- CISA heeft BlueHammer, een escalatiefout in Microsoft Defender-privileges, toegevoegd aan de catalogus van bekende misbruikte kwetsbaarheden.
- Federale instanties hebben tot 6 mei de tijd om het gebruik te patchen of stop te zetten, nadat wetenschappers actieve uitbuiting in het wild bevestigden.
- De onthulling kwam van ‘Chaotic Eclipse’, waarin ook twee andere Defender zero-days werden onthuld, waarbij Huntress Labs exploitpogingen koppelde aan verdachte mondiale infrastructuur.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft BlueHammer toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden (KEV), waardoor de Federal Civilian Executive Branch (FCEB) instanties een deadline van twee weken krijgen om de kwetsbare software te patchen of volledig te stoppen.
BlueHammer wordt beschreven als een “onvoldoende granulariteit van toegangscontrole i Microsoft Defender’-kwetsbaarheid, waarmee ongeautoriseerde aanvallers lokaal hun bevoegdheden kunnen verhogen. De kwetsbaarheid wordt bijgehouden als CVE-2026-33825 en heeft een ernstscore van 7,8/10 (hoog) gekregen.
Het werd begin april van dit jaar voor het eerst onthuld door een ogenschijnlijk ontevreden beveiligingsonderzoeker met de alias “Chaotic Eclipse”. Zij publiceerden kwetsbaarheid op hun blogdestijds als zero-day omdat ze niet tevreden waren met de manier waarop Microsoft omgaat met openbaarmakingen van kwetsbaarheden.
Het artikel gaat hieronder verder
RedSun en unDefend
“Ik heb Microsoft niet gebluft, en ik doe het opnieuw”, zeiden ze, voordat ze een GitHub-repository voor BlueHammer deelden.
Microsoft reageerde door te zeggen dat het “de plicht van de klant heeft om gemelde beveiligingsproblemen te onderzoeken en de getroffen apparaten bij te werken om klanten zo snel mogelijk te beschermen.”
“We ondersteunen ook de gecoördineerde openbaarmaking van kwetsbaarheden, een veelgebruikte praktijk in de sector die ervoor zorgt dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt, waardoor zowel de bescherming van klanten als de veiligheidsonderzoeksgemeenschap wordt ondersteund”, aldus Microsoft.
Een week later onthulde dezelfde onderzoeker nog een zero-day-kwetsbaarheid in de Microsoft-verdediger. Deze, genaamd RoodZonwordt beschreven als een bug voor escalatie van lokale bevoegdheden die dit mogelijk maakt kwaadwillend actoren SYSTEEM-rechten in de nieuwste versies van Windows 10, Windows 11en Windows Server waarop Defender is ingeschakeld.
Ze hebben ook een derde bug uitgebracht, unDefend genaamd, die blijkbaar als standaardgebruiker kan worden misbruikt om updates van de Defender-definitie te blokkeren.
Wanneer CISA een kwetsbaarheid aan KEV toevoegt, betekent dit dat het bewijs heeft dat het actief in het wild wordt uitgebuit. FCEB-agentschappen hebben tot 6 mei de tijd om te patchen.
Tegelijkertijd zeiden beveiligingsonderzoekers van Huntress Labs dat kwaadwillende actoren de fouten in het wild hebben zien misbruiken.
“De activiteit leek ook deel uit te maken van een bredere inbraak in plaats van geïsoleerde proof-of-concept (PoC) testen”, aldus het cyberbeveiligingsbedrijf in een rapport. “Huntress identificeerde verdachte FortiGate SSL VPN-toegang die verband hield met de aangetaste omgeving, waaronder een bron-IP geolokaliseerd in Rusland, terwijl aanvullende verdachte infrastructuur werd waargenomen in andere regio’s.”
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen.
