Skip to content

Lunavaraliseerid kasutavad Microsoft Defenderi BlueHammer-haavatavust õiguste laiendamiseks

Lühidalt: Lunavararühmitused kasutavad ära Microsoft Defenderi turvaauku, mis puuduliku juurdepääsukontrolli tõttu võimaldab pääseda ligi SAM-andmebaasile ja saavutada SYSTEM-õigused.

USA küberturvalisuse amet CISA kinnitas, et lunavararühmitused kasutavad aktiivselt ära Microsoft Defenderi haavatavust CVE-2026-33825, et saavutada süsteemiõigused. Turvaauk parandati juba aprillis, kuid nüüd kasutatakse seda ära käimasolevates kampaaniates.

Haavatavus CVE-2026-33825, mis tuntud nimega BlueHammer, võimaldab kohalikel ründajatel Microsoft Defenderi puuduliku juurdepääsukontrolli tõttu õigusi laiendada. Tharrose turvaanalüütik selgitab, et selle kaudu saavad ründajad ligipääsu Security Account Manager (SAM) andmebaasile, kus hoitakse kohalike kontode paroolirääside andmeid. Nende räsidega saavad ründajad omandada SYSTEM-õigused ja seejärel täita süsteemiõigustega suvalisi käske.

Turvanõrkuse avalikustas esmakordselt 2024. aasta aprilli alguses varjunime Nightmare Eclipse all esinev turvateadlane — sammu, mida ta põhjendas protestina Microsofti haavatavuste avalikustamise praktika vastu. Microsoft parandas turvaaugu 14. aprillil 2024. Huntress Labsi turvateadlased tuvastasid siiski juba veidi pärast paranduse ilmumist, et ründajad kasutasid haavatavust reaalsetes rünnakutes ära juba enne paranduse avaldamist. CISA lisas BlueHammeri oma KEV-kataloogi 22. aprillil ning kehtestas USA föderaalasutustele viiepäevase parandustähtaja, mis lõppes 7. mail.

Nightmare Eclipse on viimastel kuudel avalikustanud mitmeid Windowsi nullpäevahaavatavusi, sealhulgas RoguePlanet, RedSun, GreenPlasma, MiniPlasma, YellowKey ja UnDefend — paljud neist puudutavad Microsoft Defenderit, BitLockerit või muid Windowsi komponente. Kaheksast Microsoft Defenderis registreeritud haavatavusest, mida CISA on rünnakutes dokumenteerinud, on kahte sihilikult ära kasutanud lunavararühmitused. CISO-de jaoks tähendab see kahekordset tegutsemisvajadust: esiteks tuleb Microsoft Defenderi värskendused paigaldada kõrgeima prioriteediga, teiseks tuleb karmistada kontrolli kohalike administraatorikontode üle, kuna nende kompromiteerimine selle turvaaugu kaudu viib kogu süsteemi kompromiteerimiseni.


Allikas: www.it-daily.net · Avaldatud 1. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimise ja klassifitseerimise teostas Lumi News Pipeline v1.7.2.

Share on: