Ochranný protokol Windows má díru, kterou hackeři zneužívají k vydírání. Záplata přišla pozdě, škody rostou
Chyba v Microsoft Defenderu dala útočníkům dvanáct dní na to, aby z ochranného softwaru udělali zbraň. Některé útoky skončily ransomwarem.
Obsah článku
Když se řekne „ochranný protokol Windows“, většina lidí si představí nějakou hlubokou síťovou vrstvu operačního systému. Ve skutečnosti je problém ještě nepříjemnější: zranitelnost s označením CVE-2026-33825 se týká přímo Microsoft Defender Antimalware Platform, tedy toho softwaru, který má počítač chránit před malwarem. Místo toho se stal jeho součástí. Výzkumník vystupující pod přezdívkou Chaotic Eclipse zveřejnil funkční exploit pojmenovaný BlueHammer 2. dubna 2026 na svém blogu. Záplata od Microsoftu dorazila až 14. dubna. Dvanáct dní, během kterých měl kdokoliv s lokálním přístupem k nezáplatovanému stroji návod, jak získat nejvyšší systémová oprávnění.
Co přesně se rozbilo a proč je to vážné
Zranitelnost se oficiálně klasifikuje jako „Insufficient granularity of access control“ se skóre CVSS 7,8. Bezpečnostní firma Huntress ji technicky popisuje jako TOCTOU (time-of-check-to-time-of-use) race condition v tzv. threat remediation engine Defenderu, tedy v té části, která má odstraňovat nalezené hrozby. Útočník s běžným uživatelským účtem dokázal tuto chybu zneužít k eskalaci oprávnění na úroveň SYSTEM, což je v hierarchii Windows nejvyšší možná autorita.
Co to v praxi znamená? Přístup k SAM databázi s hashi lokálních účtů. Možnost dumpovat přihlašovací údaje. Prostor pro trvalé ukotvení v systému. BlueHammer sám o sobě ransomware nespouští, je to urychlovač. Otevře dveře, kterými pak projde cokoliv dalšího.
Dvanáct dní, které změnily pravidla
Časová osa je klíčová pro pochopení celého problému:
- 2. dubna 2026 – výzkumník Chaotic Eclipse zveřejňuje BlueHammer exploit na svém blogu s přímým vzkazem: „Neblafoval jsem Microsoft a udělám to znovu.“
- 14. dubna 2026 – Microsoft vydává opravu v rámci pravidelného Patch Tuesday. Opravená verze Defender Antimalware Platform nese číslo 4.18.26030.3011.
- 20. dubna 2026 – Huntress publikuje analýzu reálné intruze, při které útočníci BlueHammer použili po průniku přes kompromitovaný FortiGate SSL VPN.
- 22. dubna 2026 – americká agentura CISA zařazuje CVE-2026-33825 do katalogu aktivně zneužívaných zranitelností (KEV) a stanovuje federálním agenturám termín nápravy do 6. května 2026.
- 30. června 2026 – BleepingComputer informuje, že CISA nově spojuje BlueHammer i s ransomware kampaněmi.
Výzkumník tvrdí, že Microsoft Security Response Center jeho původní hlášení odmítl nebo bagatelizoval, a veřejné zveřejnění exploitu bylo jeho reakcí na tento přístup. Jde o tvrzení jedné strany; Microsoft veřejně pouze zopakoval podporu koordinovaného zodpovědného oznamování zranitelností. Proč nevydal mimořádnou opravu mimo pravidelný cyklus, veřejně nevysvětlil.
Kdo je v ohrožení a jak moc
Důležitý detail: BlueHammer vyžaduje lokální nebo autorizovaný přístup k cílovému stroji. Nejde o vzdálený útok jedním kliknutím přes internet. Pro domácího uživatele, který nikomu nepůjčuje počítač a nestahuje podezřelé soubory, je přímé riziko nižší.
Jiná situace panuje ve firemním prostředí. Huntress popsal incident, kde útočníci nejprve kompromitovali VPN přístup, dostali se do sítě a teprve poté nasadili BlueHammer k eskalaci oprávnění, klasický útok s přímým ovládáním klávesnice. IP adresy v tomto případě byly geolokované mimo jiné do Ruska, konkrétní ransomware skupina ale veřejně pojmenována nebyla.
Veřejně nejsou dostupné ani souhrnné počty obětí, ani finanční vyčíslení škod. Co je doložené: CISA potvrzuje ransomware kampaně, Huntress potvrzuje reálnou intruzi a Microsoft sám ve svém advisory dlouho neoznačoval zranitelnost jako aktivně zneužívanou, přestože to CISA i Huntress dokumentovaly. Podle nás jde o konzervativní interní práh Microsoftu pro potvrzení exploitace, ale bez veřejného komentáře firmy to nelze tvrdit jako fakt.
Veřejně potvrzený český incident s explicitním připsáním BlueHammer se nám nepodařilo dohledat. Na stránce NÚKIB v sekci hrozeb k 4. červenci 2026 samostatné upozornění na tuto zranitelnost nefiguruje.
Jak si ověřit, že jste v bezpečí
Zranitelné jsou všechny verze Microsoft Defender Antimalware Platform nižší než 4.18.26030.3011. Nejspolehlivější způsob kontroly je spustit PowerShell jako správce a zadat:
Get-MPComputerStatus | Format-Table AMProductVersion
Pokud výsledek ukazuje číslo nižší než 4.18.26030.3011, stroj spadá do zranitelného rozsahu a je potřeba okamžitě vynutit aktualizaci přes Windows Update. V grafickém rozhraní lze verzi zkontrolovat v aplikaci Zabezpečení Windows pod „Aktualizace ochrany před viry a hrozbami“, ale PowerShell je přesnější.
Oficiální workaround od výrobce mimo instalaci záplaty se nám ve veřejných zdrojích nepodařilo najít. Pokud patch z jakéhokoliv důvodu nejde rychle nasadit, je rozumné omezit lokální neprivilegované přístupy, zvýšit monitoring a zařízení dočasně považovat za zvýšeně rizikové.
Větší problém než jedna chyba
BlueHammer není ojedinělý. Podle veřejně dostupných dat bylo v posledních letech v katalogu CISA evidováno osm zranitelností Microsoft Defenderu, z toho dvě i v kontextu ransomware kampaní. Po BlueHammer navíc tentýž výzkumník zveřejnil další techniky, RedSun a UnDefend, které Huntress už v dubnu 2026 spojoval s reálnou intruzí.
Hlavní lekce není jen „Microsoft opravil chybu pozdě“. Je v tom, že vestavěná ochranná vrstva Windows musí být spravována jako samostatný kritický software s vlastním ověřováním verzí. Spoléhat se na to, že „se to aktualizuje samo“, je sázka, která v dvanáctidenním okně mezi exploitem a záplatou prohrává.