سوءاستفاده از آسیب‌پذیری‌های Microsoft Defender

در هفته‌های اخیر، سه آسیب‌پذیری روز-صفر در سیستم‌عامل Windows به‌طور فعال در سناریوهای حمله واقعی مورد بهره‌برداری قرار گرفته‌اند؛ موضوعی که نگرانی‌های جدی در حوزه امنیت نقاط پایانی (Endpoint Security) ایجاد کرده است. این نقص‌ها عمدتاً مسیرهایی برای ارتقای سطح دسترسی محلی (Local Privilege Escalation – LPE) و تضعیف مکانیزم‌های دفاعی Microsoft Defender فراهم می‌کنند.

این سه آسیب‌پذیری که با نام‌های BlueHammer ،RedSun و UnDefend  شناخته می‌شوند، ابتدا توسط پژوهشگری با نام مستعار Nightmare-Eclipse همراه با کدهای اثبات مفهوم (PoC) منتشر شدند. انتشار عمومی این اکسپلویت‌ها بدون وجود وصله امنیتی، عملاً شرایط را برای به اصطلاح Weaponization سریع آن‌ها توسط مهاجمان فراهم کرد.

 تحلیل فنی آسیب‌پذیری‌ها

دو مورد از این نقص‌ها (BlueHammer و RedSun) در دسته LPE قرار می‌گیرند و مستقیماً Microsoft Defender را هدف قرار می‌دهند. در این میان، RedSun از یک رفتار ناامن در مکانیزم پردازش فایل‌های دارای Cloud Tag سوءاستفاده می‌کند. در این سناریو، Defender پس از شناسایی فایل مخرب، به‌جای ایزوله‌سازی، فایل را در مسیر اولیه بازنویسی می‌کند. این رفتار به مهاجم اجازه می‌دهد با دستکاری مسیرها و کدهای Payload، فایل‌های سیستمی را رونویسی کرده و به سطح دسترسی SYSTEM برسد.

آسیب‌پذیری UnDefend نیز یک بردار حمله متفاوت فراهم می‌کند؛ به‌طوری‌که یک کاربر با سطح دسترسی معمولی می‌تواند فرآیند به‌روزرسانی امضاهای Defender را مختل کند. این امر باعث می‌شود سیستم در برابر تهدیدات جدید بدون محافظ باقی بماند و عملاً لایه دفاعی مبتنی بر امضا (Signature) از کار بیفتد.

 وضعیت بهره‌برداری در دنیای واقعی (In-the-Wild Exploitation)

گزارش‌های میدانی نشان می‌دهند که این اکسپلویت‌ها در حملات واقعی مورد استفاده قرار گرفته‌اند. به‌ویژه BlueHammer از اوایل بهار وارد زنجیره حملات شده است. همچنین شواهدی از بهره‌برداری ترکیبی RedSun و UnDefend در سیستم‌هایی که از طریق دسترسی‌های به خطر افتاده SSLVPN نفوذ شده‌اند، مشاهده شده است.

نکته قابل توجه، وجود الگوهای Hands-on-Keyboard Activity در این حملات است؛ به این معنا که مهاجم پس از دستیابی اولیه، به‌صورت تعاملی و دستی اقدام به گسترش دسترسی و اجرای کدهای Payload کرده است، نه صرفاً از طریق بدافزارهای خودکار.

وضعیت وصله‌ها و ریسک فعلی

مایکروسافت تاکنون تنها برای BlueHammer (با شناسه CVE-2026-33825) وصله منتشر کرده است. با این حال، RedSun و UnDefend همچنان بدون Pacth باقی مانده‌اند.

جمع‌بندی

با توجه به انتشار عمومی PoC و نبود وصله کامل، توصیه می‌شود سازمان‌ها علاوه بر به‌روزرسانی فوری سیستم‌ها، از مکانیزم‌های تکمیلی مانند EDR، محدودسازی دسترسی‌ها، و مانیتورینگ رفتارهای غیرعادی در سطح سیستم استفاده کنند.