Lühidalt: Lunavarajõugud kasutavad ära Microsoft Defenderi turvanõrkust, et puuduliku juurdepääsukontrolli tõttu pääseda ligi SAM-andmebaasile ja saavutada SYSTEM-õigused.
USA küberjulgeoleku amet CISA kinnitas, et lunavararühmitused kasutavad aktiivselt ära Microsoft Defenderi haavatavust CVE-2026-33825, et saavutada süsteemiõigused. Turvaauk parandati juba aprillis, kuid seda ekspluateeritakse nüüd käimasolevates rünnakukampaaniates.
BlueHammeri nime all tuntud haavatavus CVE-2026-33825 võimaldab kohalikel ründajatel Microsoft Defenderi puuduliku juurdepääsukontrolli tõttu õigusi eskaleerida. Tharrose turvaanalüütik selgitab, et ründajad saavad seeläbi juurdepääsu Security Account Manageri (SAM) andmebaasile, kuhu on salvestatud kohalike kontode paroolirasked. Nende räsidega saavad ründajad omandada SYSTEM-õigused ja seejärel käivitada süsteemiõigustega suvalisi käske.
Turvaaugu avalikustas esmakordselt 2024. aasta aprilli alguses varjunime Nightmare Eclipse all tegutsev turvateadlane — sammu, mida ta põhjendas protestina Microsofti haavatavuste avalikustamise korra vastu. Microsoft parandas turvaaugu 14. aprillil 2024. Huntress Labsi turvateadlased tuvastasid aga juba varsti pärast parandi ilmumist, et ründajad kasutasid haavatavust reaalsetes rünnakutes ära juba enne paranduse avaldamist. CISA lisas BlueHammeri oma KEV-kataloogi 22. aprillil ja määras USA föderaalasutustele viiepäevase kõrvaldamistähtaja kuni 7. maini.
Nightmare Eclipse on viimastel kuudel avalikustanud mitmeid Windowsi nullpäeva-haavatavusi, sealhulgas RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey ja UnDefend — paljud neist puudutavad Microsoft Defenderit, BitLockerit või teisi Windowsi komponente. CISA poolt rünnakutes dokumenteeritud kaheksast Microsoft Defenderi haavatavusest kahte on sihipäraselt rünnanud lunavarajõugud. Ettevõtete infoturbejuhtide (CISO) jaoks tähendab see kahesugust tegutsemisvajadust: esiteks tuleb Microsoft Defenderi värskendused paigaldada kõrgeima prioriteediga, teiseks tuleb tugevdada kontrolli kohalike administraatorikontode üle, kuna nende kompromiteerimine selle turvaaugu kaudu viib kogu süsteemi kompromiteerimiseni.
Allikas: www.it-daily.net · Avaldatud 1. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.