حذّرت منصة الأمن السيبراني The Hacker News من أن مهاجمين بدأوا بالفعل في استغلال ثلاث ثغرات «يوم صفري» (Zero‑Day) خطيرة في Microsoft Defender، اثنتان منها ما زالتا بدون تصحيح أمني حتى لحظة نشر التقرير.

وأوضح باحثو شركة Huntress أن هذه الثغرات، المعروفة بأسماء BlueHammer وRedSun وUnDefend، نُشرت علنًا في وقت سابق من أبريل على يد باحث مستقل يستخدم الاسم المستعار Chaotic Eclipse (المعروف أيضًا باسم Nightmare‑Eclipse)، احتجاجًا على طريقة تعامل مايكروسوفت مع بلاغات الثغرات.

وتؤكد Huntress أنها رصدت استغلالًا فعليًا للثلاث ثغرات في بيئات حقيقية منذ 10 أبريل، مع استخدام BlueHammer أولًا، ثم ظهور استغلالات RedSun وUnDefend في 16 أبريل.

ما هي BlueHammer وRedSun وUnDefend؟

بحسب تحليل The Hacker News وتقارير مساندة من BleepingComputer وSOCRadar، تعد BlueHammer وRedSun ثغرتين من نوع «تصعيد صلاحيات محلي» (Local Privilege Escalation)، تسمحان للمهاجم الذي يمتلك وصولًا محدودًا إلى جهاز ويندوز برفع صلاحياته إلى مستوى أعلى قد يصل إلى SYSTEM على الأنظمة المصابة.

هذا يعني أن من ينجح في استغلالهما يمكنه فعليًا السيطرة على الجهاز بالكامل، تثبيت برمجيات خبيثة، أو تعطيل وسائل الحماية الأخرى. أما ثغرة UnDefend فهي من نوع «حرمان من الخدمة» (Denial‑of‑Service)، يمكن استخدامها لتعطيل عمل Microsoft Defender ومنع تحديثات تعريفات الفيروسات، ما يترك الجهاز مكشوفًا أمام تهديدات أخرى.

وتؤثر هذه الثغرات على أجهزة ويندوز 10 وويندوز 11 وويندوز سيرفر 2019 وما بعده، بشرط أن يكون Microsoft Defender مُفعَّلًا، وهي حالة شائعة في بيئات الشركات التي تعتمد عليه كخط دفاع رئيسي مدمج في النظام.