april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Sårbarheter

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

Blog Reading Time 4 Lästid / april 24, 2026
Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender utsätts för koordinerade angrepp via tre zero-day sårbarheter som förvandlar säkerhetsprogramvaran till en angreppsvektor. Huntress har bekräftat aktiv exploatering av samtliga tre tekniker- BlueHammer, RedSun och UnDefend – sedan 10 april 2026. Microsoft har dock endast patchat en av dem. Två förblir opatchade i alla versioner av Windows som fortfarande stöds.

De tre exploiterna utgör vad Vectra beskriver som en ”strategi för stegvis försämring”. Angripare använder BlueHammer eller RedSun för att eskalera till SYSTEM-privilegier och distribuerar därefter UnDefend för att gradvis försvaga endpointskyddet. Forskaren bakom exploiterna, som kallar sig Chaotic Eclipse, publicerade alla tre som proof-of-concept-kod efter att ha hävdat att Microsofts Security Response Center ignorerade försök till koordinerad sårbarhetrapportering.

Endast BlueHammer har patchats

Microsoft släppte en akut uppdatering för BlueHammer den 14 april och tilldelade sårbarheten beteckningen CVE-2026-33825 med ett CVSS-värde på 7,8. CISA lade till sårbarheten i sin katalog över kända exploaterade sårbarheter den 22 april och kräver att federala myndigheter patchar senaste den 6 maj.

BlueHammer utnyttjar en så kallad race condition av typen time-of-check to time-of-use race i Defenders motor för hothantering. Exploiten använder opportunistic locks för att pausa Defender mitt i operation och omdirigerar därefter en filskrivning med SYSTEM-behörighet från en temporär katalog till C:WindowsSystem32. Detta gör det möjligt för en angripare att skriva över systembinärer och uppnå SYSTEM-privilegier.

RedSun och UnDefend är fortfarande opatchade. RedSun missbrukar Defenders mekanism för molnbaserad filåterställning för att uppnå samma SYSTEM-nivå via en alternativ kodväg. UnDefend riktar in sig på Defenders uppdateringspipeline och blockerar tyst signaturuppdateringar, vilket gradvis försämrar skyddet utan att utlösa tydliga varningar.

Rysk infrastruktur kopplas till aktiva kampanjer

Huntress observerade den första exploatering BlueHammer den 10 april, följt av användning av RedSun och UnDefend den 16 april. Angreppen inkluderade så kallade ”hands-on-keyboard”- aktivitet, där angripare manuellt körde rekognosceringskommandon som whoami /priv, cmdkey /list och kommandon för gruppinventering.

Incidenten involverade en komprometterad SSL VPN-anslutning till en FortiGate brandvägg. Huntress identifierade misstänkt VPN-åtkomst, inklusive en käll-IP geolokaliserad till Ryssland, med ytterligare misstänkt infrastruktur observerad i andra regioner. Angriparna placerade exploit-binärer i kataloger som användare har skrivberhörigheter till, exempelvis bilder och underkataloger i Hämtade filer, med filnamn som RedSun.exe och z.exe.

Detta är ett typexempel på varför myndigheter oroar sig för zero-day avslöjanden utan koordination. När fungerande exploiter publiceras i öppna kodarkiv kan hotaktörer beväpna dem inom loppet av dagar.

Även fullt uppdaterade system är sårbara

De två opatchade sårbarheterna påverkar Windows 10, Windows 11 samt Windows Server 2016-2025 med Defender aktiverat – vilket i praktiken omfattar nästan alla Windows-installationer. Säkerhetsforskaren Will Dormann har bekräftat att RedSun fungerar på fullt uppdaterade system och, ProArch noterar att dessa system förblir exponerade tills Microsoft släpper ytterligare åtgärder.

Kombinationen innebär att traditionell patchhantering inte räcker. En organisation kan installera samtliga Windows-uppdateringar och ändå vara sårbar för privilegieeskalering via Defender.

Microsofts respons har varit återhållsam. En talesperson bekräftade patchen för BlueHammer och uppgav att företaget ”stödjer koordinerad sårbarhetsrapportering” – en formulering som sticker ut med tanke på att detta avslöjande var allt annat än koordinerat.

Detektering och riskreducering

Installera Patch Tuesday-uppdateringarna från april 2026 för att åtgärda BlueHammer omedelbart. För de två opatchade sårbarheterna bör fokus ligga på beteendebaserad detektering snarare än signaturbaserade metoder, eftersom angripare kan kompilera om modifierad källkod.

Övervaka exempelvis enumeration av Volume Shadow Copy från icke-systemprocesser. Cyderes noterar att anrop till NtQueryDirectoryObject riktade mot HarddiskVolumeShadowCopy från användarprocesser sakna legitima utanför system- och backupverktyg. Bevaka även registrering av Cloud Files sync root från opålitliga processer.

Begränsa exekvering från kataloger där användare har skrivbehörigheter och aktivera Attack Surface Reduction-regler där det är möjligt. Höj känsligheten för varningarna kring Defender-manipulation och avvikande åtgärdsbeteende. Övervaka dessutom Defenders uppdateringsstatus noggrant – UnDefend kan vilseleda hanteringskonsoler genom att rapportera att Defender är i gott skick trots att signaturuppdateringar i själva verket blockeras.

Referenser

  1. Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched
  2. CISA Known Exploited Vulnerabilities Catalog — CVE-2026-33825
  3. Microsoft Defender Zero-Day Exploits — BlueHammer & RedSun (April 2026)
  4. When the Defender Becomes the Door — BlueHammer, RedSun, and UnDefend in the Wild
  5. Recent Microsoft Defender Vulnerability Exploited as Zero-Day
  6. BlueHammer, RedSun, and UnDefend — Three Windows Defender Zero-Days Exploited in the Wild

This post is also available in: English

Related News

Adobe Reader Zero-Day Exploited for Weeks Before Patch Existed

Adobe Reader zero-day utnyttjad i fyra månader före patch

Cyber News Calendar icon april 9, 2026
BlueHammer Windows Zero-Day Exploited Six Weeks Before Microsoft Knew

BlueHammer Windows zero-day utnyttjad sex veckor innan Microsoft visste

Cyber News Calendar icon april 9, 2026
Ninja Forms File Upload Flaw Lets Attackers Hijack 50,000 WordPress Sites

Kritisk sårbarhet i Ninja Forms hotar 50 000 WordPress-sajter

Cyber News Calendar icon april 8, 2026
Chrome Zero-Day CVE-2026-2441 Exploited in Wild as Google Ships Emergency Patch

Chrome zero-day CVE-2026-2441 exploateras aktivt – Google släpper akutuppdatering

Cyber News Calendar icon februari 16, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss