Агентство з кібербезпеки та безпеки інфраструктури США (CISA) зобов'язало всі федеральні агентства негайно застосувати оновлення для усунення серйозної вразливості підвищення привілеїв у програмному забезпеченні Microsoft Defender. Ця вразливість, отримавши назву BlueHammer, є особливо небезпечною, оскільки вона вже активно використовувалася зловмисниками в атаках як zero-day, тобто до того, як було випущено офіційний патч.
Вразливість BlueHammer дозволяє локальному зловмиснику підвищити свої привілеї на скомпрометованій системі. Це означає, що якщо атакуючий вже отримав початковий доступ до системи з низькими привілеями, він може використати цю ваду для отримання контролю на рівні адміністратора або системи. Такий тип вразливостей є критичним, оскільки він дозволяє зловмисникам закріпитися в мережі, обійти захисні механізми та отримати повний контроль над ураженими пристроями.
Експлуатація як zero-day підкреслює високий рівень загрози, оскільки зловмисники мали можливість використовувати цю вразливість протягом певного часу, не зустрічаючи опору з боку оновлених систем.
Хоча директива CISA була спрямована на федеральні установи США, вразливість у Microsoft Defender становить загрозу для широкого кола користувачів по всьому світу. Будь-яка організація або приватний користувач, що використовує Microsoft Defender як основний або додатковий засіб захисту, потенційно перебуває під ризиком. Це включає:
- Державні установи та урядові організації, зокрема в Україні.
- Корпоративний сектор, малий та середній бізнес.
- Приватні користувачі, які покладаються на вбудований захист Windows.
Особливо вразливими є ті, хто не застосовує оновлення операційної системи та програмного забезпечення своєчасно.
Для мінімізації ризиків, пов'язаних із вразливістю BlueHammer, Cyber Index UA рекомендує наступні дії:
- Негайне оновлення: Переконайтеся, що всі інсталяції Microsoft Defender (включно з антивірусними визначеннями та компонентами) оновлені до останньої доступної версії. Зазвичай це відбувається автоматично, але варто перевірити вручну.
- Моніторинг: Посильте моніторинг систем на предмет незвичайної активності або спроб підвищення привілеїв.
- Принцип найменших привілеїв: Забезпечте, щоб користувачі та програми працювали з мінімально необхідними привілеями.
- Резервне копіювання: Регулярно створюйте резервні копії критичних даних.