【安全圈】泄露的Windows Defender 0Day漏洞正遭活躍利用

關(guān)鍵詞

漏洞

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，近期泄露的三個(gè)Windows Defender提權(quán)漏洞正遭實(shí)際攻擊利用。攻擊者直接使用來自GitHub公開倉庫的概念驗(yàn)證（PoC）漏洞利用代碼，針對真實(shí)企業(yè)目標(biāo)發(fā)起攻擊。

2026年4月2日，化名Nightmare-Eclipse（又稱Chaotic Eclipse）的安全研究員在與微軟安全響應(yīng)中心（MSRC）就漏洞披露流程產(chǎn)生分歧后，在GitHub發(fā)布了BlueHammer漏洞利用工具。該0Day漏洞現(xiàn)被編號為CVE-2026-33825，利用Windows Defender簽名更新工作流中的TOCTOU（檢查時(shí)間與使用時(shí)間）競爭條件和路徑混淆缺陷，使本地低權(quán)限用戶可在完全打補(bǔ)丁的Windows 10/11系統(tǒng)上提升至SYSTEM權(quán)限。

漏洞利用技術(shù)剖析

該漏洞利用手法涉及微軟 Defender 文件修復(fù)邏輯、NTFS連接點(diǎn)、Windows云文件API和機(jī)會(huì)鎖（oplocks）之間的交互，無需內(nèi)核漏洞利用或內(nèi)存破壞。BlueHammer發(fā)布后不久，Nightmare-Eclipse又發(fā)布了兩款工具：RedSun（可在Windows 10/11和Windows Server 2019上獲取SYSTEM權(quán)限，甚至在4月補(bǔ)丁星期二更新后仍有效）和UnDefend（通過破壞Defender更新機(jī)制逐步削弱其防護(hù)能力）。

Huntress確認(rèn)實(shí)際攻擊活動(dòng)

Huntress研究人員觀察到攻擊者正在實(shí)戰(zhàn)中組合使用這三種技術(shù)。攻擊載荷被部署在低權(quán)限用戶目錄中，特別是Pictures文件夾和Downloads目錄下的兩位字母子文件夾，使用的文件名與原始PoC倉庫一致（FunnyApp.exe和RedSun.exe），部分樣本被重命名為z.exe。

2026年4月10日檢測到BlueHammer通過以下路徑執(zhí)行：

• C:\Users\[REDACTED]\Pictures\FunnyApp.exe

Windows Defender實(shí)時(shí)攔截并隔離了該文件，標(biāo)記為Exploit:Win32/DfndrPEBluHmrBZ（嚴(yán)重級別）。威脅在UTC時(shí)間19:43:37被檢測到，兩分鐘內(nèi)完成隔離。

2026年4月16日記錄的第二起事件涉及：

• C:\Users\[REDACTED]\Downloads\RedSun.exe

此次調(diào)用觸發(fā)了Virus:DOS/EICAR_Test_File警報(bào)——這是RedSun攻擊技術(shù)的故意設(shè)計(jì)，通過EICAR測試文件誘使Defender實(shí)時(shí)引擎進(jìn)入可被操縱的檢測-修復(fù)循環(huán)。此外還檢測到次級進(jìn)程Undef.exe以-agressive參數(shù)運(yùn)行，作為Explorer.EXE下cmd.exe的子進(jìn)程啟動(dòng)，被ThreatOps Hunting規(guī)則標(biāo)記為高風(fēng)險(xiǎn)。

值得注意的是，兩次攻擊嘗試都伴隨手動(dòng)枚舉命令，包括：

• whoami /priv

  —— 枚舉當(dāng)前用戶權(quán)限

• cmdkey /list

  —— 識別存儲(chǔ)憑據(jù)

• net group

  —— 映射Active Directory組成員關(guān)系

這種攻擊前偵察模式強(qiáng)烈表明攻擊者屬于具備針對入侵能力的熟練對手，而非機(jī)會(huì)性自動(dòng)化攻擊。

補(bǔ)丁狀態(tài)與緩解措施

微軟已在2026年4月補(bǔ)丁星期二更新中修復(fù)CVE-2026-33825（BlueHammer），但截至本文發(fā)布時(shí)RedSun和UnDefend仍未打補(bǔ)丁，數(shù)百萬Windows系統(tǒng)持續(xù)面臨風(fēng)險(xiǎn)。安全團(tuán)隊(duì)?wèi)?yīng)立即：

• 部署所有2026年4月Windows安全更新

• 監(jiān)控用戶可寫目錄（Pictures、Downloads子文件夾）中的未簽名可執(zhí)行文件

• 對非管理進(jìn)程投放EICAR測試文件的行為設(shè)置警報(bào)

• 在終端遙測數(shù)據(jù)中追蹤whoami /priv、cmdkey /list和net group執(zhí)行鏈

• 實(shí)施最小權(quán)限原則以限制漏洞利用所需的本地訪問途徑

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！