طبق گزارشات مختلف، باندهای باجافزاری شروع به اکسپلویت از یک آسیبپذیری افزایش سطح امتیازات در Microsoft Defender کردهاند که قبلاً در حملات Zero-day مورد سوءاستفاده قرار گرفته بود.
این نقص امنیتی (CVE-2026-33825) که BlueHammer نام دارد، در اوایل ماه آوریل توسط یک محقق امنیتی معروف به “Nightmare Eclipse” به همراه کد بهرهبرداری اثبات مفهوم، افشا شد.
مایکروسافت در یک توصیه امنیتی توضیح میدهد: “جزئیات ناکافی کنترل دسترسی در Microsoft Defender به یک مهاجم مجاز اجازه میدهد تا امتیازات را به صورت محلی افزایش دهد.”
به گفته محققین اگرچه سوءاستفاده از این مشکل آسان نیست، اما به مهاجمان محلی دسترسی به پایگاه داده مدیر حساب امنیتی (SAM) را میدهد که شامل هشهای رمز عبور برای حسابهای محلی است.
با این دسترسی، آنها میتوانند به امتیازات SYSTEM ارتقا یابند و به طور بالقوه کنترل کامل سیستم هدف را به دست گیرند.

مایکروسافت این آسیبپذیری را در ۱۴ آوریل به عنوان بخشی از آپدیت ماه آوریل ۲۰۲۶ وصله کرد. با این حال، چند روز بعد، محققان امنیتی Huntress Labs فاش کردند که عوامل تهدید از آن به عنوان یک آسیبپذیری zero-day در حملاتی که شواهدی از «فعالیت عامل تهدید با استفاده از صفحهکلید» را نشان میداد، سوءاستفاده میکردند.
در طول چند ماه گذشته، Nightmare Eclipse چندین بهرهبرداری zero-day دیگر ویندوز، از جمله نقصهای RoguePlanet، RedSun، GreenPlasma، MiniPlasma، YellowKey و UnDefend را افشا کرده است.
برخی از این آسیبپذیریها بر Microsoft Defender تأثیر میگذارند، در حالی که برخی دیگر BitLocker و اجزای ویندوز را هدف قرار میدهند.
مایکروسافت سه هفته پیش، نقصهای امنیتی GreenPlasma، MiniPlasma و YellowKey را نیز به عنوان بخشی از آپدیت ماه ژوئن ۲۰۲۶ برطرف کرد.
منبع: