Σε μια κρίσιμη out-of-band (εκτός προγραμματισμένου κύκλου) αναβάθμιση ασφαλείας προχώρησε εκτάκτως η Microsoft, με σκοπό την αντιμετώπιση δύο σοβαρότατων ευπαθειών μηδενικής ημέρας (zero-day) που επηρεάζουν άμεσα τον Windows Defender. Η ανάγκη για την άμεση διάθεση των διορθωτικών εκδόσεων (patches) έγινε επιτακτική, καθώς αναλύσεις τηλεμετρίας επιβεβαίωσαν ότι οι συγκεκριμένες αρχιτεκτονικές «ρωγμές» τελούν ήδη υπό ενεργή εκμετάλλευση (exploited in the wild) από εξελιγμένες ομάδες απειλών (threat actors).
Το γεγονός ότι τα κενά ασφαλείας δημοσιοποιήθηκαν χωρίς να προηγηθεί συντονισμένη γνωστοποίηση (coordinated disclosure) άφησε εκτεθειμένα εκατομμύρια endpoints παγκοσμίως, αναγκάζοντας την Endpoint Security firm Huntress και την κρατική υπηρεσία CISA των ΗΠΑ να σημάνουν άμεσο συναγερμό για τη θωράκιση των συστημάτων.
RedSun και UnDefend: Ανατομία των zero-days
Οι δύο ευπάθειες, οι οποίες εντοπίστηκαν και δημοσιοποιήθηκαν από τον ανεξάρτητο ερευνητή Chaotic Eclipse υπό τις κωδικές ονομασίες RedSun και UnDefend, στερούνταν επίσημων αναγνωριστικών CVE και εργαλείων αποκατάστασης κατά την αρχική τους αποκάλυψη.
1. CVE-2026-41091 (RedSun): Privilege Escalation στον πυρήνα του SYSTEM
Η σοβαρότερη εκ των δύο απειλών βαθμολογείται με CVSS 7.8 και στοχεύει απευθείας τη Μηχανή Προστασίας από Κακόβουλο Λογισμικό της Microsoft (Microsoft Malware Protection Engine).
- Ο μηχανισμός: Το σφάλμα εντοπίζεται στην εσφαλμένη ανάλυση συνδέσμων (improper link resolution) πριν από την πρόσβαση σε αρχεία (file access).
- Το vector επίθεσης: Ένας τοπικός επιτιθέμενος με χαμηλά προνόμια (low-privileged user) μπορεί να τροποποιήσει έναν συμβολικό σύνδεσμο (symbolic link) ή μια διασταύρωση καταλόγων (directory junction) κατά τη διάρκεια της σάρωσης του Defender. Με τον τρόπο αυτό, παρακάμπτει τα security controls και επιτυγχάνει Privilege Escalation, αποκτώντας πλήρη έλεγχο επιπέδου SYSTEM χωρίς να απαιτούνται αρχικά elevated permissions.
2. CVE-2026-45498 (UnDefend): Αθόρυβο Denial-of-Service
Η δεύτερη ευπάθεια αξιολογείται με CVSS 4.0 και στοχεύει την Πλατφόρμα Antimalware του Microsoft Defender. Λειτουργεί ως Denial-of-Service (DoS) attack, μπλοκάροντας αθόρυβα τις ενημερώσεις των ορισμών ιών (definition updates). Υποβαθμίζοντας την ικανότητα ανίχνευσης νέων απειλών, το σύστημα παραμένει τυφλό απέναντι σε επόμενα payloads.
🔒 Critical Note: Το πλέον ανησυχητικό στοιχείο της συγκεκριμένης εκμετάλλευσης είναι ότι και οι δύο ευπάθειες εκτελούνται χωρίς να πυροδοτείται καμία απολύτως ορατή ειδοποίηση (alert) στη διεπαφή του χρήστη ή στα κεντρικά logs του διαχειριστή.
Εύρος επιρροής και Enterprise επιπτώσεις
Η ευπάθεια UnDefend δεν περιορίζεται στα standard deployments των Windows, αλλά επεκτείνει το attack surface της σε κρίσιμες enterprise υποδομές και legacy συστήματα, επηρεάζοντας τα:
- System Center Endpoint Protection
- System Center 2012 / 2012 R2 Endpoint Protection
- Microsoft Security Essentials
Λόγω της σοβαρότητας της κατάστασης, η CISA ενέταξε τις δύο ευπάθειες στον κατάλογο Known Exploited Vulnerabilities (KEV), θέτοντας ως καταληκτική προθεσμία συμμόρφωσης για τους ομοσπονδιακούς οργανισμούς την 3η Ιουνίου.
Remediation: Διαδικασία αποκατάστασης και έλεγχος εκδόσεων
Η Microsoft ενσωμάτωσε τις διορθώσεις στον αυτόματο μηχανισμό ενημερώσεων του Windows Defender. Ωστόσο, οι διαχειριστές συστημάτων (SysAdmins) οφείλουν να προχωρήσουν σε άμεσο audit των deployments τους για να επιβεβαιώσουν ότι τρέχουν τις παρακάτω εκδόσεις ή μεταγενέστερες:
- Malware Protection Engine: Έκδοση 1.1.26040.8
- Antimalware Platform: Έκδοση 4.18.26040.7
Pro Tip για Enterprise Περιβάλλοντα: Ιδιαίτερη προσοχή απαιτείται σε απομονωμένα δίκτυα (air-gapped environments) ή σε managed συστήματα μέσω WSUS/SCCM, όπου οι αυτόματες ενημερώσεις ενδέχεται να παρουσιάζουν καθυστέρηση. Σε αυτές τις περιπτώσεις, επιβάλλεται η χειροκίνητη προώθηση των πακέτων (manual deployment).
Αξίζει να σημειωθεί ότι η ίδια ενημέρωση που επιλύει το RedSun (CVE-2026-41091) θωρακίζει το σύστημα και έναντι μιας τρίτης, εξαιρετικά κρίσιμης ευπάθειας (CVE-2026-45584, CVSS 8.1). Πρόκειται για ένα heap-based buffer overflow που επιτρέπει Remote Code Execution (RCE) χωρίς την ανάγκη αλληλεπίδρασης με τον χρήστη, το οποίο ευτυχώς δεν έχει εντοπιστεί ακόμα να εκμεταλλεύεται ενεργά. Καθώς ο Chaotic Eclipse διατηρεί ενεργή δράση (έχοντας αποκαλύψει 5 zero-days σε 6 εβδομάδες), η διατήρηση των συστημάτων στην αιχμή των updates αποτελεί τη μόνη βιώσιμη γραμμή άμυνας.
By
