Ad imageAd image
Bezpieczeństwo

Windows Defender pod kontrolą hakerów – luka zero-day otwiera drzwi do pełnych uprawnień

Czas czytania 8 min

W skrócie

Badacz bezpieczeństwa o pseudonimie Chaotic Eclipse ujawnił lukę typu zero-day w Windows Defenderze, która pozwala podnieść uprawnienia do poziomu systemowego na Windows 10, Windows 11 i Windows Server 2019. Po konflikcie z Microsoftem, który – według badacza – zignorował problem, do sieci trafiły publiczne exploity BlueHammerRedSun i UnDefend, a firmy bezpieczeństwa potwierdziły ich aktywne wykorzystanie w atakach. Do czasu pełnej łatki administratorzy muszą liczyć się z tym, że sam Defender może stać się wejściem do infrastruktury, a nie jej tarczą.

Spis treści

Najważniejsze informacje: o jakiej luce mowa

Opisana podatność dotyczy mechanizmu odzyskiwania plików w Windows Defenderze – komponentu, który odpowiada za czyszczenie i przywracanie plików po wykryciu zagrożenia. Błąd został sklasyfikowany jako luka typu zero-day, ponieważ w momencie jego ujawnienia nie było dostępnej poprawki, a wektor ataku nadawał się do natychmiastowego praktycznego wykorzystania.

Zakres zagrożonych systemów obejmuje:

  • Windows 10,
  • Windows 11,
  • Windows Server 2019.

W skrócie: praktycznie wszystkie współczesne edycje Windows używane zarówno w domu, jak i w firmach.

Sercem problemu jest możliwość eskalacji uprawnień – atakujący może, przy odpowiednio przygotowanym pliku, doprowadzić do wykonania złośliwego kodu z uprawnieniami systemowymi (SYSTEM), czyli najwyższymi możliwymi w Windows. Co szczególnie niepokojące, dzieje się to „pod parasolem” aktywnego antywirusa, który w normalnych warunkach miałby tego typu atak uniemożliwić.

Aktualne informacje o produktach bezpieczeństwa Microsoftu można znaleźć na oficjalnej stronie Microsoft.

Jak dokładnie działa atak na Windows Defendera

Badacz Chaotic Eclipse przeanalizował proces czyszczenia plików w Windows Defenderze i odkrył, że w momencie, gdy antywirus:

  1. wykrywa złośliwy plik,
  2. próbuje go „oczyścić” i przywrócić,

pojawia się krótka chwila, w której można wstrzyknąć spreparowany dokument tak, aby wykorzystać błąd logiki w procesie przywracania plików. To właśnie w tej fazie dochodzi do wykonania złośliwego kodu z bardzo wysokimi uprawnieniami.

Luka jest poważna z dwóch powodów:

  • atak uruchamia się w kontekście procesu bezpieczeństwa, co podnosi zaufanie systemu do wykonywanych operacji,
  • do eskalacji uprawnień wystarczy konto zwykłego użytkownika – exploit robi resztę.

Znany ekspert ds. bezpieczeństwa Will Dormann podkreślił wprost, że narzędzie RedSun działa „z około 100% skutecznością” w eskalacji uprawnień z użytkownika bez uprawnień do SYSTEM na Windows 11 i Windows Server 2019 oraz nowszych wersjach. To oznacza, że nie jest to teoretyczny proof-of-concept, ale praktyczny, stabilny wektor ataku.

BlueHammer, RedSun, UnDefend: od zgłoszenia do publicznych exploitów

Chaotic Eclipse zgłosił podatność do Microsoftu przez MSRC (Microsoft Security Response Center), czyli oficjalny kanał przyjmowania informacji o lukach. Według relacji badacza reakcja była jednak „chłodna” – Microsoft miał zlekceważyć wagę problemu i nie podjąć oczekiwanych działań z należytą szybkością.

W efekcie badacz zdecydował się na radykalny krok:

  • na początku kwietnia opublikował BlueHammer – pierwszy publiczny exploit na tę lukę,
  • gdy wciąż nie widział odpowiednio szybkiej reakcji, upublicznił kolejne narzędzia: RedSun i UnDefend.

Każde z nich pełni trochę inną rolę:

  • BlueHammer – pierwszy exploit wykorzystujący lukę, dziś częściowo zablokowany przez Microsoft w aktualizacji z kwietnia 2026,
  • RedSun – stabilne narzędzie do eskalacji uprawnień z konta zwykłego użytkownika do SYSTEM na Windows 11 i Server 2019,
  • UnDefend – szczególnie niebezpieczne narzędzie umożliwiające blokowanie aktualizacji Windows Defendera, a nawet całkowite wyłączenie ochrony.

Cały zestaw exploitów został opublikowany w serwisie GitHub, co oznacza, że w praktyce każdy – od zaawansowanego hakera po skrypt-kiddie – może je znaleźć i uruchomić.

Od Proof-of-Concept do prawdziwych ataków: reakcja Huntress

Ryzyko związane z luką szybko przeszło z poziomu teoretycznego do realnego. Firma zajmująca się bezpieczeństwem Huntress poinformowała, że te same exploity, które opublikował Chaotic Eclipse, są już aktywnie wykorzystywane w atakach na firmy.

Oznacza to, że:

  • luka jest realna i stabilna,
  • cyberprzestępcy bardzo szybko adaptują publiczne narzędzia,
  • infrastruktury firmowe są obecnie aktywnie skanowane i atakowane z użyciem tej podatności.

Sytuacja jest o tyle niekomfortowa, że arsenał exploitów jest wciąż dostępny publicznie, a pełna poprawka ze strony Microsoftu obejmuje na razie jedynie część problemu.

Co Microsoft już załatał, a co wciąż jest otwarte

W kwietniowej aktualizacji 2026 roku Microsoft wprowadził poprawkę, która zamyka wektor ataku wykorzystywany przez BlueHammer. To pierwszy krok, ale nie rozwiązuje całości problemu.

Na moment opisywany w artykule:

  • wektor ataku BlueHammer jest częściowo zablokowany,
  • exploity RedSun i UnDefend pozostają niezałatane – nie ma na nie oficjalnej poprawki.

W praktyce oznacza to, że:

  • nadal możliwa jest eskalacja uprawnień z użytkownika do SYSTEM (RedSun),
  • nadal możliwe jest wyłączanie lub blokowanie aktualizacji Windows Defendera (UnDefend).

Dla administratorów to trudna sytuacja: produkt bezpieczeństwa, na którym opiera się ochrona znacznej części środowiska Windows, staje się aktywnie wykorzystywanym vektorem ataku, a pełne zabezpieczenie wymaga więcej niż standardowa instalacja łatek.

Informacje o aktualnych poprawkach dla Windows można śledzić na oficjalnej stronie Microsoft.

Co powinni zrobić administratorzy i zaawansowani użytkownicy

Do czasu, aż Microsoft wyda kompletną łatkę na wszystkie znane wektory, sensowne jest wdrożenie dodatkowych środków ostrożności, zwłaszcza w środowiskach firmowych.

Kluczowe działania:

  • Monitorowanie zachowania Windows Defendera
    Zwróć szczególną uwagę na sygnały mogące świadczyć o manipulacji antywirusem: niespodziewane wyłączenia ochrony, wyłączone aktualizacje, zmiany konfiguracji, których nikt z zespołu nie wprowadzał.
  • Dodatkowe warstwy ochrony
    W firmach warto rozważyć dodatkowe rozwiązania EDR/XDR lub drugi system ochrony, który może wykryć nietypowe działania procesów Defendera, a także próby eskalacji uprawnień z poziomu zwykłych kont użytkowników.
  • Ograniczenie uprawnień użytkowników
    Im mniej praw ma zwykły użytkownik, tym trudniej wykorzystać lukę w praktyce. Warto upewnić się, że konta pracowników nie działają z nadmiernymi przywilejami i że polityki haseł oraz MFA są konsekwentnie stosowane.
  • Monitoring logów i systemu
    Wdrożenie centralnego monitoringu (SIEM, logi z Defendera, logi zdarzeń Windows) może pomóc w wychwyceniu prób użycia exploitów, szczególnie tam, gdzie zadziała UnDefend i nagle „znikną” aktualizacje antywirusa.

Na poziomie użytkownika domowego rozsądnym krokiem jest:

  • regularne aktualizowanie systemu Windows,
  • okresowe sprawdzenie, czy Windows Defender jest faktycznie włączony i aktualny,
  • ostrożność przy uruchamianiu plików z niepewnych źródeł, nawet jeśli „antywirus nic nie mówi”.

Podsumowanie

Luka typu zero-day w Windows Defenderze pokazuje, jak cienka bywa granica między narzędziem ochronnym a potencjalną bronią w rękach atakującego. Publiczne exploity BlueHammerRedSun i UnDefend zamieniły teorię w praktykę w ciągu zaledwie kilkunastu godzin – do tego stopnia, że firmy bezpieczeństwa, takie jak Huntress, raportują już realne ataki na organizacje.

Z punktu widzenia bezpieczeństwa to bardzo istotne wydarzenie. Administratorzy nie mogą zakładać, że „skoro jest Defender, to jesteśmy bezpieczni” – przynajmniej do czasu pełnego załatania wszystkich wektorów ataku konieczne są dodatkowe warstwy ochrony i wzmożony monitoring. Użytkownicy domowi z kolei powinni mieć świadomość, że nawet domyślny antywirus w Windows może stać się celem i narzędziem ataku, dlatego aktualizacje i podstawowa cyberhigiena są ważniejsze niż kiedykolwiek.

Jeżeli Microsoft szybko dostarczy kompleksową poprawkę i lepszą komunikację wokół tej luki, zaufanie do Windows Defendera da się odbudować. Na razie jednak, zwłaszcza w firmach, rozsądnie jest traktować go nie jako jedyny bastion, ale element szerszej, wielowarstwowej strategii bezpieczeństwa

Liczba wyświetleń: 0

Jesteś naszym klientem?

Awaria sprzętu?

Problem ze sprzętem?

Zgłoś chęć naprawy

Nasza oferta

Pogoda dla Wrocławia
8°C
Wrocław
zachmurzenie umiarkowane
9° _ 8°
79%
5 km/h
pon.
9 °C
wt.
12 °C
śr.
13 °C
czw.
13 °C
pt.
13 °C