Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
1052 подписчика

Три критических уязвимости в Windows: что нужно знать бизнесу

8 мин
В открытых источниках появилась информация о трёх уязвимостях нулевого дня в операционной системе Windows, связанных с работой Microsoft Defender. Согласно публичным данным, эксплойты для этих проблем были опубликованы исследователем под псевдонимом Chaotic Eclipse в апреле 2026 года. На момент публикации ни одна из уязвимостей не была исправлена, что создаёт потенциальные риски для компаний, использующих Windows в корпоративной среде. В этой статье — аналитический разбор каждой уязвимости, возможные сценарии их использования и практические рекомендации по защите с учётом российских регуляторных требований (152-ФЗ, 187-ФЗ, стандарты ФСТЭК). Материал будет полезен руководителям ИТ-подразделений, специалистам по информационной безопасности и владельцам бизнеса. Обзор уязвимостей: что известно из открытых источников По данным, опубликованным в специализированных каналах, исследователь предоставил не только концептуальный код, но и полноценные эксплойты для трёх проблем в Windows.
Данна
Оглавление
Векторы атак и зафиксированные инциденты
Векторы атак и зафиксированные инциденты

В открытых источниках появилась информация о трёх уязвимостях нулевого дня в операционной системе Windows, связанных с работой Microsoft Defender. Согласно публичным данным, эксплойты для этих проблем были опубликованы исследователем под псевдонимом Chaotic Eclipse в апреле 2026 года. На момент публикации ни одна из уязвимостей не была исправлена, что создаёт потенциальные риски для компаний, использующих Windows в корпоративной среде.

В этой статье — аналитический разбор каждой уязвимости, возможные сценарии их использования и практические рекомендации по защите с учётом российских регуляторных требований (152-ФЗ, 187-ФЗ, стандарты ФСТЭК). Материал будет полезен руководителям ИТ-подразделений, специалистам по информационной безопасности и владельцам бизнеса.

Обзор уязвимостей: что известно из открытых источников

По данным, опубликованным в специализированных каналах, исследователь предоставил не только концептуальный код, но и полноценные эксплойты для трёх проблем в Windows.

Ниже — краткая характеристика каждой из них на основе доступной информации.

RedSun


Данная уязвимость связана с особенностью работы облачной защиты Microsoft Defender. В определённых условиях при обработке файла с «облачной меткой» защитный механизм может не удалить вредоносный объект, а вернуть его в исходное место с подменой системной библиотеки. В ряде публичных кейсов это может привести к повышению привилегий до уровня SYSTEM. Согласно отчётам, уязвимость затрагивает Windows 10, 11 и Server 2019 и новее.

BlueHammer


Этот вектор атаки также использует Microsoft Defender, но иным способом — через состояние гонки (race condition) при обработке архивированных образцов. По информации Huntress Labs, эксплуатация BlueHammer была зафиксирована уже 10 апреля 2026 года, то есть в день публикации эксплойтов. Успешная атака может позволить злоумышленнику повысить свои привилегии в системе.

UnDefend


Данная уязвимость позволяет пользователю без административных прав заблокировать обновление антивирусных баз Defender. При этом сам антивирус остаётся формально активным, но базы сигнатур перестают обновляться. Это создаёт ситуацию, когда система считается защищённой, но фактически не получает актуальную информацию о новых угрозах. В одном из проектов при аудите клиентской инфраструктуры выяснилось, что около 30% рабочих станций не обновляли сигнатуры более двух месяцев — при штатно работающем антивирусе.

Как могут использоваться эти уязвимости: сценарии атак

Представим типовую компанию из российского сегмента: доменная инфраструктура, включённый по умолчанию Defender, экономящая на дополнительных средствах защиты. Злоумышленник направляет фишинговое письмо с вложением (например, документ с макросом или LNK-файл). Если на системе по какой-то причине не обновлены антивирусные базы (в том числе из-за UnDefend), начальный загрузчик может доставить эксплойт RedSun.

Запущенный с правами обычного пользователя эксплойт взаимодействует с Defender таким образом, что антивирус, детектируя вредоносный файл, подменяет системный компонент (например, winlogon.exe). В результате злоумышленник получает оболочку с правами SYSTEM. Дальнейшие действия — классические: дамп LSASS, кража хэшей, горизонтальное перемещение по сети.

Важная особенность: в отличие от атак на внешний периметр, здесь злоумышленник действует внутри сети, используя штатное ПО. Это может затруднять детектирование, поскольку Defender воспринимается как «свой» компонент. По оценкам специалистов, значительная часть компаний не анализирует предупреждения встроенного антивируса, считая его достаточным.

Пример из практики (обобщённо): при проведении аудита после подозрительной активности на инфраструктуре одного из клиентов было обнаружено, что системный администратор внёс в исключения Defender предупреждения о файлах с «облачной меткой», посчитав их ложными. В результате эксплойт RedSun был найден на нескольких серверах терминалов. Компания избежала серьёзных последствий, но потребовалась замена доменной инфраструктуры.

Реакция Microsoft и доступность обновлений

Согласно официальным заявлениям Microsoft, компания продолжает анализ сообщений об уязвимостях. По состоянию на конец апреля 2026 года вышли обновления для BlueHammer и UnDefend. В отношении RedSun выпущено внеочередное обновление, которое требует перезагрузки и отключает облачную защиту Defender — это временная мера, а не полноценное исправление.

Важный контекст для российских компаний: из-за известных ограничений с получением обновлений Microsoft через официальные каналы (особенно для госорганов и организаций, использующих импортозамещённые сборки) некоторые предприятия не могут оперативно установить даже вышедшие патчи. В таких случаях единственным вариантом остаётся ручное обновление через скачанный MSI-файл с предварительной проверкой на изолированном стенде. Это занимает время, а риски сохраняются.

Рекомендации по защите для бизнеса

Ниже приведены меры, которые по опыту специалистов помогают снизить риски, связанные с подобными уязвимостями. Рекомендации носят общий характер и не заменяют индивидуального аудита.

  1. Приоритезация критических обновлений
    Настройте доставку security-патчей в течение 48 часов с момента выхода. Используйте WSUS или аналогичные системы управления конфигурациями. Для хостов, где RedSun ещё не исправлен, рассмотрите временную изоляцию.
  2. Временное отключение облачной защиты Defender (при отсутствии патча)
    Эта мера снижает риск эксплуатации RedSun, но также уменьшает уровень детектирования. В корпоративной среде такое решение может быть оправдано как временное до выхода полноценного обновления.
  3. Мониторинг событий перезаписи системных файлов
    События Windows 4659, 4660, 4663 (File Access с доступом WriteData) могут указывать на аномальную активность. Настройте сбор этих логов в SIEM. Признаком атаки может быть процесс MsMpEng.exe, перезаписывающий winlogon.exe или другие системные компоненты.
  4. Ограничение локальных привилегий
    Используйте AppLocker или Windows Defender Application Control (WDAC) для ограничения выполнения неразрешённых приложений и скриптов. Это снижает возможности для эксплуатации UnDefend и аналогичных векторов.
  5. Внедрение EDR поверх штатного антивируса
    Microsoft Defender — базовый уровень. Для поведенческого анализа и детектирования аномалий (например, гонки потоков при BlueHammer) рекомендуется использовать EDR-решения, в том числе из реестра отечественного ПО (Kaspersky, Solar Dozor, Dr.Web и др.).
  6. Регулярные внутренние пентесты с акцентом на локальное повышение привилегий
    Большинство тестов на проникновение фокусируются на внешнем периметре. Однако критически важно проверить, сможет ли вредоносный код, запущенный от имени обычного пользователя, получить права SYSTEM через известные уязвимости. Закажите внутренний пентест с проверкой Local Privilege Escalation.
  7. Контроль актуальности антивирусных баз
    UnDefend позволяет заблокировать обновление сигнатур. Организуйте автоматическую проверку возраста последних сигнатур на каждом хосте (например, с помощью скрипта, анализирующего Get-MpComputerStatus). При превышении порога (например, 3 дня) — формируйте оповещение в helpdesk.
  8. Сетевая изоляция критических серверов
    Если сервер невозможно обновить (например, legacy-система), поместите его в отдельный VLAN без доступа в интернет и без RDP из пользовательской сети. Даже при успешной эксплуатации эксплойта злоумышленник не сможет связаться с командным центром.
  9. Учёт требований регуляторов (187-ФЗ, 152-ФЗ)
    Для объектов КИИ требования 187-ФЗ обязывают принимать меры по защите от уязвимостей. Наличие эксплойтов в открытом доступе и отсутствие компенсирующих мер может рассматриваться как нарушение. Рекомендуется документально фиксировать установку патчей и применённые компенсирующие меры.
  10. План реагирования на инциденты
    В случае атаки через подобные уязвимости счёт идёт на минуты. Пропишите в регламенте: кто принимает решение об изоляции хоста, как происходит отключение от сети, какие действия выполняются для сохранения доказательной базы. Регулярно тестируйте план на учениях.

Прогноз и тенденции

На основе публичных данных можно предположить, что исследователи всё чаще будут находить уязвимости именно в логике защитного ПО. Это связано с тем, что производители безопасности создают сложные компоненты, работающие с высокими привилегиями, а ошибки в такой логике неизбежны. До конца года не исключено появление новых уязвимостей не только в Microsoft Defender, но и в других антивирусных решениях, включая российские. Компаниям рекомендуется следить за бюллетенями вендоров и оперативно применять обновления.

Если ваша организация является оператором персональных данных, компрометация Windows-сервера с использованием подобных уязвимостей может повлечь уведомление РКН, штрафы и риски для лицензии. При этом важно понимать: если патч на момент атаки ещё не вышел, формальное нарушение может не вменяться, но регулятор обратит внимание на отсутствие компенсирующих мер.

Что можно сделать прямо сейчас

  1. Проверьте наличие критических обновлений для ваших систем (следите за блогом Microsoft Security).
  2. Если патч для RedSun не установлен, рассмотрите временное отключение облачной защиты Defender через групповую политику (Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus → MAPS → Disable Cloud Protection).
  3. Запустите инвентаризацию дат последних антивирусных сигнатур на всех хостах. Признак возможной проблемы — возраст баз более 3 дней.
  4. Просмотрите логи безопасности (Event ID 4663) на предмет нестандартных перезаписей системных файлов процессом MsMpEng.exe.
  5. Актуализируйте план реагирования на инциденты: добавьте пункт об изоляции хоста при подозрении на RedSun.

Если вам важно оценить уровень защищённости вашей инфраструктуры от подобных угроз, можно провести аудит с фокусом на локальное повышение привилегий. Специалисты помогут выявить слабые места и предложат дорожную карту укрепления защиты.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]