Premium novinky

  2. Titulní stránka
  3. Premium novinky
  4. Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender
Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Premium novinky Date: Zobrazení: 9

Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Americká agentura CISA přidala do katalogu Known Exploited Vulnerabilities zero-day zranitelnost CVE-2026-33825 v Microsoft Defender, která útočníkovi umožňuje lokální eskalaci oprávnění až na úroveň SYSTEM. Chyba, známá jako BlueHammer, zneužívá race condition v procesu čištění malwaru a je na fully patched systémech Windows 10 a Windows 11 aktivně zneužívána.

CVE-2026-33825 | CVSS 7,8 | Microsoft Defender (Antimalware Platform pro Windows 10 a Windows 11)

Chyba typu time-of-check to time-of-use (TOCTOU) se nachází ve vnitřní logice remediace detekovaných souborů. Windows Defender provádí privilegované operace nad souborem v okamžiku úklidu hrozby, ale cestu k souboru neověřuje znovu v okamžiku samotného zápisu. Útočník nejprve podstrčí do sledovaného adresáře soubor, který spustí detekci, a ve chvíli, kdy Defender zahájí úklidovou akci, využije batch opportunistic lock (oplock) k pozastavení operace. V tomto mikrookénku vymění původní cíl za NTFS junction point směřující například do C:\Windows\System32. Defender poté provede zápis do systémového adresáře s oprávněními SYSTEM, čímž útočník bez potřeby administrátorského účtu získá plnou kontrolu nad strojem.

Image

Zranitelnost byla formálně zveřejněna v rámci dubnového Patch Tuesday 7. dubna 2026. Microsoft vydal opravu prostřednictvím aktualizace Microsoft Defender Antimalware Platform ve verzi 4.18.26030.3011. Platforma se u výchozí konfigurace aktualizuje automaticky, přesto správci systémů u regulovaných klientů a serverů ověří, že cílová verze byla skutečně nasazena. V prostředích s přísnou kontrolou aktualizací, typicky u kritické infrastruktury a ve velkých podnicích, se aktualizace platformy Defender často chová jinak než měsíční kumulativní záplaty Windows a může uváznout ve schvalovacím procesu.

Zařazení chyby na seznam KEV potvrzuje aktivní exploitaci. Útoky BlueHammer využívají známé proof-of-concept nástroje, které se objevily po zveřejnění technických detailů a jsou kombinovány s dalšími chybami Windows pro získání persistence. Pro organizace, kde je Microsoft Defender primárním antivirovým řešením, jde o zranitelnost s velmi nízkou bariérou zneužití: nevyžaduje síťové oprávnění ani interakci uživatele a dopadá i na plně záplatované systémy.

Opatření: ověřit aktuálnost Microsoft Defender Antimalware Platform (minimálně 4.18.26030.3011) na všech spravovaných stanicích a serverech Windows 10 a Windows 11, doplnit telemetrii o vytváření podezřelých NTFS junction bodů v adresářích s příchozími soubory (složky pro stahování, dočasné adresáře, sdílené úložiště) a u kritických strojů zvážit dočasnou restrikci nástrojů, které umožňují vytvoření symbolických odkazů nebo junction bodů neprivilegovaným uživatelům.

Zdroj

CISA

Kontakt

Další články

Premium novinkyZet

CISA přidala do katalogu Known Exploited Vulnerabilities zero-day zranitelnost CVE-2026-33825 v Microsoft Defender, která útočníkovi umožňuje lokální eskalaci oprávnění až na úroveň SYSTEM. Chyba, zná
NovinkyZet

Národní úřad pro kybernetickou a informační bezpečnost vydal 22. dubna 2026 pravidelný čtvrtletní přehled hrozeb. Leden až březen přinesl nejvyšší počet hlášených incidentů za posledních dvanáct měsíc
NovinkyZet

Mozilla veřejně potvrdila, že nasadila model Anthropic Opus 4.6 (známý jako Mythos) na vyhledávání chyb v kódu Firefoxu 150, a model jich odhalil 271. Tradiční technika fuzzingu použitá u Firefoxu 148
  • Domů
  • O nás
  • Expertiza
  • Software
  • Novinky
  • Kontakt