Microsoft řeší kritické chyby ve svém antiviru. Útočníci je ale stihli využít dřív, než se na ně přišlo

Během dvou dubnových týdnů se na veřejnost dostaly tři funkční exploity proti Microsoft Defenderu. Jeden je opravený, dva ne.

Zdroj fotografie: Sinchen.Lin / Creative Commons / CC BY-SA

Bezpečnostní firma Huntress 20. dubna 2026 potvrdila, že všechny tři techniky zaznamenala v reálném útoku proti firemnímu cíli, nikoli v laboratorním prostředí, ale v živém incidentu navázaném na kompromitovaný VPN přístup. Windows přitom pohání přes 1,4 miliardy měsíčně aktivních zařízení a Defender je v systému zapnutý ve výchozím stavu. Útočníci tak míří přímo na vrstvu, kterou většina uživatelů považuje za samozřejmou pojistku.

Tři exploity, jedna oprava

Trojice technik nese názvy BlueHammer, RedSun a UnDefend. Každá dělá něco jiného, ale všechny zneužívají privilegované interní procesy Defenderu:

• BlueHammer (CVE-2026-33825) je klasická lokální eskalace práv. Útočník s běžným účtem využije race condition v tom, jak Defender pracuje se stínovými kopiemi při remediaci. Výsledek: práva SYSTEM. Microsoft ji opravil 14. dubna 2026 v platformě verze 4.18.26030.3011 a CISA ji 22. dubna zařadila do katalogu známě zneužívaných zranitelností s CVSS 7,8.
• RedSun zneužívá logiku cloudové detekce. Když Defender označí soubor jako škodlivý a provede zápis při remediaci, RedSun tuto operaci přesměruje k přepisu systémových souborů. Funguje i na plně záplatovaných Windows 10, Windows 11 a Windows Server 2019+. Oprava ke druhé polovině dubna 2026 neexistovala.
• UnDefend neeskaluje práva, ale oslepuje ochranu. Blokuje stahování signatur a v agresivním režimu dokáže při velké aktualizaci platformy Defender zcela vyřadit. Běžný uživatel ho spustí bez administrátorských práv.

Dubnový Patch Tuesday vyřešil jednu ze tří technik. Zbylé dvě zůstávaly podle Huntress i BleepingComputer bez opravy, Microsoft veřejně neoznámil termín záplaty.

Jak útok v praxi vypadal

Huntress popsal řetězec krok za krokem. Začal podezřelým přihlášením přes FortiGate SSL VPN z neobvyklé geolokace. Útočník spouštěl binárky z uživatelsky zapisovatelných složek, konkrétně Pictures a krátkých podsložek v Downloads. Následovaly průzkumné příkazy: whoami /priv, cmdkey /list, net group. Pak přišly na řadu exploity proti Defenderu.

Zajímavý detail: v tomto konkrétním případě se útočníkovi zřejmě nepodařilo eskalaci dotáhnout do konce. RedSun nepřepsal cílový TieringEngineService.exe v System32, BlueHammer nevytáhl přihlašovací materiál ze SAM databáze a UnDefend byl během reakce na incident ukončen. To ale nic nemění na tom, že veřejně dostupný kód funguje, a příští útočník může mít víc času.

Proč výzkumník exploity zveřejnil

Za všemi třemi technikami stojí účet Nightmare-Eclipse (dříve Chaotic Eclipse). Původní příspěvek na Blogspotu z 3. dubna 2026 byl explicitním protestem proti postupu Microsoftova bezpečnostního týmu MSRC. Výzkumník napsal: „Microsoftu jsem nehrál na bluf, a dělám to znovu.“ Následně zveřejnil RedSun i UnDefend jako plně funkční repozitáře na GitHubu.

Microsoft reagoval obecným stanoviskem, závazkem problémy prověřit a podporou koordinovaného zveřejňování. Konkrétní termín opravy RedSun a UnDefend firma veřejně neuvedla. Podle nás je tohle nejslabší místo celé situace: dva exploity s veřejným kódem, potvrzené aktivní zneužití a žádný veřejný harmonogram nápravy.

Co udělat teď

Samotná aktualizace Windows nestačí. Minimum pro domácí uživatele:

1. Ověřit verzi platformy Defenderu, musí být minimálně 4.18.26030.3011 (pokrývá BlueHammer).
2. Nechat zapnutou ochranu v reálném čase i cloudovou ochranu.
3. Nespouštět neznámé utility a přílohy pod žádným účtem, exploity vyžadují lokální spuštění.

Pro firemní IT správce je seznam delší. Huntress doporučuje okamžitě hledat soubory FunnyApp.exe, RedSun.exe, undef.exe, z.exe, detekci Exploit:Win32/DfndrPEBluHmr.BZ, neočekávané EICAR alerty, průzkumné příkazy a anomální VPN přihlášení z více geografií. Proces agent.exe komunikující se serverem staybud.dpdns.org:443 je další varovný signál.

Přechod na jiný primární antivirus technicky sníží expozici, Defender pak přejde do pasivního režimu, ale není to oficiálně doporučené nouzové řešení a neřeší již proběhlou kompromitaci.

Miliony ohrožených, ale ne miliony napadených

Číslo „miliony počítačů“ vychází z instalované základny, nikoli z počtu potvrzených obětí. Veřejně doložený aktivní útok je zatím jeden firemní incident. Riziko je ale reálné pro každý stroj s aktivním Defenderem, kde útočník získá byť jen běžný lokální přístup, a veřejný exploit kód tuto bariéru dramaticky snižuje.

Dva ze tří nástrojů zůstávají bez záplaty, veřejný kód je na GitHubu a CISA už jednu z chyb označila za státní prioritu. Čekat na další Patch Tuesday je sázka, kterou by firemní IT nemělo přijmout.