Tri nova eksploita pretvaraju Windows Defender u oružje za napade
Napadači koriste tri javno dostupne eksploite da kompromituju Windows Defender i oslabe njegovu zaštitu, dva bez zakrpe.
Šta se desilo?
Istraživači su otkrili da napadači aktivno koriste tri proof-of-concept eksploite kako bi kompromitovali ugrađeni Windows Defender i preokrenuli njegove zaštitne funkcije. Dva od tri eksploita omogućavaju napadačima da dobiju SYSTEM dozvole na ranjivim sistemima, dok treći tiho sabotira mehanizam ažuriranja signatora.
Koga pogađa?
Napadi pogađaju organizacije koje se oslanjaju na Windows Defender kao primarnu zaštitu. Posebno su ugroženi korisnici Windows 10, Windows 11 i Windows Server 2019. Rizik je veći za sisteme bez multifaktorske autentikacije, jer napadači obično počinju sa kompromitovanim VPN nalogima.
Kako se zaštititi?
- Instalirajte aprijske sigurnosne zakrpe iz 2026. godine što pre
- Aktivirajte multifaktorsku autentikaciju (MFA) na svim pristupnim tačkama
- Zabranite pokretanje programa iz Downloads i Pictures direktorijuma
- Pratite anomalije u ponašanju sistemskih procesa, posebno TieringEngineService.exe
- Primenjujte dodatne sigurnosne slojeve nezavisne od Defendera
- Redovno proveravajte verziju Antimalware Platform komponente
Tehnički detalji
BlueHammer eksploit koristi CVE-2026-33825 - race condition ranjivost (TOCTOU tip) u procesu ažuriranja signatora. Napadač pokreće update, ali pre nego što Defender završi prepisivanje datoteke, preusmeri ga na zlonamearnu lokaciju sa SYSTEM dozvolama. RedSun funkcioniše slično, ali targira TieringEngineService.exe proces i koristi EICAR test string kao trigger. UnDefend se aktivira nakon što napadač dobije SYSTEM pristup i blokira Defenderu mogućnost da prima nove informacije o pretnjama. Svi tri eksploita iskoriščavaju činjenicu da Defender radi sa visokim dozvolama i veruje svojim procesima.
Preporuka Sajber Radara
Odmah primenite aprijske sigurnosne zakrpe 2026. godine i aktivirajte MFA na svim pristupnim tačkama - ovo su kritični koraci jer većina napada počinje sa kompromitovanim nalogima bez druge faktore autentikacije. Iako inicijalni pristup ostaje najveći izazov za napadače, eskalacija privilegija nakon toga je relativno jednostavna.