بر اساس اعلام مرکز CISA گروههای باجافزاری اکنون بهطور فعال از آسیبپذیری BlueHammer با شناسه CVE-2026-33825 در Microsoft Defender سوءاستفاده میکنند. مهاجمان پیشتر نیز از این نقص در حملات روز-صفر استفاده کرده بودند. این آسیبپذیری به مهاجم اجازه میدهد سطح دسترسی خود را تا SYSTEM افزایش دهد و کنترل کامل سیستم را در اختیار بگیرد.
شرکت مایکروسافت این نقص را یک آسیبپذیری ارتقای سطح دسترسی (Privilege Escalation) معرفی کرده است. این شرکت اعلام کرده ضعف در سازوکار کنترل دسترسی Microsoft Defender به مهاجمانی که به سیستم دسترسی محلی دارند، امکان میدهد امتیازهای خود را افزایش دهند.
پژوهشگری با نام مستعار Nightmare Eclipse اوایل آوریل ۲۰۲۶ این آسیبپذیری را همراه با کد اثبات مفهوم (PoC) منتشر کرد. او اعلام کرد این اقدام را در اعتراض به نحوه مدیریت فرآیند افشای آسیبپذیریها توسط مرکز پاسخگویی امنیتی مایکروسافت (MSRC) انجام داده است.
هر چند بهرهبرداری از این نقص چندان ساده نیست اما مهاجم در صورت موفقیت، به پایگاه داده Security Account Manager (SAM) دسترسی پیدا میکند. این پایگاه هش رمز عبور حسابهای محلی Windows را نگهداری میکند. مهاجم سپس میتواند سطح دسترسی خود را به SYSTEM ارتقا دهد و کنترل کامل دستگاه را به دست بگیرد.
مایکروسافت آسیبپذیری را وصله کرد
مایکروسافت در بهروزرسانی امنیتی Patch Tuesday آوریل ۲۰۲۶ این آسیبپذیری را برطرف کرد. با این حال، محققان شرکت Huntress Labs چند روز بعد اعلام کردند مهاجمان پیش از انتشار وصله از این نقص در حملات واقعی استفاده کردهاند.
بررسیهای Huntress همچنین نشان داد مهاجمان پس از نفوذ اولیه، عملیات خود را بهصورت تعاملی ادامه دادهاند. روشی که به Hands-on-Keyboard معروف است. در این نوع حملات، مهاجم بهجای تکیه بر ابزارهای خودکار، بهصورت مستقیم روی سیستم قربانی فعالیت میکند.
CISA: گروههای باجافزاری از BlueHammer استفاده میکنند
مرکز CISA در ۲۲ آوریل این آسیبپذیری را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد. این سازمان از نهادهای فدرال آمریکا خواست حداکثر تا ۷ مه سیستمهای خود را بهروزرسانی کنند.
اکنون CISA با انتشار یک بهروزرسانی جدید اعلام کرده است که گروههای باجافزاری نیز از CVE-2026-33825 در حملات خود استفاده میکنند. مایکروسافت هنوز این آسیبپذیری را در اسناد رسمی خود بهعنوان نقصی که مهاجمان بهطور فعال از آن سوءاستفاده میکنند، علامتگذاری نکرده است. با این حال، ارزیابی CISA نشان میدهد این نقص اکنون به یکی از ابزارهای مهاجمان باجافزاری تبدیل شده است.
سابقه افشای آسیبپذیریهای Windows
Nightmare Eclipse طی ماههای اخیر چندین آسیبپذیری Zero-Day دیگر Windows را نیز منتشر کرده است. RoguePlanet، RedSun، GreenPlasma، MiniPlasma، YellowKey و UnDefend از جمله این موارد هستند.
برخی از این آسیبپذیریها Microsoft Defender را هدف قرار میدهند. برخی دیگر نیز روی BitLocker و دیگر مؤلفههای Windows تأثیر میگذارند. مایکروسافت سه آسیبپذیری GreenPlasma، MiniPlasma و YellowKey را در بهروزرسانی امنیتی Patch Tuesday ژوئن ۲۰۲۶ برطرف کرد.
توصیههای امنیتی
با توجه به ورود BlueHammer به زنجیره حملات باجافزاری، سازمانها باید نصب وصلههای امنیتی را در اولویت قرار دهند. این اقدام، خطر نفوذ مهاجمان و اجرای باجافزار در شبکههای سازمانی را به میزان قابلتوجهی کاهش میدهد.