Când antivirusul devine armă: noile breșe din Microsoft Defender sperie companiile
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/04/windows-update-fortat.jpg)
Microsoft Defender, soluția de securitate inclusă în Windows și gândită să fie prima linie de apărare pentru milioane de PC-uri și servere, a ajuns în centrul unei alerte serioase după apariția a trei metode de exploatare publice folosite deja în atacuri reale. BlueHammer, RedSun și UnDefend nu sunt doar demonstrații teoretice publicate de un cercetător, ci instrumente care au fost observate în intruziuni reale asupra unor organizații. Situația este cu atât mai neplăcută cu cât doar una dintre cele trei probleme, BlueHammer, a fost corectată de Microsoft până acum, în timp ce celelalte două rămân fără patch public.
Ce face cazul cu adevărat grav nu este doar existența unor vulnerabilități noi, ci faptul că ele folosesc chiar mecanismele privilegiate ale Defender împotriva sistemelor pe care ar trebui să le protejeze. În loc să spargă frontal antivirusul, atacatorii profită de felul în care acesta rescrie fișiere, clasifică amenințări și își actualizează protecțiile, transformând platforma de securitate într-un fel de vehicul intern pentru escaladare de privilegii și degradarea apărării. Tocmai de aceea, mulți cercetători spun că problema nu e doar un bug punctual, ci o slăbiciune mai largă în fluxurile privilegiate ale produsului.
Cum ajunge Defender să lucreze pentru atacator
BlueHammer, singura vulnerabilitate deja urmărită oficial ca CVE-2026-33825, este descrisă drept o problemă de control insuficient al accesului care permite unui atacator cu acces local să își ridice privilegiile. În termeni mai simpli, exploitul abuzează un race condition din fluxul de update și remediere al Defender, astfel încât operațiunile privilegiate ale soluției să fie redirecționate în locuri alese de atacator. Rezultatul poate fi acces la nivel SYSTEM, adică cel mai înalt nivel de privilegii de pe sistem, fără a fi nevoie de un exploit de kernel sau de corupere de memorie.
RedSun merge pe o logică asemănătoare, dar țintește un alt proces Defender, TieringEngineService.exe, și este considerat și mai incomod pentru administratori pentru că, potrivit analizelor publice, funcționează inclusiv pe sisteme complet actualizate cu patchurile recente. Cu alte cuvinte, chiar dacă organizația și-a făcut temele și a aplicat corecția pentru BlueHammer, asta nu o scoate din pericol în fața lui RedSun. Tot la nivel SYSTEM poate ajunge și acest exploit, ceea ce îl transformă într-un instrument foarte tentant pentru atacatori care au deja un punct de intrare modest pe o mașină Windows.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/d6a5b576506fa14602ed56ef2584f825-t.jpg)
Al treilea element din trio, UnDefend, nu este un exploit de escaladare în sine, ci unul de degradare a protecției. Odată ce atacatorul a obținut privilegii înalte prin BlueHammer sau RedSun, UnDefend poate fi folosit pentru a afecta mecanismul prin care Defender își primește actualizările și informațiile noi despre amenințări. Partea periculoasă este că această slăbire se poate produce fără un eșec brutal și evident, ceea ce înseamnă că organizația poate avea impresia că endpointul este încă sănătos, în timp ce protecția lui reală devine tot mai slabă.
De ce atacurile observate sunt atât de îngrijorătoare
Raportările din teren arată că nu a fost vorba doar despre teste automate sau zgomot de laborator, ci despre semne de intruziuni deliberate, făcute manual, pas cu pas. În cazurile investigate, atacatorii au rulat comenzi de enumerare a privilegiilor înainte de exploatare și au ascuns binarele în directoare aparent banale, precum Pictures sau subfoldere din Downloads, uneori sub nume modificate ca să scape mai ușor de detecție. Asta sugerează adversari pragmatici, nu neapărat extrem de sofisticați, dar suficient de competenți cât să profite rapid de cod public disponibil.
Poate cel mai important detaliu operațional este că exploatarea nu pare să fie partea cea mai grea a atacului. Adevărata provocare pentru infractori rămâne accesul inițial. În cazurile observate, intruziunile au pornit de la conturi SSL VPN compromise, iar unele relatări indică lipsa autentificării multifactor pe aceste căi de acces. Odată obținut însă un punct de sprijin local, transformarea lui în acces SYSTEM cu RedSun sau BlueHammer devine mult mai simplă.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Microsoft-Project-Solara-gadget-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/intro-securitate-Mac-316x158.jpg)
Aici apare și lecția cea mai incomodă pentru companii. Problema nu mai este doar dacă ai antivirus activ și actualizat, ci cât de mult te bazezi pe el ca pe unicul gardian al rețelei tale. În momentul în care produsul de apărare poate fi manipulat din interior, orice strategie bazată pe un singur agent devine vulnerabilă. În plus, faptul că două dintre tehnicile făcute publice nu au încă patch oficial arată că organizațiile trebuie să gândească defensiv dincolo de ciclul clasic de actualizări.
Microsoft a transmis că tratează RedSun și UnDefend ca probleme separate de BlueHammer și că susține procesul de dezvăluire coordonată a vulnerabilităților, dar realitatea din teren rămâne complicată. Pentru companii, actualizarea sistemelor este necesară, dar nu suficientă. Mai contează autentificarea multifactor pe toate punctele de acces la distanță, blocarea executării din directoare unde utilizatorii pot scrie liber și, poate cel mai important, existența unui strat de detecție care să nu depindă complet de integritatea agentului Defender de pe endpoint.
În fond, acesta este motivul pentru care povestea sperie atât de tare: nu vorbim despre un simplu bug într-un program oarecare, ci despre posibilitatea ca un instrument de protecție să fie transformat într-un aliat al atacatorului. Iar când bariera de apărare începe să lucreze împotriva ta, întreaga filozofie de securitate trebuie regândită.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/9c2ab12b1bcfb46a83803bc57cd80cac-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/e959287d84cf5d0f3c71b63fceb8379b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/c4c42498077f4fb817c84a64a460d668-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/b3ee3bc124703f6ee79fa5ba8ff4ee50-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/05/1778137329/6dc8d64d0144773dd351146896b86f6b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Vieux-Carre-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/supraveghere-copil-monitorizare.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cati-bani-a-reusit-sa-stranga-la-Pilonul-II-un-roman-cu-salariul-mediu-in-18-ani.-Din-2027-intra-in-vigoare-reguli-noi.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Meteorit-captura-SUA.jpg)