Tre 0‑dagssårbarheder i Microsoft Defender udnyttes aktivt

Eskil Sørensen

04.20.2026 10:43

To mangler stadig rettelser

Microsoft Defender er blevet angrebsvektor i en sag, hvos trusselsaktører udnytter tre nyligt offentliggjorte 0‑dagssårbarheder i Microsofts indbyggede endpoint‑beskyttelse for at opnå forhøjede rettigheder på kompromitterede systemer.

Det skriver The Hacker News.

Sårbarhederne går under navnene BlueHammer, RedSun og UnDefend og blev offentliggjort af sikkerhedsresearcheren Chaotic Eclipse (alias Nightmare‑Eclipse). Offentliggørelsen skete uden for en koordineret proces og er siden blevet fulgt op af aktiv udnyttelse i praksis.

Aktiv udnyttelse bekræftet

Huntress oplyser, at alle tre sårbarheder er set udnyttet i virkelige angreb. BlueHammer blev weaponized allerede den 10. april, mens proof‑of‑concept‑udnyttelser af RedSun og UnDefend blev observeret fra den 16. april.

BlueHammer og RedSun er lokale privilege escalation‑sårbarheder, der gør det muligt at eskalere rettigheder efter indledende kompromittering. UnDefend kan derimod bruges til at bringe Microsoft Defender i en denial‑of‑service‑tilstand, hvor signaturopdateringer blokeres – og systemet reelt mister evnen til at opdage nye trusler.

Ifølge Huntress indgår udnyttelsen i hands‑on‑keyboard‑angreb, hvor angribere manuelt interagerer med systemet. Det ses gennem klassiske kommandoer til rekognoscering og privilegieafdækning, hvilket indikerer aktiv operatørstyring frem for ren automatisering.

Kun BlueHammer er lukket

Microsoft har lukket BlueHammer som led i denne uges Patch Tuesday. Sårbarheden har id'et EUVD-2026-22643 / CVE‑2026‑33825 (CVSS 7,8, EPSS 0,04 pct). De to øvrige sårbarheder – RedSun (EUVD-2025-202223 / CVE-2025-62468 (5,5 / 0,08 pct) og UnDefend ( EUVD-2026-7336 / CVE-2026-21537 (8,8 / 0,09 pct) – mangler fortsat officielle rettelser.

Microsoft bekræfter, at BlueHammer er adresseret og gentager sin støtte til koordineret sårbarhedsrapportering, men uden at melde en tidslinje ud for de resterende fejl.

The Hacker News skriver, at sagen understreger et velkendt paradoks i moderne endpoint‑sikkerhed: Beskyttelseskomponenter som Microsoft Defender kører med høje rettigheder, er dybt integreret i operativsystemet og findes på næsten alle Windows‑installationer. Netop derfor er de attraktive mål.

Når lokale eskaleringsfejl rammer antivirusmotoren selv, kan et ellers begrænset kompromis hurtigt udvikle sig til fuld systemkontrol – samtidig med at detektion og opdateringer svækkes.

Læs mere

https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html

Sårbarhed