Кибербезопасность Windows этой весной и летом определяла одна и та же история: исследователь под псевдонимом Nightmare Eclipse методично публикует эксплойты для защитных компонентов системы один за другим. Первым громким эпизодом стал BlueHammer (CVE-2026-33825, CVSS 7.8) — состояние гонки в движке Windows Defender, которое позволяет непривилегированному пользователю получить оболочку с правами SYSTEM с помощью небольшого скрипта. По сути, это старший уровень доступа в системе в обмен на один запуск программы. Microsoft устранила уязвимость 14 апреля 2026 года в составе планового пакета обновлений, а спустя восемь дней CISA (агентство кибербезопасности США) внесла её в каталог активно эксплуатируемых уязвимостей — на тот момент речь шла об атаках нулевого дня, начавшихся ещё до выхода патча.

Источник изображения — Getty ImagesИсточник изображения — Getty Images

В конце июня ситуация обострилась: CISA подтвердила, что BlueHammer перешёл в руки операторов программ-вымогателей и уже применяется в реальных кампаниях шифрования данных. Это произошло более чем через два месяца после выхода патча — и лишний раз показывает, что публикация исправления почти всегда оказывается самой простой частью работы; куда сложнее довести его до каждого устройства, которое в нём нуждается. По данным CISA, за последние годы агентство фиксировало восемь уязвимостей Microsoft Defender, использовавшихся в реальных атаках, и лишь две из них дошли до полноценных кампаний вымогателей — теперь в этот короткий список попал и BlueHammer. Поскольку уязвимость открывает доступ к оболочке SYSTEM, вымогательское ПО способно шифровать не только пользовательские файлы, но и части самой операционной системы или загрузочного процесса, потенциально выводя машины из строя полностью.

Как устроена уязвимость

Технически BlueHammer — это TOCTOU-уязвимость (time-of-check to time-of-use) в логике обработки файлов Windows Defender: между проверкой пути к файлу и реальной операцией с ним существует крошечное временное окно. Атакующий подбрасывает файл, вызывающий срабатывание защитника, а в момент, когда Defender пытается обработать его с правами SYSTEM, подменяет путь через точку соединения NTFS, перенаправляя привилегированную запись в системный каталог Windows. Результат — командная оболочка с правами SYSTEM у пользователя, изначально не имевшего вообще никаких привилегий.

Один исследователь — семь эксплойтов за десять недель

BlueHammer оказался только первым эпизодом. Nightmare Eclipse — по собственному утверждению, бывший сотрудник Microsoft, недовольный тем, как компания обращается с сообщениями об уязвимостях через MSRC, — с начала апреля выпустил ещё шесть эксплойтов, нацеленных на Defender, BitLocker и смежные компоненты Windows. Три из них были задействованы в реальных атаках ещё до выхода патчей:

  • BlueHammer (CVE-2026-33825) — обход Defender до прав SYSTEM, патч вышел 14 апреля
  • RedSun (CVE-2026-41091) — аналогичный обход через облачные метки файлов, внеплановое исправление 21 мая
  • UnDefend (CVE-2026-45498) — инструмент для отключения защитника, устранён вместе с RedSun 21 мая
  • YellowKey (CVE-2026-45585) — обход шифрования BitLocker при физическом доступе к устройству, патч вышел с июньским Patch Tuesday
  • GreenPlasma (CVE-2026-45586) — повышение привилегий через CTFMON, патч вышел тогда же
  • MiniPlasma (CVE-2020-17103) — уязвимость 2020 года, которую считали закрытой, но она вновь оказалась рабочей на полностью обновлённых системах; исправлена вместе с предыдущими
  • RoguePlanet — седьмой эксплойт, опубликован через несколько часов после июньских патчей и по-прежнему работает на полностью обновлённых Windows 10 и 11; официального исправления и номера CVE до сих пор нет

GitHub и GitLab заблокировали аккаунты исследователя ещё в мае, однако код к тому моменту разошёлся по форумам и сторонним репозиториям, так что на распространение это почти не повлияло. Microsoft поначалу грозила уголовным преследованием, но после критики со стороны специалистов по безопасности риторику смягчила.

Почему это не удивляет специалистов

Фраза «люди не обновляют свои компьютеры» никого в индустрии не удивит, но цифры всё равно впечатляют. По данным недавнего отчёта Absolute Security (Cyber Resilience Risk Index 2026), устранение критических уязвимостей на Windows 10 и 11 в среднем занимает 127 дней — более чем вдвое хуже прошлогоднего показателя в 56 дней. В том же исследовании отмечается, что защитные средства на конечных устройствах не срабатывают примерно в 21% случаев, из-за чего устройства остаются открытыми для атак до 76 дней в год.

Оценки доли устройств на Windows 10 расходятся в зависимости от источника: от 10% в парке, который отслеживает сама Absolute Security, до 26% по данным StatCounter и около 15% по данным PassMark. Даже по нижней границе — это каждое десятое устройство, почти гарантированно не получающее исправлений вовсе, если владелец не подключил расширенную поддержку.

Windows 10 получила ещё год отсрочки

Здесь есть не самая очевидная новость: в конце июня Microsoft без формального анонса, просто правкой на странице поддержки, продлила бесплатную программу расширенных обновлений безопасности (ESU) для Windows 10 ещё на год — до 12 октября 2027 года. Изначально бесплатный период для домашних пользователей должен был закончиться в октябре 2026-го. Подключить ESU по-прежнему можно тремя способами: бесплатно при синхронизации настроек через учётную запись Microsoft, за 1000 баллов Microsoft Rewards или разовым платежом, эквивалентным 30 долларам США (точная стоимость и доступность способа зависят от региона). Программа не даёт новых функций и техподдержки — только критические и важные исправления безопасности, но при нынешней статистике эксплуатации именно этого сейчас и не хватает большинству отстающих устройств.

Что дальше

Ещё в мае Nightmare Eclipse анонсировал крупную публикацию на 14 июля — дату ближайшего Patch Tuesday у Microsoft. Позже, после того как седьмой эксплойт RoguePlanet потребовал куда больше сил, чем ожидалось, исследователь частично отыграл обещание назад, заявив, что масштабного релиза, скорее всего, не будет, хотя тема может получить продолжение в той или иной форме. Завершена кампания или нет — не знает никто, включая, судя по всему, самого исследователя.

Для рядового пользователя и системного администратора практический вывод один: полагаться на «эксплойт слишком сложный» или «патча пока нет» не стоит.

  • Проверьте, что апрельские, майские и июньские накопительные обновления Windows установлены — вручную через Центр обновления, если автоматическая установка почему-то не сработала
  • Если устройство всё ещё на Windows 10 22H2 и переход на Windows 11 не планируется в ближайшее время — подключите бесплатную ESU, благо срок теперь продлён до осени 2027 года
  • Против RoguePlanet, для которого патча пока нет, специалисты рекомендуют allowlisting приложений как временную, но рабочую меру защиты
  • Заложите время на проверку бюллетеней MSRC в районе 14 июля — на случай, если исследователь всё же выполнит часть обещаний