Dreigingsactoren maken misbruik van drie recent openbaar gemaakte Windows-kwetsbaarheden om SYSTEM- of verhoogde beheerdersrechten te verkrijgen. Sinds begin april publiceerde een securityonderzoeker onder de namen "Chaotic Eclipse" en "Nightmare-Eclipse" proof-of-concept exploitcode voor deze kwetsbaarheden, uit protest tegen de wijze waarop het Microsoft Security Response Center (MSRC) het disclosureproces afhandelde.

Twee van de kwetsbaarheden, genaamd BlueHammer en RedSun, betreffen lokale privilege-escalatie (LPE) in Microsoft Defender. De derde, UnDefend, kan door een standaardgebruiker worden misbruikt om updates van Microsoft Defender-definities te blokkeren. Op het moment van de publicatie werden deze beveiligingslekken door Microsoft's definitie als zero-days beschouwd, omdat er nog geen officiële patches beschikbaar waren.

Onderzoekers van Huntress Labs meldden donderdag dat alle drie de zero-day exploits inmiddels in het wild worden ingezet. De BlueHammer-kwetsbaarheid wordt al sinds 10 april actief misbruikt. Daarnaast werden UnDefend en RedSun-exploits aangetroffen op een Windows-systeem dat was gecompromitteerd via een gehackte SSLVPN-gebruiker, waarbij sprake was van "hands-on-keyboard threat actor activity". Volgens de onderzoekers gebruikt de Huntress SOC de exploittechnieken van Nightmare-Eclipse voor BlueHammer, RedSun en UnDefend.

Microsoft volgt de BlueHammer-kwetsbaarheid onder CVE-2026-33825 en heeft deze inmiddels gepatcht in de beveiligingsupdates van april 2026. De andere twee kwetsbaarheden zijn echter nog niet verholpen. Zoals eerder gemeld door BleepingComputer, kunnen aanvallers met de RedSun-exploit SYSTEM-rechten verkrijgen op Windows 10, Windows 11 en Windows Server 2019 en latere versies, zelfs wanneer Windows Defender is ingeschakeld en de april-patches zijn toegepast. De onderzoeker licht toe dat Windows Defender bij het detecteren van een kwaadaardig bestand met een cloudtag het bestand op een onverklaarbare manier overschrijft naar de oorspronkelijke locatie. Deze gedraging wordt door de proof-of-concept misbruikt om systeembestanden te overschrijven en zo beheerdersrechten te verkrijgen. Meer details hierover zijn te vinden in de uitleg van de onderzoeker.

Een Microsoft-woordvoerder gaf aan dat het bedrijf zich inzet om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen systemen zo snel mogelijk te beschermen. Microsoft ondersteunt het principe van gecoördineerde kwetsbaarheidsdisclosure, een gangbare praktijk binnen de industrie die ervoor zorgt dat problemen zorgvuldig worden onderzocht en opgelost voordat ze openbaar worden gemaakt, wat zowel klantbescherming als de security-onderzoeksgemeenschap ten goede komt.