Noć Eclipse suspendovan sa GitLaba nakon zabrane na GitHub-u zbog Windows Defender eksploajta
Istraživač Nightmare-Eclipse suspendovan sa GitLaba nakon objavljivanja Windows Defender eksploajta i zabrane sa GitHub-a.
Šta se desilo?
Anonimni bezbednosni istraživač poznat kao Nightmare-Eclipse suspendovan je sa GitLaba 26. maja 2026, svega tri dana posle što ga je GitHub uklonio sa platforme. Researcher je objavio niz proof-of-concept alata koji eksploatišu kritične propuste u Windows Defenderu, navodeći da Microsoft nije adekvatno odgovorio na odgovorno otkrivene ranjivosti. GitLab je brzo reagovao nakon što je vidio da se isti eksploajti mirroruju na njegovoj platformi.
Koga pogađa?
Sve korisnike Windows operativnog sistema pogađaju ove ranjivosti, posebno poslovne korisnike čiji sistemi zavise od Windows Defendera kao primarnog zaštitnog sloja. Kompanijama sa distribuiranim timovima koje koriste VPN rešenja poput FortiGate-a predstavlja dodatnu opasnost, jer su izveštaji pokazali da hakerske grupe iskorišćavaju kombinaciju kompromitovanih VPN kredencijala sa ovim Windows Defender eksplojtima.
Kako se zaštititi?
- Odmah instalacija aprila 2026. Patch Tuesday ažuriranja koje sadrži ispravku za BlueHammer ranjivost
- Redovno osvežavati Windows Defender potpise putem Windows Update-a i praćenja status zdravlja antivirus rešenja
- Primena Multi-Factor Authentication na svim VPN pristupima i revizija privilegovanih pristupa
- Redovno pregledanje log-a sistema za neobičnu aktivnost ili SYSTEM-level procese koji pokreće Defender
- Razmotrite dodatne sigurnosne slojeve osim Windows Defendera kao što su EDR (Endpoint Detection Response) rešenja
- Pažljivo pratiti sigurnosne saopštenja od Microsoft-a i CISA-e koje tiču novih eksploajta
Tehnički detalji
BlueHammer (CVE-2026-33825) predstavlja TOCTOU (Time-of-Check-Time-of-Use) race condition sa CVSS skorom 7.8 koji omogućava eskalaciju privilegija na SYSTEM nivo kroz Defender-ov engine za remedijaciju pretnji. Ova ranjivost je ispravljena u aprilu 2026 i dodata na CISA-inu listu poznatih eksploatisanih ranjivosti 22. aprila. RedSun eksploatira cloud file rollback mehanizam Defender-a omogućavajući pokretanje napadačevih binara sa SYSTEM dozvolama i ostaje bez ispravke. UnDefend silent-no zaustavlja pipeline za ažuriranje Defender-a potpisa bez aktiviranja upozorenja, što dugoročno degradira zaštitu krajnjeg sistema - takođe bez dostupne ispravke. Huntress Labs je potvrdia aktivnu eksploataciju svih tri alata od 10. aprila 2026, sa opažanjima hakerskih grupa koje koriste maskirana imena datoteka poput FunnyApp.exe za inicijalni pristup.
Preporuka Sajber Radara
Korisnicima preporučujemo hitnu primenu dostupnih bezbednosnih ažuriranja i pojačanu vigilantnost u odnosu na životni ciklus sigurnosti njihovih Windows sistema. Nightmare-Eclipse je već najavio novo masovno otkrivanje zakazano za 14. jul 2026, što dodatno pokreće urgentnost primene preventivnih mera.