Notebookcheck Logo

CISA daje administratorom Windows czas do 3 czerwca na załatanie dziur w Nightmare Eclipse Defender

Widok z lotu ptaka na Microsoft Redmond.
ⓘ Microsoft.com
Widok z lotu ptaka na Microsoft Redmond.
Termin CISA 3 czerwca dla dwóch dni zerowych Nightmare Eclipse Defender upływa za 48 godzin. YellowKey, GreenPlasma i MiniPlasma pozostają niezałatane, przy czym GreenPlasma i MiniPlasma nie mają przypisanego CVE.
Business Windows Microsoft Hack / Data Breach Security

Agencje federalne mają czas do 3 czerwca na zastosowanie poprawek dla dwóch aktywnie wykorzystywanych luk w Microsoft Defender powiązanych z kampanią ujawniającą Nightmare Eclipse. Termin ten upływa za 48 godzin, a trzy dodatkowe luki typu zero-day w systemie Windows pochodzące od tego samego badacza pozostają niezałatane i 9 czerwca jest kolejną okazją dla Microsoftu, aby się nimi zająć.

Saga rozpoczęła się na początku kwietnia, kiedy Nightmare Eclipse ujawnił BlueHammer (CVE-2026-33825), załatany w kwietniowym Patch Tuesday 14, którego termin CISA minął na początku maja. Obecne odliczanie jest zakotwiczone przez oddzielną akcję CISA 20 maja, dodającą RedSun (CVE-2026-41091) i UnDefend (CVE-2026-45498) do katalogu Known Exploited Vulnerabilities po tym, jak Huntress potwierdziła ich aktywne wykorzystanie w rzeczywistych atakach. CISA nakazała usunięcie błędów w ramach Wiążącej Dyrektywy Operacyjnej 22-01 z 14-dniowym okresem.

Co robią załatane luki

RedSun atakuje silnik warstwowy Defender w celu eskalacji uprawnień do SYSTEM. UnDefend wyzwala stan odmowy usługi w platformie Antimalware, całkowicie oślepiając Defendera i tworząc okno do wdrożenia oprogramowania ransomware lub ruchu bocznego bez wyzwalania alertów.

Oba zostały naprawione w Malware Protection Engine 1.1.26040.8 i Antimalware Platform 4.18.26040.7. Proszę zweryfikować te numery wersji w ustawieniach zabezpieczeń systemu Windows przed 3 czerwca.

Trzy błędy bez poprawki

YellowKey (CVE-2026-45585) omija funkcję BitLocker na systemach wyposażonych wyłącznie w moduł TPM za pośrednictwem środowiska odzyskiwania systemu Windows, umożliwiając fizyczny dostęp w celu odblokowania zaszyfrowanych dysków bez klucza odzyskiwania. GreenPlasma jest luką umożliwiającą eskalację uprawnień CTFMON bez CVE i łatki. MiniPlasma ponownie wykorzystuje CVE-2020-17103 w cldflt.sys, dziurze z 2020 roku, której łatka była albo niekompletna, albo po cichu cofnięta.

ThreatLocker i Will Dormann potwierdzili, że nadal tworzy powłokę SYSTEM w pełni załatanym systemie Windows 11 oraz Windows Server 2022 i 2025. Nie ma to wpływu na system Windows 10, co ma znaczenie dla zespołów zarządzających flotami mieszanymi.

W przypadku YellowKey należy uruchomić reagentc /disable, zamontować ul rejestru offline WinRE, usunąć autofstx.exe z BootExecute w ControlSet001ControlSession Manager, a następnie uruchomić reagentc /enable, aby zatwierdzić zmianę. W miarę możliwości proszę przełączyć funkcję BitLocker z TPM-only na TPM+PIN.

Nightmare Eclipse zasygnalizował wydanie 14 lipca, ukierunkowane na wtorek poprawek tego miesiąca.

Google LogoAdd as a preferred source on Google
Mail Logo

Powiązane artykuły

Show more articles
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 06 > CISA daje administratorom Windows czas do 3 czerwca na załatanie dziur w Nightmare Eclipse Defender
Darryl Linington, 2026-06- 1 (Update: 2026-06- 1)