Bezbednosna zajednica suočava se sa novim talasom pretnji koje direktno ciljaju odbrambene mehanizme ugrađene u same operativne sisteme kompanije Microsoft. Dok su napadi na mrežne protokole i eksterne repozitorijume konstantna pretnja, situacija postaje znatno alarmantnija kada se ranjivosti otkriju u samom srcu zaštite – rešenju Microsoft Defender. U centru ove bezbednosne kontroverze nalaze se tri povezane ranjivosti koje napadačima omogućavaju lokalno podizanje privilegija (LPE – Local Privilege Escalation) do najvišeg SYSTEM nivoa, uz istovremeno zaobilaženje svih aktivnih odbrambenih barijera. Ovi propusti, poznati pod nazivima BlueHammer, RedSun i UnDefend, menjaju pravila igre jer zloupotrebljavaju legitimne procese ažuriranja i analize fajlova u oblaku. 1. BlueHammer (CVE-2026-33825): Trka sa vremenom unutar Defendera Ranjivost BlueHammer, koja je zvanično zavedena pod oznakom CVE-2026-33825, predstavlja strukturni propust u načinu na koji Microsoft Defender upravlja sopstvenim bezbednosnim ažuriranjima. Mehanizam TOCTOU napada Ovaj propust koristi takozvanu TOCTOU (Time-of-Check to Time-of-Use) ranjivost, odnosno trku sa vremenom (race condition). TOCTOU se dešava kada sistem proverava integritet ili bezbednost određenog fajla u jednom trenutku, a zatim ga koristi u drugom, ostavljajući kratak vremenski prozor u kojem napadač može zameniti legitimni fajl malicioznim. U slučaju BlueHammer-a, proces teče na sledeći način: Pokretanje ažuriranja: Defender započinje proces redovnog ažuriranja bezbednosne platforme sa povišenim sistemskim privilegijama. Eksploatacija prozora: Lokalni napadač (sa minimalnim korisničkim pravima) uspeva da presretne proces u milisekundi između trenutka kada Defender verifikuje bezbednosni kontekst direktorijuma i trenutka kada upiše podatke. Kompromitovanje SAM baze: Manipulacijom privremenih fajlova tokom ažuriranja, napadač dobija mogućnost da dešifruje SAM (Security Account Manager) bazu podataka, koja skladišti lozinke lokalnih korisnika u obliku heševa. Sa pristupom dešifrovanoj SAM bazi, napadač može jednostavno promeniti lozinke bilo kog lokalnog naloga, uključujući i administratorske, i ostvariti punu kontrolu nad mašinom. Status zaštite: Za organizacije je od ključne važnosti informacija da je Microsoft prepoznao težinu ovog propusta i izdao zvaničnu zakrpu u okviru prolećnih paketa ažuriranja. Sistemi koji se redovno ažuriraju zaštićeni su od ove specifične pretnje. 2. RedSun i UnDefend: Ranjivosti u oblaku bez zvaničnog rešenja Dok je BlueHammer uspešno saniran, kombinacija propusta RedSun i UnDefend trenutno predstavlja znatno veću opasnost za sistemske administratore širom sveta. Ova dva srodna propusta ne ciljaju lokalne baze, već napredne funkcije Defendera koje se oslanjaju na cloud tehnologiju. Gde leži problem? Moderne verzije Microsoft Defendera koriste analizu u oblaku (Cloud-delivered protection) kako bi u realnom vremenu skenirale sumnjive fajlove koje lokalna baza definicija još uvek ne prepoznaje. RedSun cilja upravo ovaj komunikacioni i analitički kanal. Manipulacijom specifičnih sistemskih direktorijuma i slanjem lažnih metapodataka Defenderovoj cloud komponenti, napadač može naterati antivirusni engine da privremeno obustavi zaštitu nad određenim lokacijama na disku. UnDefend deluje kao logički nastavak ili prateći vektor ovog napada, omogućavajući potpuno zaobilaženje bezbednosnih polisa (bypass) i sprečavanje Defendera da prijavi zlonamerne aktivnosti centralnoj konzoli (Microsoft Defender for Endpoint). Pretnja bez zakrpe (Zero-Day status) Ono što izaziva ozbiljnu zabrinutost u IT sektoru jeste činjenica da RedSun u ovom trenutku i dalje nema zvaničnu zakrpu (patch). Propust aktivno pogađa sve podržane verzije Windows i Windows Server operativnih sistema koji koriste podrazumevanu Defender zaštitu sa omogućenom cloud analizom. +—————————————————————–+ | STATUS RANJIVOSTI I DOSTUPNOST ZAKRPA | +——————+———————–+———————-+ | Naziv propusta | Primarna meta | Status zakrpe | +——————+———————–+———————-+ | BlueHammer | Defender ažuriranja / | ZAKRPLJEN | | (CVE-2026-33825) | SAM baza podataka | (Prolećni paketi) | +——————+———————–+———————-+ | RedSun | Cloud analiza / | NEMA ZAKRPU | | | Sistemski direktorijumi| (Aktivno se eksploatiše)| +——————+———————–+———————-+ | UnDefend | Zaobilaženje polisa | Pod istragom / | | | i detekcije | Delimične mere | +——————+———————–+———————-+ 3. Kako zaštititi sisteme u odsustvu zvanične zakrpe? Kada se organizacija suoči sa aktivno eksploatisanom ranjivošću za koju proizvođač još uvek nije izdao bezbednosni popravak, administratori moraju primeniti strategije kompenzacionih kontrola (Mitigation Strategies). Za ublažavanje rizika od RedSun i UnDefend napada, preporučuju se sledeći koraci: 1. Pojačana kontrola pristupa sistemskim direktorijumima Budući da ovi propusti zahtevaju manipulaciju lokalnim sistemskim direktorijumima kako bi se zbunio Defenderov engine, neophodno je: Implementirati striktne ACL (Access Control List) polise nad kritičnim sistemskim folderima (ProgramData\Microsoft\Windows Defender i System32). Blokirati mogućnost kreiranja simboličkih linkova (symlinks) za standardne, neprivilegovane korisnike, jer se trke sa vremenom i manipulacije direktorijumima često oslanjaju na ovu tehniku. 2. Monitoring kroz EDR i SIEM sisteme Iako Defender može biti privremeno oslepljen na lokalnom nivou, ponašanje napadača i dalje ostavlja tragove: Konfigurišite SIEM pravila da detektuju neočekivane modifikacije u registrima vezanim za Defender (HKLM\SOFTWARE\Policies\Microsoft\Windows Defender). Pratite Event ID-eve koji ukazuju na iznenadno gašenje ili pad performansi servisa WinDefend. 3. Primena principa minimalnih privilegija (Least Privilege) Lokalno podizanje privilegija (LPE) uvek zahteva da napadač već ima neki oblik početnog pristupa sistemu. Ako striktno ograničite prava korisnika, sprečite pokretanje neautorizovanih skripti (npr. restrikcijom PowerShell-a kroz Constrained Language Mode) i obezbedite da niko ne koristi nalog sa administratorskim pravima za svakodnevne aktivnosti, drastično smanjujete površinu za napad. Zaključak Pojava propusta kao što su BlueHammer i RedSun pokazuje da čak ni integrisani bezbednosni alati vodećih svetskih tehnoloških giganta nisu nepogrešivi. Dok prolećne zakrpe uspešno eliminišu rizik od BlueHammer-a, odsustvo zvaničnog rešenja za RedSun zahteva maksimalnu budnost IT odeljenja. Uspešna odbrana u ovakvim situacijama zavisi isključivo od brzine primene alternativnih bezbednosnih mera i dubinske analize ponašanja sistema. Post navigation Kritične ranjivosti koje potresaju IT svet: Masovni napadi na Windows domenske kontrolere i bezbednosni izazovi u Red Hat repozitorijumima Slučaj “Nightmare Eclipse”: Sukob korporativnih interesa i prava na nezavisno bezbednosno istraživanje