Microsoft Defender, софтуерът за сигурност, вграден в Windows, е на прицел заради уязвимост, която според федералните власти по киберсигурност вече е била използвана в кампании с рансъмуер. Уязвимостта, регистрирана като CVE-2026-33825 и известна като BlueHammer, позволява на атакуващ с валидни права за достъп да повиши привилегиите си в системата. Веднъж проникнал в мрежата, това допълнително ниво на достъп може да се окаже достатъчно за продължаване на атаката. Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) твърди, че уязвимостта вече е била използвана в кампании с рансъмуер , но не съобщава имената на замесените групи.
BlueHammer стана публично достояние на 2-ри април по необичаен начин. Изследовател, използващ псевдонимите Chaotic Eclipse и Nightmare Eclipse, публикува подробности за експлоита, преди Microsoft да е подготвила кръпка, като заяви, че е недоволен от начина, по който компанията се справя със сигналите за уязвимости. Това ранно разкритие намали времето, с което защитниците обикновено разполагат, за да се подготвят.
Microsoft пусна поправка на 14-ти април и заяви, че уязвимостта може да бъде използвана от автентифициран атакуващ за ескалация на привилегиите. По-късно същия месец компанията актуализира своето предупреждение, като посочи, че използването е „по-вероятно“, но не потвърди, че в реалния свят се провеждат подобни атаки.
Потвърждението дойде от източник извън компанията. Фирмата за сигурност Huntress съобщи, че хакерите вече са се възползвали от уязвимостта, преди пачовете да бъдат налични, третирайки я като „zero-day“.
На 22-ри април CISA добави CVE-2026-33825 към своя KEV каталог, като го маркира като уязвимост, която се експлоатира активно. В по-късна актуализация CISA заяви, че уязвимостта е била използвана при рансъмуер атаки.
Уязвимостта се откроява не само защото позволява ескалация на правата, но и защото се намира в самия Microsoft Defender. Defender е вграден в Windows и често работи с права на високо ниво. Екипите по сигурността разчитат на този достъп за прозрачност и контрол, но това също означава, че един бъг в Defender може да има по-широко въздействие, отколкото уязвимост в обикновено приложение. Ако атакуващите използват BlueHammer, за да получат по-високи права, за тях става по-лесно да извършат по-нататъшни действия, включително разпространение на рансъмуер.
Все още няма много публично достъпна информация за това как конкретни групи, разпространяващи рансъмуер, използват уязвимостта. Каталогът KEV на CISA не предоставя достатъчно информация за промените в регистрациите, а агенцията не изпраща отделни предупреждения, когато актуализира съществуващ списък, за да отрази използването на рансъмуер. Това е накарало някои представители на общността по сигурността да се запитат колко практическа помощ всъщност оказват тези „тихи“ актуализации на защитниците, които се опитват да определят приоритетите си за това какво да поправят първо.
Част от тази празнина се запълва от усилията на частния сектор. Компанията за разузнаване на заплахи GreyNoise пусна безплатен инструмент за проследяване на промените в каталога KEV, включително когато CISA маркира дадена уязвимост като използвана в ransomware. Целта е да се улесни наблюдението на тези промени от екипите по сигурност в момента, в който се случват.
Хронологията на BlueHammer показва повтарящ се проблем при справянето с уязвимостите в софтуера. В този случай подробностите за експлоита бяха разкрити преди излизането на кръпка, което даде възможност на атакуващите да използват уязвимостта, докато защитниците все още чакаха поправки. Дори след пускането на фиксовете подробната информация за това как уязвимостта се използва в атаките може да закъснее, което принуждава екипите по сигурност да действат, без да разполагат с пълната картина.
За организациите всяка система, която не е била обновена след априлските актуализации на Microsoft, може все още да е изложена на уязвимост, която сега е свързана с рансъмуер. В среди, където атакуващите комбинират множество техники, една грешка, позволяваща ескалация на правата в ключовия компонент за сигурност, може да превърне това, което започва като малък пробив, в сериозен инцидент.