Antradienį „Microsoft“ pataisė du nulinės dienos pažeidžiamumus, leidžiančius užpuolikams įgyti SISTEMOS privilegijas visiškai pataisytose „Windows“ sistemose, ir trečią, suteikiančią prieigą prie „BitLocker“ apsaugotų diskų.
Visus tris saugumo trūkumus praėjusį mėnesį atskleidė saugumo tyrinėtojas, naudodamas „Nightmare Eclipse“ rankenėlę, protestuodamas prieš tai, kaip „Microsoft Security Response Center“ (MSRC) tvarko atskleidimo procesą.
„GreenPlasma“ ir „MiniPlasma“ pavadintos dvi privilegijų eskalavimo spragos (sekamos kaip CVE-2026-45586 ir CVE-2020-17103) buvo aptiktos bendradarbiavimo vertimo sistemoje (CTFMON) ir debesies rinkmenose, leidžiančiose gauti vietinius užpuolikus, mini SYEM filtrus ir SYEM. leidimai visiškai pataisytose „Windows“ sistemose.
Trečiasis nulinės dienos pataisymas vakar yra žinomas kaip YellowKey (sekamas kaip CVE-2026-45585) ir veikia kaip užpakalinės durys Windows atkūrimo aplinkoje (WinRE), kuri naudojama su įkrovimu susijusioms Windows problemoms išspręsti.
Užpuolikai, turintys fizinę prieigą prie tikslinių įrenginių, gali naudoti „YellowKey“ išnaudojimą, kad apeitų „BitLocker“ apsaugą nepataisytose „Windows 11“ ir „Windows Server 2022/2025“ sistemose.
„Microsoft“ pasidalijo švelninimo priemonėmis, skirtomis „YellowKey“, kad apsisaugotų nuo galimų atakų, kurios išnaudoja jį laukinėje gamtoje, taip pat skundėsi, kad koncepcijos įrodymas „buvo paskelbtas viešai, pažeidžiant suderintą geriausią pažeidžiamumo praktiką“.
Antradienį „Microsoft“ ištaisė „GreenPlasma“, „MiniPlasma“ ir „YellowKey“ saugos spragas kaip dalį 2026 m. birželio mėn.
Per pastaruosius kelis mėnesius „Nightmare Eclipse“ taip pat išleido „BlueHammer“ (CVE-2026-33825) ir „RedSun“ (be identifikatoriaus), dviejų vietinių privilegijų eskalavimo (LPE) nulinių dienų, kurios dabar aktyviai išnaudojamos atakoms.
Visai neseniai tyrėjas taip pat nutekino UnDefend – dar vieną nulinę dieną, kurią standartinius vartotojo leidimus turintys užpuolikai gali išnaudoti blokuodami „Microsoft Defender“ apibrėžimo naujinimus, o šį antradienį – „Microsoft Defender“ nulinės dienos išnaudojimą, pavadintą „RoguePlanet“, leidžiantį grėsmės veikėjams sukurti komandų eilutes su SISTEMOS privilegijomis.
„Microsoft“ iš pradžių reagavo į šiuos nulinės dienos nutekėjimus grasindama imtis teisinių veiksmų, bet atsitraukė po didžiulio smūgio socialinėje žiniasklaidoje ir pareiškė, kad bendradarbiaus su teisėsauga, kai saugumo tyrėjai „pažeis įstatymus ir įsitrauks į kenkėjišką veiklą, darydama realią žalą mūsų klientams“.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
