Notebookcheck Logo

CISA ger Windows-administratörer fram till 3 juni för att korrigera Nightmare Eclipse Defender-brister

Flygfoto av Microsoft Redmond.
ⓘ Microsoft.com
Flygfoto av Microsoft Redmond.
CISA:s deadline den 3 juni för de två Nightmare Eclipse Defender zero-days är 48 timmar bort. YellowKey, GreenPlasma och MiniPlasma förblir opatchade, med GreenPlasma och MiniPlasma utan CVE-tilldelning.
Business Windows Microsoft Hack / Data Breach Security

Federala myndigheter har fram till den 3 juni på sig att tillämpa korrigeringar för två aktivt utnyttjade sårbarheter i Microsoft Defender som är kopplade till avslöjandekampanjen Nightmare Eclipse. Med den tidsfristen 48 timmar bort förblir ytterligare tre Windows-nolldagar från samma forskare ouppdaterade, och den 9 juni är nästa möjlighet som Microsoft har att ta itu med dem.

Sagan började i början av april när Nightmare Eclipse tappade BlueHammer (CVE-2026-33825), lappad i 14 april Patch Tuesday med sin CISA-tidsfrist som passerade i början av maj. Den nuvarande nedräkningen är förankrad av en separat CISA-åtgärd den 20 maj och lägger till RedSun (CVE-2026-41091) och UnDefend (CVE-2026-45498) till katalogen över kända exploaterade sårbarheter efter att Huntress bekräftat aktiv exploatering i verkliga attacker. CISA föreskrev åtgärder enligt bindande operativt direktiv 22-01 med en tidsfrist på 14 dagar.

Vad de patchade bristerna gör

RedSun riktar in sig på Defenders tiering-motor för att eskalera privilegier till SYSTEM. UnDefend utlöser ett denial-of-service-tillstånd i Antimalware Platform, vilket gör Defender helt blind och skapar ett fönster för ransomware-distribution eller lateral rörelse utan att utlösa varningar.

Båda är fixade i Malware Protection Engine 1.1.26040.8 och Antimalware Platform 4.18.26040.7. Verifiera dessa versionsnummer i Windows säkerhetsinställningar före den 3 juni.

Tre brister utan patch

YellowKey (CVE-2026-45585) kringgår BitLocker på system med enbart TPM via Windows Recovery Environment, vilket möjliggör fysisk åtkomst för att låsa upp krypterade enheter utan en återställningsnyckel. GreenPlasma är en CTFMON-privilegieeskaleringsfel utan CVE och ingen patch. MiniPlasma återutnyttjar CVE-2020-17103 i cldflt.sys, en 2020-fel vars patch antingen var ofullständig eller tyst regresserad.

ThreatLocker och Will Dormann bekräftade att det fortfarande producerar ett SYSTEM-skal på fullt patchade Windows 11 och Windows Server 2022 och 2025. Windows 10 är opåverkat, vilket är viktigt för team som hanterar blandade flottor.

För YellowKey, kör reagentc /disable, montera offline WinRE-registerhive, ta bort autofstx.exe från BootExecute under ControlSet001ControlSession Manager, kör sedan reagentc /enable för att genomföra ändringen. Övergång BitLocker från endast TPM till TPM+PIN där så är möjligt.

Mardröms Eclipse har signalerat en release den 14 juli med inriktning på den månadens Patch Tuesday.

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

Show more articles
> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 06 > CISA ger Windows-administratörer fram till 3 juni för att korrigera Nightmare Eclipse Defender-brister
Darryl Linington, 2026-06- 1 (Update: 2026-06- 1)