Noch ein PoC: UnDefend von Chaotic Eclipse/Nightmare‑Eclipse

Am Von In UP2DATE

This content is protected against AI scraping.

UnDefend heißt das dritte bisher veröffentlichte PoC von Chaotic Eclipse/Nightmare‑Eclipse. Der Schadcode unterbricht oder blockiert auf Windows-Endgeräten Microsoft Defender‑Definitionsupdates und bestimmte Defender‑Schutzläufe, sodass Malware länger unentdeckt bleibt.

Komischerweise habe ich einen Weg gefunden, die EDR-Webkonsole so zu täuschen, dass sie anzeigt, dass Defender mit dem neuesten Update läuft, auch wenn das gar nicht der Fall ist. Ich hatte überlegt, den Code zu veröffentlichen, aber nachdem ich darüber nachgedacht habe, wird das viel zu viel Schaden anrichten, also werde ich das Zeug vorerst für mich behalten.

Chaotic Eclipse

Ein lokaler Angriff (erfordert Ausführung als Standard‑Benutzer) missbraucht legitime Windows‑APIs/Workflows für Defender‑Updates (Update‑Staging, Signature database file locking/renaming, Cloud Files API und/oder Volume Shadow Copy Interaktionen) . Diese werden mit Race‑conditions (TOCTOU) und Dateisystem‑Operationen kombiniert, um Update‑Writes zu verhindern oder ersetzte Definitionsdateien zu sichern. Das Ergebnis: Defender bleibt mit veralteten Signaturen oder wird in Update‑Phasen blockiert; Schutzmaßnahmen werden zeitweise ausgeschaltet oder nicht aktualisiert. Doch in Kombination mit „BlueHammer“ (zum April Patchday gepatcht) und RedSun (noch offen) werde der Schadcode gefährlich:

Wie versprochen, hier ist das neue Tool. Es handelt sich um einen 0-Day (sozusagen). Microsoft wird sicherlich versuchen, diese Schwachstelle zu beheben, aber das wird keine hohe Priorität haben.

Dieses Tool ist zwar dumm, aber ziemlich gefährlich, denn in Kombination mit Bluehammer wird dein Rechner praktisch zu einem Sieb – jeder kann beliebige Programme mit Administratorrechten ausführen, und Windows Defender kann dagegen nicht wirklich etwas ausrichten.

Wenn man bedenkt, dass das eigentlich der Sinn eines Antivirenprogramms ist, solltest du es besser deinstallieren, lol.

Chaotic Eclipse

Bleiben Sie wachsam!

[https://deadeclipse666.blogspot.com/2026/04/public-disclosure.html]
[https://github.com/Nightmare-Eclipse?tab=repositories]