V průběhu dubna 2026 byly veřejně odhaleny tři závažné zranitelnosti v programu Windows Defender. Útočníci je aktivně zneužívají při reálných útocích, přičemž dvě z nich dosud nemají záplatu — a ohrožují i plně aktualizované systémy.
První zranitelnost, pojmenovaná BlueHammer (CVE-2026-33825), byla zveřejněna 7. dubna 2026 i s funkčním proof-of-concept exploitem. Proof-of-concept je ukázková demonstrace útoku, která ověřuje, že zranitelnost skutečně funguje — a zpravidla výrazně usnadňuje práci útočníkům. BlueHammer umožňuje lokální zvýšení oprávnění: útočník bez zvláštních práv dokáže na napadeném počítači získat úroveň oprávnění SYSTEM, tedy plnou kontrolu nad systémem. Microsoft záplatu vydal 14. dubna v rámci pravidelného Patch Tuesday — měsíčního balíčku bezpečnostních aktualizací.
Druhá zranitelnost, pojmenovaná RedSun, využívá způsob, jakým Defender nakládá s tzv. cloud-tagovanými soubory — soubory označenými systémem jako stažené z internetu. Útočník tuto logiku zneužije k přepsání systémových cest a opět získá plná oprávnění. Nebezpečné je, že RedSun funguje i na systémech, kde byl aplikován dubnový Patch Tuesday. Jinými slovy: i plně aktualizovaný Windows 10, Windows 11 nebo Windows Server 2019 a novější je zranitelný, pokud je Defender aktivní.
Třetí zranitelnost, UnDefend, míří jinam — na samotný mechanismus aktualizace Defenderu. Běžný uživatel bez administrátorských práv ji může využít k tomu, aby Defender přestal přijímat aktualizace virových definic, nebo ho dokonce zcela zakáže. Výsledkem je systém, který vypadá chráněný, ale fakticky antivirovou ochranu nemá.
Aktivní zneužívání BlueHammeru bylo poprvé zaznamenáno 10. dubna, ještě před vydáním záplaty. Bezpečnostní výzkumníci popisují skutečné cílené průniky s přítomností útočníka — nejde tedy o automatizovaný malware, ale o promyšlené útoky. Pro české firmy, školy a instituce platí stejné riziko jako kdekoliv jinde: Windows Defender je výchozí ochrana téměř na každém počítači s Windows.
Praktický tip: Nainstalujte dubnový Patch Tuesday, pokud jste tak ještě neučinili — záplatuje alespoň BlueHammer. Pro RedSun a UnDefend záplata zatím neexistuje. Je rozumné sledovat aktualizace na stránkách Microsoft Security Response Center a v citlivých prostředích zvážit omezení oprávnění lokálních uživatelů nebo nasazení doplňkové ochrany.
Případy RedSun a UnDefend ukazují, že ani pravidelné aktualizace nestačí — někdy zbývá jen sledovat situaci a čekat na záplatu, která přijde.
Zdroj: The Hacker News