Nowa luka w Windows Defender kilka godzin po aktualizacji. Microsoft chciał zniszczyć badacza

Microsoft ledwo zdążył wypuścić poprawkę bezpieczeństwa dla Windows Defendera, a internet już obiegły informacje o kolejnym exploicie.

Tym razem chodzi o drugą lukę typu zero-day, która została publicznie ujawniona przez tego samego badacza bezpieczeństwa, który wcześniej opublikował pierwszy kod ataku. Sytuacja staje się wyjątkowo napięta, bo nowa podatność pojawiła się dosłownie kilka godzin po udostępnieniu oficjalnej łatki.

Najbardziej niepokojące jest to, że nowy exploit ponownie pozwala na uzyskanie uprawnień SYSTEM, czyli najwyższego poziomu dostępu w systemie Windows. Dla cyberprzestępcy to niemal pełna kontrola nad komputerem ofiary.

Jeden badacz i dwa ciosy w Microsoft

Za nowym ujawnieniem stoi osoba działająca pod pseudonimem Nightmare-Eclipse. To ten sam badacz, który wcześniej opublikował narzędzie pozwalające obejść mechanizmy ochronne Windows Defendera. Pierwszy exploit został potraktowany przez Microsoft bardzo poważnie i trafił do kwietniowego pakietu aktualizacji bezpieczeństwa.

Firma zamknęła podatność oznaczoną jako CVE-2026-33825, ale niemal natychmiast pojawiła się kolejna metoda ataku. Nowy kod nazwany RedSun wykorzystuje inną słabość w sposobie działania mechanizmu antywirusowego Microsoftu.

Według autora exploit wykorzystuje moment, w którym Defender analizuje podejrzany plik oznaczony przez chmurę bezpieczeństwa. Zamiast bezpiecznie go usunąć, system może ponownie zapisać plik w tej samej lokalizacji. Ten proces da się wykorzystać do nadpisania plików systemowych i przejęcia uprawnień administracyjnych.

„To jest po prostu śmieszne. Kiedy Windows Defender zorientuje się, że złośliwy plik ma etykietę w chmurze, z jakiegoś głupiego i zabawnego powodu, program antywirusowy, który ma chronić, decyduje, że dobrym pomysłem będzie po prostu ponowne zapisanie znalezionego pliku w jego pierwotnej lokalizacji. PoC nadużywa tego zachowania, aby nadpisać pliki systemowe i uzyskać uprawnienia administracyjne” – czytamy w repozytorium. „Uważam, że produkty antywirusowe służą do usuwania złośliwych plików”.

Defender miał chronić, a otwiera drzwi

W opisie opublikowanym przez badacza pojawiły się wyjątkowo ostre słowa pod adresem Microsoftu. Autor twierdzi, że logika działania programu antywirusowego jest absurdalna, ponieważ narzędzie przeznaczone do usuwania zagrożeń może zostać użyte przeciwko samemu systemowi.

W praktyce atakujący, który uzyskał wcześniej ograniczony dostęp do komputera, może wykorzystać nowy exploit do przejęcia pełnej kontroli nad urządzeniem. To otwiera drogę do instalacji złośliwego oprogramowania, kradzieży danych, wyłączania zabezpieczeń i przemieszczania się po firmowej sieci.

W środowiskach korporacyjnych taki scenariusz może oznaczać znacznie poważniejsze konsekwencje niż atak na pojedynczy komputer domowy.

Konflikt z Microsoftem przybiera na sile

Cała historia ma też osobisty wymiar. Nightmare-Eclipse nie ukrywa, że jego działania są formą odwetu. W opublikowanym wpisie badacz oskarżył Microsoft o zniszczenie jego życia i zerwanie wcześniejszych ustaleń dotyczących zgłoszeń bezpieczeństwa.

Autor sugeruje, że współpraca z Microsoft Security Response Center zakończyła się konfliktem, a firma miała potraktować go w sposób, którego nie zamierza już przemilczeć. W nowym wpisie zagroził publikacją kolejnych podatności, w tym znacznie groźniejszych luk pozwalających na zdalne wykonywanie kodu. Jeśli te deklaracje okażą się prawdziwe, Microsoft może stanąć przed bardzo trudnym problemem wizerunkowym i technicznym jednocześnie.

„Osobiście mi powiedzieli, że zrujnują mi życie i tak się stało” – pisze analityk. „Zabrali mi wszystko. Wytarli mną podłogę i wywlekli na mnie wszystkie możliwe dziecinne gry. W pewnym momencie było tak źle, że zastanawiałem się, czy mam do czynienia z wielką korporacją, czy z kimś, kto po prostu bawi się, patrząc na moje cierpienie, ale wygląda na to, że to była wspólna decyzja”

Publiczne exploity to realne zagrożenie

Największy problem polega na tym, że kod ataku został już udostępniony publicznie. Oznacza to, że nie tylko specjaliści bezpieczeństwa analizują nową metodę. Po taki exploit mogą sięgnąć także cyberprzestępcy, którzy szukają szybkiego sposobu na przejęcie komputerów z Windows.

W ostatnich latach publikacja gotowych narzędzi ataku wielokrotnie prowadziła do gwałtownego wzrostu liczby incydentów. Im prostsze narzędzie, tym szybciej trafia do niebezpiecznych kampanii.

W przypadku Windows Defendera sytuacja jest szczególnie delikatna, bo chodzi o komponent obecny praktycznie na milionach komputerów na całym świecie.

Microsoft odpowiada ostrożnie

Microsoft jak dotąd nie odniósł się szczegółowo do nowego exploitu. Firma powtórzyła jedynie standardowe stanowisko, podkreślając, że analizuje wszystkie zgłoszenia bezpieczeństwa i wspiera odpowiedzialne ujawnianie podatności. To jednak może nie wystarczyć, by uspokoić użytkowników i administratorów. Zwłaszcza że druga luka pojawiła się niemal natychmiast po załataniu pierwszej. Taki zbieg wydarzeń budzi pytania o to, czy problem dotyczy pojedynczego błędu, czy głębszego problemu w architekturze samego Defendera.