CISA διατάζει τις ομοσπονδιακές υπηρεσίες να κάνουν patch την κρίσιμη ευπάθεια BlueHammer του Microsoft Defender

Η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε επείγουσα οδηγία προς όλες τις Federal Civilian Executive Branch (FCEB) υπηρεσίες, διατάσσοντάς τες να εφαρμόσουν άμεσα το διαθέσιμο patch για την ευπάθεια BlueHammer του Microsoft Defender. Η υπηρεσία έχει δώσει προθεσμία δύο εβδομάδων — έως τις 7 Μαΐου 2026 — για την ασφάλιση των Windows συστημάτων έναντι των συνεχιζόμενων επιθέσεων που εκμεταλλεύονται το CVE-2026-33825.

Τι είναι το BlueHammer;

Το BlueHammer είναι μια ευπάθεια τύπου Local Privilege Escalation (LPE) που εντοπίστηκε στον μηχανισμό ενημέρωσης και αποκατάστασης αρχείων του Microsoft Defender. Τεχνικά, αξιοποιεί έναν συνδυασμό time-of-check to time-of-use (TOCTOU) race condition και path confusion μέσα στη λογική remediation του Defender. Συγκεκριμένα, το exploit χρησιμοποιεί callbacks του Cloud Files και oplocks για να «παγώσει» τον Defender τη κρίσιμη στιγμή, αφήνοντας εκτεθειμένα τα αρχεία SAM, SYSTEM και SECURITY registry hives — κανονικά κλειδωμένα κατά τη λειτουργία του συστήματος. Επιτυχής εκμετάλλευση επιτρέπει ανάγνωση της βάσης δεδομένων SAM, αποκρυπτογράφηση NTLM password hashes, ανάληψη ελέγχου λογαριασμού διαχειριστή και δημιουργία SYSTEM-level shell.

Η ευπάθεια έχει αξιολογηθεί με βαθμολογία CVSS 7.8 (High) και επηρεάζει πλήρως ενημερωμένα συστήματα Windows 10 και Windows 11 πριν την ενημέρωση του Απριλίου 2026.

Πώς αποκαλύφθηκε η ευπάθεια;

Στις 3 Απριλίου 2026, ένας δυσαρεστημένος ερευνητής ασφαλείας με το ψευδώνυμο «Chaotic Eclipse» δημοσίευσε στο GitHub πλήρως λειτουργικό κώδικα εκμετάλλευσης (proof-of-concept) — χωρίς συντονισμένη αποκάλυψη, χωρίς CVE και χωρίς διαθέσιμο patch. Η κίνηση αυτή ήταν διαμαρτυρία για τον τρόπο που το Microsoft Security Response Center (MSRC) διαχειρίστηκε τη διαδικασία αποκάλυψης. Ο ερευνητής αποκάλυψε επίσης δύο ακόμα ευπάθειες: την RedSun (δεύτερη LPE στον Defender) και την UnDefend (που επιτρέπει σε standard χρήστη να μπλοκάρει τις ενημερώσεις ορισμών του Defender).

Η Microsoft κυκλοφόρησε το επίσημο fix στις 14 Απριλίου 2026, ως μέρος του μηνιαίου Patch Tuesday — μία εβδομάδα μετά τη δημοσιοποίηση του exploit. Σύμφωνα με δεδομένα από την Huntress Labs, το BlueHammer άρχισε να χρησιμοποιείται ενεργά σε επιθέσεις ήδη από τις 10 Απριλίου 2026, δηλαδή πριν καν κυκλοφορήσει το patch.

Η κίνηση της CISA και τι σημαίνει για οργανισμούς

Η CISA πρόσθεσε το CVE-2026-33825 στον επίσημο κατάλογο Known Exploited Vulnerabilities (KEV), επικαλούμενη ότι «αυτού του είδους οι ευπάθειες αποτελούν συχνά χρησιμοποιούμενα vectors επίθεσης και ενέχουν σημαντικούς κινδύνους για την ομοσπονδιακή υποδομή». Παράλληλα, μία εβδομάδα νωρίτερα, η CISA είχε επίσης προειδοποιήσει για την ευπάθεια CVE-2025-60710 στο Windows Task Host, η οποία εκμεταλλεύεται ενεργά σε συστήματα Windows 11 και Windows Server 2025.

Παρόλο που η εντολή αφορά επίσημα τις ομοσπονδιακές υπηρεσίες, η CISA συστήνει ανεπιφύλακτα σε όλους τους οργανισμούς και ιδιώτες να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας του Απριλίου 2026. Εάν δεν είναι δυνατή η εφαρμογή patch, η οδηγία ζητά εφαρμογή των οδηγιών μετριασμού του κατασκευαστή ή διακοπή χρήσης του επηρεαζόμενου προϊόντος.

Τι πρέπει να κάνετε τώρα

Αν χρησιμοποιείτε Windows 10 ή Windows 11, βεβαιωθείτε ότι έχετε εγκαταστήσει τις ενημερώσεις ασφαλείας του Απριλίου 2026 (Patch Tuesday, 14 Απριλίου) οι οποίες περιλαμβάνουν το fix για το CVE-2026-33825. Έως ότου εφαρμοστεί το patch, οι ειδικοί συστήνουν εστίαση σε behavioral detection αντί για στατικό scanning, καθώς το BlueHammer λειτουργεί μέσω της αλληλεπίδρασης νόμιμων Windows components — κάτι που το καθιστά εξαιρετικά δύσκολο να ανιχνευτεί με παραδοσιακά εργαλεία.

Πηγές

• BleepingComputer — CISA orders feds to patch BlueHammer flaw exploited as zero-day
• Picus Security — BlueHammer & RedSun: CVE-2026-33825 Zero-day Explained
• Cyderes Howler Cell — BlueHammer: Inside the Windows Zero-Day
• Security Affairs — Experts published unpatched Windows zero-day BlueHammer