Исследователь, известный как «Chaotic Eclipse», за последние две недели опубликовал демонстрационный эксплойт для второй уязвимости нулевого дня в Microsoft Defender, получившей название «RedSun», в знак протеста против того, как компания взаимодействует с исследователями кибербезопасности.
Этот эксплойт нацелен на уязвимость локального повышения привилегий (LPE), которая предоставляет привилегии SYSTEM в Windows 10, Windows 11 и Windows Server после последних исправлений, выпущенных в рамках апрельского Patch Tuesday, при условии, что Microsoft Defender включен.
«Когда Windows Defender обнаруживает, что вредоносный файл имеет облачную метку, по какой-то глупой и нелепой причине антивирус, который должен защищать, решает, что хорошей идеей будет просто перезаписать файл, который он нашел, обратно в его исходное расположение», — объясняет исследователь.
«PoC использует это поведение для перезаписи системных файлов и получения административных привилегий».
Уилл Дорманн, ведущий аналитик уязвимостей в Tharros, подтвердил BleepingComputer, что эксплойт для новой уязвимости нулевого дня RedSun в Microsoft Defender работает и предоставляет привилегии SYSTEM на полностью пропатченных версиях Windows 10, Windows 11 и Windows Server 2019 и более поздних.
«Этот эксплойт использует ‘Cloud Files API’, записывает с его помощью EICAR в файл, использует oplock для победы в гонке за теневой копией тома и использует перенаправление каталога/точки повторного анализа для перенаправления перезаписи файла (с новым содержимым) в C:\Windows\system32\TieringEngineService.exe», — написал Дорманн в ветке на Mastodon.
«В этот момент инфраструктура Cloud Files запускает внедренный злоумышленником TieringEngineService.exe (который и является эксплойтом RedSun.exe) с правами SYSTEM. Игра окончена».
Дорманн утверждает, что некоторые поставщики антивирусов на VirusTotal обнаруживают эксплойт [VirusTotal], поскольку исполняемый файл эксплойта содержит встроенный EIRCAR (тестовый файл антивируса). Однако он снизил уровень обнаружения [VirusTotal] путем шифрования строки EICAR внутри исполняемого файла.
На прошлой неделе этот исследователь, известный как «Chaotic Eclipse», выпустил эксплойт для другой уязвимости нулевого дня LPE в Microsoft Defender, получившей название «BlueHammer», которая теперь отслеживается как CVE-2026-33825. Microsoft устранила эту уязвимость в рамках ежемесячных обновлений безопасности Patch Tuesday.
Исследователь заявляет, что опубликовал оба PoC нулевого дня в знак протеста против того, как Microsoft работает с исследователями кибербезопасности, которые сообщают об уязвимостях в Microsoft Security Response Center (MSRC).
«Обычно я бы прошел через процесс умоляния их исправить ошибку, но, подводя итог, мне лично сказали, что они разрушат мою жизнь, и они это сделали, и я не уверен, был ли я единственным, кто пережил этот ужасный опыт, или таких было немного, но я думаю, что большинство просто проглотили бы это и списали убытки, но они забрали у меня всё», — утверждает исследователь.
«Они вытерли об меня ноги и прибегли ко всем детским играм, какие только могли. В какой-то момент это было настолько плохо, что я задавался вопросом, имею ли я дело с огромной корпорацией или с кем-то, кто просто получает удовольствие, наблюдая мои страдания, но, похоже, это было коллективное решение».
BleepingComputer связался с исследователем для получения более подробной информации о его взаимодействии с MSRC.
При обращении к Microsoft по поводу этих предполагаемых проблем они предоставили следующее заявление.
«Приверженность Microsoft заключается в расследовании сообщений о проблемах безопасности и обновлении затронутых устройств для защиты клиентов в кратчайшие возможные сроки», — сообщил BleepingComputer представитель Microsoft.
«Мы также поддерживаем скоординированное раскрытие уязвимостей — широко распространенную отраслевую практику, которая помогает обеспечить тщательное расследование и устранение проблем до публичного раскрытия, поддерживая как защиту клиентов, так и сообщество исследователей безопасности».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
