Systemy ochrony końcówek (endpoint protection) od lat stanowią pierwszą linię obrony przed cyberatakami. Paradoksalnie jednak coraz częściej to właśnie mechanizmy bezpieczeństwa stają się celem ataków. Microsoft poinformował o aktywnym wykorzystywaniu kilku poważnych podatności w Microsoft Defenderze, pozwalających cyberprzestępcom uzyskać uprawnienia SYSTEM, wyłączyć mechanizmy ochronne, a nawet sabotować proces aktualizacji sygnatur bezpieczeństwa. Problem jest szczególnie poważny, ponieważ część luk nadal pozostaje bez oficjalnych poprawek.

Autor: 7 min czytania

Nowe podatności pokazują, że współczesne ataki coraz rzadziej polegają wyłącznie na infekowaniu użytkownika złośliwym plikiem. Dzisiejsi napastnicy starają się przejąć kontrolę nad infrastrukturą ochronną systemu operacyjnego i wykorzystać ją przeciwko administratorom oraz użytkownikom.

Microsoft Defender pod ostrzałem

Według analiz bezpieczeństwa firmy Huntress wykryto co najmniej trzy groźne podatności, określane nazwami BlueHammer, RedSun oraz UnDefend. Dwie z nich są nadal aktywnie wykorzystywane przez cyberprzestępców.

Najpoważniejsza z luk umożliwia lokalne podniesienie uprawnień (Local Privilege Escalation – LPE). Oznacza to, że atakujący po uzyskaniu nawet ograniczonego dostępu do komputera może przejąć pełną kontrolę nad systemem operacyjnym Windows. W praktyce daje to możliwość:

  • instalowania złośliwego oprogramowania,
  • wyłączania zabezpieczeń,
  • kradzieży danych,
  • tworzenia ukrytych kont administracyjnych,
  • utrzymywania trwałej obecności w systemie.

Microsoft potwierdził, że jedna z podatności, oznaczona jako CVE-2026-33825, była wykorzystywana jeszcze przed wydaniem poprawki bezpieczeństwa. Tego typu luka określana jest mianem „zero-day”, ponieważ producenci oprogramowania nie mają czasu na przygotowanie zabezpieczeń przed rozpoczęciem ataków.

Jak działa atak?

Technicznie problem dotyczy mechanizmów obsługi plików i uprawnień przez Microsoft Defender. W przypadku luki określanej jako RedSun dochodzi do błędnej obsługi dowiązań i ścieżek plików (link following vulnerability). Atakujący może nakłonić usługę Defendera działającą z najwyższymi uprawnieniami SYSTEM do wykonania operacji na plikach kontrolowanych przez napastnika.

To klasyczny scenariusz privilege escalation, w którym aplikacja działająca z wysokimi uprawnieniami wykonuje niebezpieczne operacje bez odpowiedniej walidacji ścieżek dostępu.

W praktyce atak przebiega następująco:

  1. Cyberprzestępca uzyskuje podstawowy dostęp do systemu, np. poprzez phishing lub malware.
  2. Uruchamia exploit wykorzystujący podatność Defendera.
  3. Mechanizm antywirusa wykonuje operacje z uprawnieniami SYSTEM.
  4. Napastnik przejmuje pełną kontrolę nad komputerem.

Eksperci podkreślają, że samo przejęcie uprawnień SYSTEM oznacza praktycznie całkowite ominięcie lokalnych zabezpieczeń Windowsa.

UnDefend – wyłączenie ochrony od środka

Jeszcze bardziej niepokojąca jest podatność o nazwie UnDefend. Nie służy ona bezpośrednio do przejęcia systemu, lecz do sabotowania działania Defendera poprzez blokowanie aktualizacji sygnatur bezpieczeństwa.

Defender, podobnie jak inne systemy EDR i antywirusy, opiera swoją skuteczność na regularnych aktualizacjach baz wykrywania zagrożeń. Jeśli atakujący zablokuje aktualizacje, system ochrony stopniowo traci zdolność wykrywania nowych zagrożeń.

Eksperci opisują tę technikę jako layered degradation strategy – strategię stopniowej degradacji bezpieczeństwa. Najpierw atakujący uzyskuje wysokie uprawnienia, a następnie osłabia system ochronny, aby kolejne etapy ataku przebiegały niezauważenie.

Takie podejście jest szczególnie groźne w środowiskach korporacyjnych, gdzie Defender często stanowi podstawowy element ochrony całej infrastruktury.

Dlaczego te podatności są tak niebezpieczne?

Największym problemem jest fakt, że podatności dotyczą komponentów zaufanych przez system operacyjny. Mechanizmy ochronne Windows działają zazwyczaj z najwyższymi możliwymi uprawnieniami. Jeśli napastnik nauczy się wykorzystywać ich błędy, może:

  • ukrywać własne procesy,
  • omijać systemy EDR,
  • wyłączać monitorowanie aktywności,
  • manipulować logami bezpieczeństwa,
  • utrzymywać długotrwały dostęp do sieci firmowej.

W dodatku część exploitów (jak ten z poniedziałku) została opublikowana przez badaczy bezpieczeństwa po sporach dotyczących procesu zgłaszania podatności do Microsoftu. Oznacza to, że gotowe narzędzia mogą być wykorzystywane również przez mniej zaawansowanych cyberprzestępców.

Rosnący problem Living off the Land

Nowoczesne cyberataki coraz częściej wykorzystują legalne komponenty systemu operacyjnego zamiast klasycznego malware. Strategia ta określana jest jako Living off the Land (LotL). Dzięki niej aktywność atakującego przypomina normalne działania administratora systemu i jest trudniejsza do wykrycia.

Microsoft już wcześniej ostrzegał przed kampaniami wykorzystującymi legalne mechanizmy OAuth, skrypty PowerShell oraz techniki DLL sideloadingu do infekowania organizacji rządowych i firm prywatnych.

Jak chronić organizację?

Eksperci bezpieczeństwa zalecają natychmiastowe wdrażanie aktualizacji bezpieczeństwa oraz monitorowanie nietypowych działań związanych z Defenderem i usługami SYSTEM. Szczególnie ważne są:

  • szybkie instalowanie poprawek Patch Tuesday,
  • monitorowanie eskalacji uprawnień,
  • analiza nietypowych procesów PowerShell,
  • segmentacja sieci,
  • ograniczanie lokalnych uprawnień administratora,
  • wdrażanie mechanizmów EDR z niezależnym monitoringiem.

Dodatkowo administratorzy powinni regularnie sprawdzać integralność usług bezpieczeństwa oraz poprawność aktualizacji sygnatur Defendera.

Podsumowanie

Nowe podatności w Microsoft Defenderze pokazują, że granica między narzędziem ochronnym a potencjalnym wektorem ataku zaczyna się zacierać. Cyberprzestępcy coraz częściej nie próbują omijać zabezpieczeń – zamiast tego starają się przejąć je i wykorzystać przeciwko ofierze.

Dla firm i administratorów oznacza to konieczność ciągłego monitorowania infrastruktury, szybkiego reagowania na nowe zagrożenia oraz stosowania wielowarstwowego modelu bezpieczeństwa. Nawet najlepszy antywirus nie gwarantuje dziś pełnej ochrony, jeśli sam może zostać wykorzystany jako narzędzie ataku.