Основы Интернет - технологий.

Разработчики Microsoft выпустили внеплановые обновления для исправления двух 0-day-уязвимостей в Microsoft Defender, которые уже применяются в реальных атаках. Речь идет о багах CVE-2026-41091 и CVE-2026-45498, известных под названиями RedSun и UnDefend. Первая проблема (7,8 балла по шкале CVSS) представляет собой LPE-уязвимость, связанную с некорректной обработкой ссылок перед доступом к файлам (link following). Эксплуатация бага позволяет локальному атакующему получить привилегии SYSTEM. Вторая уязвимость набрала лишь 4,0 балла по шкале CVSS, однако тоже оказалась опасной. Баг позволяет обычному пользователю перевести Defender в состояние отказа в обслуживании и, по сути, ломает обновление антивирусных сигнатур. Уязвимости затрагивали Microsoft Malware Protection Engine 1.1.26030.3008 и более ранние версии, а также Microsoft Defender Antimalware Platform 4.18.26030.3011 и ниже. Проблемы были устранены в обновлениях 1.1.26040.8 и 4.18.26040.7 соответственно. В Microsoft подчеркивают, что системы с отключенным Defender не подвержены эксплуатации, даже если файлы антивируса присутствуют на диске. Также в компании заявили, что большинству пользователей не нужно ничего делать, так как обновления устанавливаются автоматически. При этом Агентство по кибербезопасности и защите инфраструктуры (CISA) уже внесло обе уязвимости в каталог эксплуатируемых проблем (Known Exploited Vulnerabilities, KEV), а федеральным ведомствам США приказали исправить их до 3 июня 2026 года. В CISA напомнили, что подобные баги регулярно используются атакующими против корпоративной инфраструктуры. В выпущенных бюллетенях безопасности Microsoft не раскрывает практически никаких технических деталей, однако, по словам Microsoft MVP Фабиана Бадера (Fabian Bader), исправленные уязвимости связаны с проблемами BlueHammer, RedSun и UnDefend, информацию и эксплоиты для которых в прошлом месяце опубликовал в открытом доступе ИБ-исследователь Chaos Eclipse (он же Nightmare-Eclipse). Вскоре после выхода патчей сам Nightmare Eclipse подтвердил, что CVE-2026-45498 соответствует багу UnDefend, а CVE-2026-41091 — RedSun. Напомним, что ранее исследователь писал, что публикует эксплоиты в знак протеста против того, как специалисты Microsoft Security Response Center (MSRC) обращаются с ИБ-специалистами. По его словам, представители Microsoft угрожали ему и обещали «разрушить его жизнь». В новом послании Nightmare Eclipse пообещал выпустить следующий «релиз» 14 июля 2026 года и продолжил угрожать компании. Он заявляет, что теперь Microsoft удалила его аккаунт на GitHub и учетную запись Microsoft, «публично унизила» и отказалась от коммуникаций. Кроме того, он намекнул, что располагает некими документами, связанными с компанией, хотя пока не готов их опубликовать. «Возможно, я кажусь сумасшедшим придурком, который только и делает, что ноет, но у меня есть доказательства каждого моего слова, просто я пока не могу их опубликовать. Почему? Microsoft все еще держит меня в цепях, и так продолжается уже много лет, но я больше не могу молчать. Надеюсь, я смогу опубликовать документы в ближайшее время, — пишет Nightmare Eclipse. — Запомните дату — 14 июля. В этот день я позабочусь о том, чтобы ваши кости были раздроблены».