Exposures, зарегистрированный в начале 2026 года.
Итак, три уязвимости, открытый код и отсутствие патчей — это реальная угроза. Обновляйтесь, включайте расширенную защиту и не забывайте о многоуровневой обороне. Иначе хакеры уже могут использовать ваш компьютер как точку входа в сеть.
