Windows Defender nulldagssårbarhet utnyttes aktivt i angrep. Kritisk sårbarhet i Cisco Secure Workload kan gi uautorisert administrator-tilgang. Badiis skadevare kaprer IIS servere og gjør dem til skjulte proxy noder. WantToCry løsepengevirus misbruker SMB tjenester for lateral spredning. GhostTree skadevare angriper EDR produkter for å skjule aktivitet.
Windows Defender nulldagssårbarhet utnyttes aktivt i angrep
To lekkede Windows Defender nulldagssårbarheter, CVE-2026-45498 og CVE-2026-41091, blir aktivt brukt etter at exploit kode ble publisert offentlig på GitHub. Sårbarhetene påvirker Microsoft Defender sin anti-skadevare motor og oppdateringsmekanisme, og gir lokal privilegieeskalering til SYSTEM på Windows 10, Windows 11 og enkelte Windows Server systemer. Angrepene bruker race conditions, path confusion, NTFS junction points og manipulasjon av Defender sin sanerings og signaturoppdateringsprosess uten behov for kernel utnyttelse eller minnekorrupsjon. Huntress observerte kjøring av binærer som FunnyApp.exe, RedSun.exe og Undef.exe fra bruker-skrivbare mapper som Downloads og Pictures. Angriperne kjørte også kommandoer som whoami /priv, cmdkey /list og net group før privilegieeskalering. Microsoft publiserte oppdaterte Defender Engine og plattform versjoner for å redusere risikoen og blokkere aktiv utnyttelse.
Administratorer bør kontrollere at Defender Engine versjonen er minst 1.1.26040.8 og at anti-skadevare platform versjonen er minst 4.18.26040.7 på alle endepunkter. Oppdateringer kan tvangskjøres via Windows Security → Virus & threat protection → Protection updates → Check for updates. I Windows Security → Settings → About.
Kritisk sårbarhet i Cisco Secure Workload kan gi uautorisert administrator-tilgang
En kritisk sårbarhet i Cisco Secure Workload gjør det mulig å få uautorisert administrator-tilgang til berørte systemer uten gyldig autentisering. Feilen skyldes utilstrekkelig validering i autentiseringsmekanismen til webgrensesnittet, noe som lar en angriper sende spesiallagde HTTP forespørsler direkte mot applikasjonen. En vellykket utnyttelse gir tilgang til administrative funksjoner og sensitiv systeminformasjon. Sårbarheten påvirker Cisco Secure Workload installasjoner som er offentlig tilgjengelige eller eksponert internt mot mindre betrodde nettverk. Cisco publiserte sikkerhetsoppdateringer for å rette feilen og opplyste at det ikke finnes workarounds som fullt ut eliminerer risikoen. Artikkelen oppgir ikke aktiv utnyttelse, men understreker at sårbarheten har høy alvorlighetsgrad på grunn av muligheten for full administrativ kontroll.
Organisasjoner bør oppgradere til faste versjoner som inkluderer sikkerhetsfiksen. Versjon 3.10 er rettet i 3.10.8.3, versjon 4.0 er rettet i 4.0.3.17, og kunder som bruker versjon 3.9 eller eldre må migrere til en støttet versjon med tilgjengelig sikkerhetsfiks.
Badiis skadevare kaprer IIS servere og gjør dem til skjulte proxy noder
Badiis er en ny skadevar familie som kompromitterer Microsoft IIS servere og gjør dem om til skjulte proxy servere for videre angrep og anonym trafikkruting. Skadevaren installerer et ondsinnet IIS modulbibliotek som injiseres direkte i IIS workerprosessen (w3wp.exe) og overvåker innkommende HTTP forespørsler for spesifikke kommandoer sendt av angriperen. Når riktige verdier oppdages i HTTP headere eller URL parametere, åpner modulen en proxy tunnel som lar angriperen videresende trafikk gjennom den kompromitterte serveren. Aktiviteten skjules ved å operere inne i legitime IIS prosesser uten å opprette separate prosesser eller tjenester. Analysen viser at malware operatørene brukte IIS serverne til å skjule opprinnelsen til videre angrep og til å omgå nettverksfiltrering. Kampanjen ble observert mot offentlig eksponerte Windows servere med IIS installert, spesielt systemer med svak eller manglende tilgangskontroll.
WantToCry løsepengevirus misbruker SMB tjenester for lateral spredning
WantToCry er en ny løsepengevirus variant som sprer seg gjennom SMB tjenester for å kompromittere Windows systemer i interne nettverk. skadevare familien bruker stjålne eller svake brukerdetaljer til å autentisere mot eksponerte SMB delinger og kopierer deretter ransomware binærer til andre systemer for videre kjøring. Analysen viser at skadevaren benytter innebygde Windows verktøy og skript for lateral bevegelse og fjernutførelse etter kompromittering. Krypteringen retter seg mot brukerdata og delte nettverksressurser, samtidig som filer får nye filendelser og løsepengebeskjeder legges igjen på berørte systemer. Aktiviteten ble observert mot miljøer med utilstrekkelig segmentering og SMB eksponering mellom interne systemer. Artikkelen beskriver også at løsepengevirus operatørene forsøker å deaktivere sikkerhetsmekanismer og prosesser før krypteringen starter for å redusere muligheten for gjenoppretting.
GhostTree skadevare angriper EDR produkter for å skjule aktivitet
GhostTree er en skadevare familie utviklet for å deaktivere og omgå EDR produkter på kompromitterte Windows systemer. Skadevaren identifiserer aktive sikkerhetsprosesser og bruker direkte prosessmanipulasjon, tjenestekontroll og driverrelaterte teknikker for å stoppe overvåkning og redusere deteksjon. Analysen viser at GhostTree forsøker å terminere sikkerhetsagenter, blokkere telemetri og forhindre oppstart av beskyttelsesmekanismer før videre skadevareaktivitet utføres. skadevare koden inneholder støtte for flere kjente EDR og antivirusløsninger og bruker legitime Windows API-er for å skjule handlingene inne i normale systemprosesser. Etter deaktivering av sikkerhetsverktøy kan angriperne laste inn ytterligere payloads, utføre fjernkommandoer og etablere vedvarende tilgang til systemet. Aktiviteten ble observert i målrettede angrep der omgåelse av endpoint beskyttelse var nødvendig for videre kompromittering.
