В антивірусі Microsoft Defender знайшли критичну вразливість нульового дня

Дослідник безпеки з псевдонімом Chaotic Eclipse оприлюднив критичну zero-day вразливість у Microsoft Defender Antivirus, яку назвав RedSun.

Вразливість дозволяє локальне підвищення привілеїв (Local Privilege Escalation) до рівня SYSTEM (максимальні права в Windows). Вона присутня в Microsoft Defender на Windows 10, Windows 11 та Windows Server, навіть після встановлення всіх оновлень за квітень 2026 року.

Механізм експлойту доволі незвичайний: коли Defender виявляє шкідливий файл з хмарною міткою, замість блокування він перезаписує файл у початкове місце. Зловмисник використовує цю поведінку через API хмарних файлів і directory junction, щоб перезаписати системний виконуваний файл і виконати код з найвищими привілеями.

Використовуючи символічне посилання на каталог, зловмисник може змусити систему перезаписати критично важливий виконуваний файл операційної системи, гарантуючи виконання коду з найвищими привілеями. Вілл Дорманн, аналітик компанії Tharros, підтвердив ефективність цього методу, зазначивши, що деякі засоби безпеки виявляють атаку завдяки стандартному сигнатурі, але просте шифрування цього текстового рядка робить експлойт практично невидимим.

Особливість цього інциденту полягає в тому, що дослідник оприлюднив експлойт у формі протесту. Він звинувачує Microsoft у ворожому ставленні під час попереднього звітування про подібну вразливість (BlueHammer), що, за його словами, сильно вплинуло на його особисте та професійне життя.

На момент публікації (16 квітня 2026) Microsoft не випустила спеціального патчу для RedSun, хоча підтвердила свою прихильність швидкому реагуванню на загрози. Вразливість вважається особливо небезпечною, оскільки дозволяє повністю скомпрометувати систему навіть при наявності сучасного антивірусу.

Зазначимо, що буквально пару днів тому Microsoft виправила критичну помилку, через яку ОС Windows Server 2025 автоматично оновлювалася до вищої версії без згоди адміністратора.