Premium novinky

  2. Titulní stránka
  3. Premium novinky
  4. Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender
Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Premium novinky Date: Zobrazení: 92

Nové zranitelnosti v katalogu CISA KEV – vydání 17b: aktivně zneužívaná chyba v Microsoft Defender

Americká agentura CISA přidala do katalogu Known Exploited Vulnerabilities zero-day zranitelnost CVE-2026-33825 v Microsoft Defender, která útočníkovi umožňuje lokální eskalaci oprávnění až na úroveň SYSTEM. Chyba, známá jako BlueHammer, zneužívá race condition v procesu čištění malwaru a je na fully patched systémech Windows 10 a Windows 11 aktivně zneužívána.

CVE-2026-33825 | CVSS 7,8 | Microsoft Defender (Antimalware Platform pro Windows 10 a Windows 11)

Chyba typu time-of-check to time-of-use (TOCTOU) se nachází ve vnitřní logice remediace detekovaných souborů. Windows Defender provádí privilegované operace nad souborem v okamžiku úklidu hrozby, ale cestu k souboru neověřuje znovu v okamžiku samotného zápisu. Útočník nejprve podstrčí do sledovaného adresáře soubor, který spustí detekci, a ve chvíli, kdy Defender zahájí úklidovou akci, využije batch opportunistic lock (oplock) k pozastavení operace. V tomto mikrookénku vymění původní cíl za NTFS junction point směřující například do C:\Windows\System32. Defender poté provede zápis do systémového adresáře s oprávněními SYSTEM, čímž útočník bez potřeby administrátorského účtu získá plnou kontrolu nad strojem.

Image

Zranitelnost byla formálně zveřejněna v rámci dubnového Patch Tuesday 7. dubna 2026. Microsoft vydal opravu prostřednictvím aktualizace Microsoft Defender Antimalware Platform ve verzi 4.18.26030.3011. Platforma se u výchozí konfigurace aktualizuje automaticky, přesto správci systémů u regulovaných klientů a serverů ověří, že cílová verze byla skutečně nasazena. V prostředích s přísnou kontrolou aktualizací, typicky u kritické infrastruktury a ve velkých podnicích, se aktualizace platformy Defender často chová jinak než měsíční kumulativní záplaty Windows a může uváznout ve schvalovacím procesu.

Zařazení chyby na seznam KEV potvrzuje aktivní exploitaci. Útoky BlueHammer využívají známé proof-of-concept nástroje, které se objevily po zveřejnění technických detailů a jsou kombinovány s dalšími chybami Windows pro získání persistence. Pro organizace, kde je Microsoft Defender primárním antivirovým řešením, jde o zranitelnost s velmi nízkou bariérou zneužití: nevyžaduje síťové oprávnění ani interakci uživatele a dopadá i na plně záplatované systémy.

Opatření: ověřit aktuálnost Microsoft Defender Antimalware Platform (minimálně 4.18.26030.3011) na všech spravovaných stanicích a serverech Windows 10 a Windows 11, doplnit telemetrii o vytváření podezřelých NTFS junction bodů v adresářích s příchozími soubory (složky pro stahování, dočasné adresáře, sdílené úložiště) a u kritických strojů zvážit dočasnou restrikci nástrojů, které umožňují vytvoření symbolických odkazů nebo junction bodů neprivilegovaným uživatelům.

Zdroj

CISA

Kontakt

Další články

NovinkyLada

Belgický úřad na ochranu osobních údajů (APD/GBA) uložil provozovateli digitální autentizační a identifikační služby pokutu 120 000 eur za to, že se sám nesprávně označil za zpracovatele namísto spr
Premium novinkyLada

Sedm nových záznamů přidaných 20. 5. 2026 přináší neobvyklou kombinaci: pět CVE pochází z let 2008–2010, tedy ze softwaru, který je buď již dlouho záplatovaný, nebo zcela mimo podporu. Přesto CISA j
NovinkyLada

Úřad pro ochranu osobních údajů zveřejnil konzultační stanovisko k nasazení kamerových systémů zpracovávajících biometrické charakteristiky na fotbalových stadionech. Závěr je jednoznačný: běžný kam
  • Domů
  • O nás
  • Expertiza
  • Software
  • Novinky
  • Kontakt