Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило в свой каталог Known Exploited Vulnerabilities (перечень известных эксплуатируемых уязвимостей) новую запись - CVE-2026-33825. Речь идёт об уязвимости в платформе Microsoft Defender Antimalware Platform, которая, по данным ведомства, уже активно используется злоумышленниками. Это событие примечательно не только самим фактом атаки, но и характером уязвимости: она относится к классу недостатков контроля доступа, что в контексте защитного продукта выглядит особенно тревожно.
Уязвимость CVE-2026-33825
Официальное описание проблемы, опубликованное Microsoft 14 апреля 2026 года и обновлённое 23 апреля, гласит, что недостаточная детализация контроля доступа (CWE-1220) в Microsoft Defender позволяет авторизованному злоумышленнику локально повышать свои привилегии. Иными словами, атакующий, уже имеющий доступ к системе с ограниченными правами, может воспользоваться этой уязвимостью, чтобы получить более высокий уровень доступа - вплоть до прав администратора. Оценка по шкале Common Vulnerability Scoring System (стандарт оценки критичности уязвимостей) составляет 7,8 балла из 10 - это уровень HIGH.
Важно подчеркнуть, что CISA включает уязвимости в свой каталог только при наличии доказательств активной эксплуатации в реальных атаках. Таким образом, CVE-2026-33825 - это не гипотетический баг, а реально используемый инструмент. Учитывая, что Microsoft Defender является одним из самых распространённых антивирусных решений в корпоративной среде, особенно на платформе Windows, потенциальный охват атак огромен.
Технический контекст уязвимости заслуживает отдельного внимания. CWE-1220, или Insufficient Granularity of Access Control, описывает ситуацию, когда механизмы разграничения доступа не позволяют точно определить разницу между разными уровнями операций или субъектами. В случае с Microsoft Defender это может означать, что компонент антивирусной платформы неверно проверяет права вызывающего процесса. Представьте себе ситуацию: стандартное приложение запускает сканирование или запрашивает обновление сигнатур - Defender должен убедиться, что это делает легитимный процесс с соответствующими привилегиями. Если проверки недостаточно детализированы, злоумышленник может подменить запрос, заставив антивирус выполнить действие от имени более привилегированного компонента системы. Результат - локальное повышение привилегий.
Вектор атаки, согласно векторной строке CVSS (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), выглядит следующим образом: атака должна быть локальной (AV:L), то есть злоумышленнику нужен физический или удалённый доступ к командной строке целевой системы. Сложность атаки низкая (AC:L), привилегии требуются, но минимальные - обычный пользователь (PR:L). Взаимодействие с жертвой не требуется (UI:N). При успешной эксплуатации нарушитель получает полный контроль над конфиденциальностью, целостностью и доступностью системы (C:H/I:H/A:H). Это классическая троица последствий, означающая, что атакующий может читать любые данные, модифицировать их или заблокировать работу системы.
Затронутая версия платформы - все сборки Microsoft Defender Antimalware Platform от версии 4.0.0.0 до версии 4.18.26030.3011 включительно. Компания Microsoft уже выпустила обновление, исправляющее уязвимость. Речь идёт о версии 4.18.26030.3011, которая должна быть установлена в автоматическом режиме через механизм обновлений Windows Update. Тем не менее, как показывает практика, не все системы успевают получить патч вовремя, особенно если речь идёт о рабочих станциях, которые редко подключаются к сети или управляются через устаревшие политики.
Последствия для организаций могут быть серьёзными. Если злоумышленник уже проник во внутреннюю сеть и получил учётные данные обычного пользователя, он может использовать CVE-2026-33825 для горизонтального перемещения и эскалации доступа. Получив права системы (SYSTEM) или администратора домена, атакующий получает возможность устанавливать постоянные вредоносные программы, красть базы данных, шифровать файлы или нарушать работу критически важных сервисов. Учитывая, что атака локальная и не требует сложных манипуляций, уязвимость представляет наибольшую опасность именно в сценариях с уже скомпрометированным периметром.
Специалистам по информационной безопасности стоит обратить внимание на несколько ключевых моментов. Прежде всего, необходимо проверить версию платформы Microsoft Defender на всех управляемых устройствах. Версия 4.18.26030.3011 и выше считается защищённой. Если в инфраструктуре используются сторонние системы управления обновлениями, нужно убедиться, что они не блокируют доставку этого патча. Кроме того, стоит проанализировать логи системы на предмет попыток локального повышения привилегий с использованием процессов Defender. Хотя компания Microsoft не раскрывает деталей эксплуатации, характерные признаки необычного поведения антивирусного движка могут быть зафиксированы решениями класса Endpoint Detection and Response (класс средств обнаружения и реагирования на конечных точках).
Уязвимость CVE-2026-33825 - яркий пример того, что защитное программное обеспечение само может стать вектором атаки. Когда антивирус повышает свои привилегии для сканирования защищённых областей системы, любой недостаток контроля доступа внутри этого механизма превращается в лазейку для злоумышленника. Этот случай также напоминает о важности регулярного обновления не только прикладного ПО, но и систем безопасности. Включение уязвимости в каталог CISA - сигнал для всех администраторов: эксплуатация уже идёт, и медлить с установкой патча нельзя.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33825
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
- https://www.cisa.gov/news-events/alerts/2026/04/22/cisa-adds-one-known-exploited-vulnerability-catalog
