A CISA június 3-ig ad időt a Windows rendszergazdáknak a Nightmare Eclipse Defender hibáinak javítására

A szövetségi ügynökségeknek június 3-ig kell javításokat alkalmazniuk a Microsoft Defender két, a Nightmare Eclipse nyilvánosságra hozatali kampányhoz kapcsolódó, aktívan kihasznált sebezhetőségére. Mivel ez a határidő 48 órával később lejár, három további, ugyanattól a kutatótól származó Windows nulladik nap még mindig nem javított, és a Microsoftnak június 9-én van a következő lehetősége arra, hogy ezeket javítsa.

A saga április elején kezdődött, amikor a Nightmare Eclipse elejtette a BlueHammer (CVE-2026-33825) hibát, amelyet az április 14-i Patch Tuesday-ben foltoztak be, és amelynek CISA határideje május elején járt le. A jelenlegi visszaszámlálást egy május 20-i külön CISA-akció rögzíti, amely a RedSun (CVE-2026-41091 CVE-2026-41091) és az UnDefend (CVE-2026-45498) az Ismert, kiaknázott sebezhetőségek katalógusba, miután a Huntress megerősítette, hogy a valós támadásokban aktívan kihasználják. CISA a 22-01. sz. kötelező operatív irányelv értelmében 14 napos határidővel kötelezte a helyreállításra.

Mit tesznek a javított hibák

A RedSun a Defender tiering engine-t veszi célba, hogy a jogosultságokat SYSTEM szintre emelje. Az UnDefend szolgáltatásmegtagadási állapotot vált ki az Antimalware Platformban, teljesen elvakítja a Defendert, és riasztások kiváltása nélkül lehetőséget teremt a zsarolóprogramok telepítésére vagy oldalirányú mozgásra.

Mindkét hibát a Malware Protection Engine 1.1.26040.8 és az Antimalware Platform 4.18.26040.7 javította. Ellenőrizze ezeket a verziószámokat a Windows biztonsági beállításaiban június 3. előtt.

Három javítás nélküli hiba

A YellowKey (CVE-2026-45585) a Windows helyreállítási környezeten keresztül megkerüli a BitLockert a csak TPM-alapú rendszereken, és lehetővé teszi a fizikai hozzáférést a titkosított meghajtók feloldásához helyreállítási kulcs nélkül. A GreenPlasma egy CTFMON jogosultság-emelkedési hiba, amelyhez nincs CVE és nincs javítás. A MiniPlasma újra kihasználja a CVE-2020-17103 CVE-t a cldflt.sys állományban, egy 2020-as hibát, amelynek javítófoltja vagy hiányos volt, vagy csendben visszafejlődött.

A ThreatLocker és Will Dormann megerősítette, hogy a teljes mértékben foltozott Windows 11 és Windows Server 2022 és 2025 rendszereken még mindig SYSTEM shell-t hoz létre. A Windows 10 nem érintett, ami a vegyes flottákat kezelő csapatok számára fontos.

A YellowKey esetében futtassa a reagentc /disable futtatást, csatlakoztassa az offline WinRE registry hive-ot, távolítsa el az autofstx.exe-t a BootExecute alól a ControlSet001ControlSession Manager alatt, majd futtassa a reagentc /enable futtatást a módosítás rögzítéséhez. Ahol csak TPM-ről TPM+PIN-re állítsa át a BitLockert, ahol csak lehetséges.

Rémálom Eclipse július 14-i kiadását jelezte, amely a hónap patch keddjét célozza meg.