После патча - новый слив: автор BlueHammer выложил RedSun и обвинил MSRC в игноре

22.04.2026

На следующий день после выхода апрельского патча Microsoft для CVE-2026-33825 исследователь, связанный с публичным раскрытием BlueHammer, опубликовал новый код под названием RedSun. Пост оформлен как ответ на исправление CVE-2026-33825 и на реакцию Microsoft: автор приложил ссылку на GitHub-репозиторий и заявил, что компания знала о риске публичного раскрытия, но не отреагировала должным образом.

CVE-2026-33825 уже внесена в NVD как локальная уязвимость повышения привилегий в Microsoft Defender с CVSS 7.8. По опубликованным разбором сторонних исследователей, BlueHammer эксплуатировал condition race в логике обработки файлов Defender и позволял локальному пользователю получить SYSTEM-права. Microsoft закрыла этот дефект в апрельском обновлении, но новый пост показывает, что история на этом не закончилась.

Главная новость здесь не только в новом PoC, а в эскалации конфликта между исследователем и Microsoft Security Response Center. В публикации автор резко критикует MSRC, утверждает, что его обращения были отклонены, и прямо обещает продолжить публичные раскрытия. Сам тон сообщения показывает, что дальнейшие публикации могут использоваться уже не как coordinated disclosure, а как давление через открытый релиз кода.

Для защитников это неприятный сигнал по двум причинам. Во-первых, вокруг Defender за короткий срок уже сформировалась серия публично обсуждаемых LPE-сценариев. Во-вторых, даже после закрытия одного CVE конфликт вокруг процесса disclosure может быстро превратиться в источник новых рабочих PoC и ускорить их попадание в реальные атаки.