هشدار درباره سوءاستفاده باج‌افزارها از آسیب‌پذیری BlueHammer

بر اساس اعلام مرکز CISA گروه‌های باج‌افزاری اکنون به‌طور فعال از آسیب‌پذیری BlueHammer با شناسه CVE-2026-33825 در Microsoft Defender سوءاستفاده می‌کنند. مهاجمان پیش‌تر نیز از این نقص در حملات روز-صفر استفاده کرده بودند. این آسیب‌پذیری به مهاجم اجازه می‌دهد سطح دسترسی خود را تا SYSTEM افزایش دهد و کنترل کامل سیستم را در اختیار بگیرد.

شرکت مایکروسافت این نقص را یک آسیب‌پذیری ارتقای سطح دسترسی (Privilege Escalation) معرفی کرده است. این شرکت اعلام کرده ضعف در سازوکار کنترل دسترسی Microsoft Defender به مهاجمانی که به سیستم دسترسی محلی دارند، امکان می‌دهد امتیازهای خود را افزایش دهند.

پژوهشگری با نام مستعار Nightmare Eclipse اوایل آوریل ۲۰۲۶ این آسیب‌پذیری را همراه با کد اثبات مفهوم (PoC) منتشر کرد. او اعلام کرد این اقدام را در اعتراض به نحوه مدیریت فرآیند افشای آسیب‌پذیری‌ها توسط مرکز پاسخ‌گویی امنیتی مایکروسافت (MSRC) انجام داده است.

هر چند بهره‌برداری از این نقص چندان ساده نیست اما مهاجم در صورت موفقیت، به پایگاه داده Security Account Manager (SAM) دسترسی پیدا می‌کند. این پایگاه هش رمز عبور حساب‌های محلی Windows را نگهداری می‌کند. مهاجم سپس می‌تواند سطح دسترسی خود را به SYSTEM ارتقا دهد و کنترل کامل دستگاه را به دست بگیرد.

مایکروسافت آسیب‌پذیری را وصله کرد

مایکروسافت در به‌روزرسانی امنیتی Patch Tuesday آوریل ۲۰۲۶ این آسیب‌پذیری را برطرف کرد. با این حال، محققان شرکت Huntress Labs چند روز بعد اعلام کردند مهاجمان پیش از انتشار وصله از این نقص در حملات واقعی استفاده کرده‌اند.

بررسی‌های Huntress همچنین نشان داد مهاجمان پس از نفوذ اولیه، عملیات خود را به‌صورت تعاملی ادامه داده‌اند. روشی که به Hands-on-Keyboard معروف است. در این نوع حملات، مهاجم به‌جای تکیه بر ابزارهای خودکار، به‌صورت مستقیم روی سیستم قربانی فعالیت می‌کند.

CISA: گروه‌های باج‌افزاری از BlueHammer استفاده می‌کنند

مرکز CISA در ۲۲ آوریل این آسیب‌پذیری را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد. این سازمان از نهادهای فدرال آمریکا خواست حداکثر تا ۷ مه سیستم‌های خود را به‌روزرسانی کنند.

اکنون CISA با انتشار یک به‌روزرسانی جدید اعلام کرده است که گروه‌های باج‌افزاری نیز از CVE-2026-33825 در حملات خود استفاده می‌کنند. مایکروسافت هنوز این آسیب‌پذیری را در اسناد رسمی خود به‌عنوان نقصی که مهاجمان به‌طور فعال از آن سوءاستفاده می‌کنند، علامت‌گذاری نکرده است. با این حال، ارزیابی CISA نشان می‌دهد این نقص اکنون به یکی از ابزارهای مهاجمان باج‌افزاری تبدیل شده است.

سابقه افشای آسیب‌پذیری‌های Windows

Nightmare Eclipse طی ماه‌های اخیر چندین آسیب‌پذیری Zero-Day دیگر Windows را نیز منتشر کرده است. RoguePlanet، RedSun، GreenPlasma، MiniPlasma، YellowKey و UnDefend از جمله این موارد هستند.

برخی از این آسیب‌پذیری‌ها Microsoft Defender را هدف قرار می‌دهند. برخی دیگر نیز روی BitLocker و دیگر مؤلفه‌های Windows تأثیر می‌گذارند. مایکروسافت سه آسیب‌پذیری GreenPlasma، MiniPlasma و YellowKey را در به‌روزرسانی امنیتی Patch Tuesday ژوئن ۲۰۲۶ برطرف کرد.

توصیه‌های امنیتی

با توجه به ورود BlueHammer به زنجیره حملات باج‌افزاری، سازمان‌ها باید نصب وصله‌های امنیتی را در اولویت قرار دهند. این اقدام، خطر نفوذ مهاجمان و اجرای باج‌افزار در شبکه‌های سازمانی را به میزان قابل‌توجهی کاهش می‌دهد.