Спустя несколько дней после того, как Microsoft устранила критическую уязвимость в своем антивирусном средстве Windows Defender в рамках апрельского «Вторника исправлений», исследователи предупреждают о другой уязвимости, которая может позволить получить привилегии SYSTEM посредством локального повышения прав.
В недавно обнародованном эксплойте с доказательством концепции (PoC), получившем название «RedSun», пользователь GitHub под псевдонимом «Nightmare Eclipse» продемонстрировал, как обработка Microsoft Defender определенных файлов с облачными тегами может быть использована для перезаписи защищенных системных файлов и повышения привилегий.
«Когда Windows Defender обнаруживает вредоносный файл с облачным тегом, по какой-то глупой и забавной причине антивирус, который должен защищать, решает, что хорошей идеей будет просто перезаписать найденный файл обратно в его исходное местоположение», — написал Eclipse в описании репозитория PoC.
Эксплойт PoC затрагивает системы Windows 10 и Windows 11 с запущенным Microsoft Defender, в частности сборки с активированными функциями облачных файлов.
Антивирус восстанавливает угрозу
PoC RedSun выявляет контринтуитивное поведение. Процесс устранения угроз Defender может восстановить помеченный файл при определенных условиях. В частности, файлы с метаданными облака (например, используемые OneDrive и аналогичными службами) запускают иной путь обработки внутри движка антивируса.
Вместо того чтобы окончательно удалить вредоносный файл, Defender пытается восстановить его из исходного источника, перезаписывая файл обратно на диск. PoC использует этот механизм для манипулирования содержимым или местоположением файла в процессе перезаписи.
Если злоумышленник может контролировать время и место перезаписи, он может заменить легитимные системные бинарные файлы или конфигурационные файлы вредоносными полезными нагрузками. RedSun продемонстрировал этот эксплойт для получения привилегий уровня SYSTEM.
Уилл Дорманн из Infosec Exchange проверил PoC с использованием Cloud Files API. «Это работает с надежностью около 100% для перехода от непривилегированного пользователя к SYSTEM в Windows 11 и Windows Server 2019+ с обновлениями за апрель 2026 года, а также в Windows 10, при условии, что включен Windows Defender», — сказал он. «Любая система, имеющая cldapi.dll, должна быть затронута».
Дорманн использовал Cloud Files API для внедрения специально созданного файла, а затем «oplock» для контроля времени доступа к файлу. Оттуда эксплойт использует условия гонки Volume Shadow Copy и точечные соединения/повторные точки (directory junctions/reparse points) для перенаправления места, куда Defender записывает файл.
Вторая LPE на базе Defender за несколько дней
Уязвимость Defender, устраненная ранее на этой неделе в рамках «Вторника исправлений», была одной из двух уязвимостей нулевого дня, исправленных Microsoft, и она также позволяла локальное повышение привилегий из-за «недостаточной детализации контроля доступа».
Хотя Microsoft приписала обнаружение этой уязвимости, отслеживаемой как CVE-2026-33825, исследователю безопасности Зену Додду, эксплойт PoC под названием «BlueHammer» уже существовал до ее исправления. Он был создан «Chaotic Eclipse», но не под псевдонимом Nightmare Eclipse на других платформах публикации. Уязвимости был присвоен высокий уровень опасности — 7,8 из 10.
У Eclipse есть некоторые разногласия по поводу того, как Microsoft обработала раскрытие CVE-2026-33825. Хотя неизвестно, была ли «RedSun» сообщено в Microsoft до раскрытия, PoC по-прежнему остается без внимания.
Microsoft не сразу ответила на запросы CSO о комментариях. Дорманн подтвердил, что эксплойт обнаруживается на VirusTotal, но в значительной степени полагается на сигнатуру тестового файла (EICAR), которую можно в некоторой степени обойти с помощью строкового шифрования. «Defender (Microsoft) в настоящее время не обнаруживает эксплойт ни в одном из случаев», — отметил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
