微软三大 Windows 零日漏洞遭公开后已被用于攻击，仅其中之一获修复

报道介绍了安全研究员“Chaotic Eclipse”公开的三枚Windows本地提权/防护绕过零日漏洞：BlueHammer（已于2026年4月Patch Tuesday修复，CVE-2026-33825）、RedSun（尚无补丁，可在启用Defender的Win10/11及Server上从普通用户提权至SYSTEM）和UnDefend（可阻断Defender病毒库更新）。Huntress Labs和独立分析者检测到这些漏洞已被黑客用于实战攻击，攻击利用Defender签名更新、Cloud Files API、机会锁与重解析点等技术实现权限提升或降级防护。文章还描述了研究员与微软安全响应中心（MSRC）在漏洞处置与署名上的争议，并建议企业加强日志审计、监控重解析点与机会锁等异常行为，使用应用控制（AppLocker/WDAC）等防护措施。

4 月 17 日消息，微软本月早些时候遭公开的三枚 Windows 零日漏洞，目前已全部被黑客用于实际攻击。其中两枚涉及 Microsoft Defender 本地权限提升，另一枚可阻断 Defender 病毒库更新，但目前仅有 BlueHammer 获得修复。

Huntress Labs 安全研究人员于当地时间 4 月 16 日报告称，已监测到这三枚零日漏洞被利用的迹象。其中，BlueHammer 漏洞自 4 月 10 日起就已被用于攻击。

研究人员还在一个通过失陷的 SSLVPN 账户被攻破的 Windows 设备上，同时发现了 UnDefend 和 RedSun 漏洞的利用痕迹，攻击显示出“有实战操作的黑客活动特征”。

这三枚漏洞由化名为“Chaotic Eclipse”或“Nightmare-Eclipse”的安全研究员在本月初陆续公开。

截至 4 月 17 日，微软仅将 BlueHammer 漏洞编号为 CVE-2026-33825，并在 4 月安全更新中完成了修复，其余两枚漏洞至今没有官方补丁。

漏洞细节

BlueHammer 是一个 Windows 本地权限提升零日漏洞，于 4 月 3 日首次公开。该漏洞滥用了 Microsoft Defender 的签名更新机制，通过组合检查时间 / 使用时间（TOCTOU）竞争条件与路径混淆，实现 SYSTEM 级权限提升。

微软已在 4 月 14 日的 Patch Tuesday 更新中修复该漏洞。CVE-2026-33825 被评定为“重要”级别，CVSS 评分为 7.8，允许本地攻击者在受影响系统上获得 SYSTEM 权限。

然而，就在微软发布补丁后不久，同一研究员再次公开了第二枚零日漏洞 RedSun。这是一枚未修复的权限提升漏洞，可在 Win10、Win11 及 Windows Server 2019 及以上系统中，在 Windows Defender 启用的情况下，帮助攻击者获得 SYSTEM 权限。即便用户已安装了 4 月 Patch Tuesday 的所有更新，RedSun 依然能够成功利用。

第三枚漏洞 UnDefend 则允许标准用户阻断 Microsoft Defender 的病毒库定义更新，造成防御能力的实质性降级。

攻击手法：Defender 反被利用成为攻击通道

据独立验证了这些漏洞的前 CERT / CC 分析师 Will Dormann 分析，RedSun 利用 Windows Cloud Files API 创建文件，写入 EICAR 测试字符串，通过机会锁在竞争条件下获胜，然后将目录联接重解析点交换到特权扫描程序下方，使恶意写入操作最终落地到 C:\Windows\System32\TieringEngineService.exe。下一次 Windows 调用 Cloud Files Infrastructure 服务时，攻击者控制的二进制文件即以 SYSTEM 权限运行。

Dormann 表示：“在启用了 Windows Defender 的情况下，该漏洞可在安装了 2026 年 4 月更新的 Windows 11 和 Windows Server 上，100% 可靠地从普通用户提权至 SYSTEM，Windows 10 同样受影响。”

BlueHammer 的攻击路径则利用了 Defender 签名更新流程，在 mpasbase.vdm 上放置机会锁，使用对象管理器符号链接加目录联接，将 SYSTEM 级写入操作通过卷影副本重定向到 SAM 和 SYSTEM 注册表配置单元，从而实现 NTLM 哈希提取和本地哈希传递攻击。在 Windows Server 环境下，因授权检查机制不同，攻击结果为提升至管理员权限而非完整 SYSTEM 权限。

披露争议：研究员称 MSRC 处理流程“令其过于反感”

三枚漏洞的公开披露，源于该研究员对微软安全响应中心处理流程的强烈不满。据 Chaotic Eclipse 称，MSRC 团队曾“亲自告诉我，他们会毁掉我的人生，他们也确实这么做了。他们把我逼到绝境，玩尽了各种幼稚的把戏。”

据IT之家早前报道，该研究员向微软私下提交漏洞后，MSRC 要求提供漏洞利用的视频演示作为证据 —— 这种要求在安全社区中属于异类，通常 PoC 代码加文字说明已足够。该研究员认为 MSRC 近年来的质量大幅下滑，原因是微软裁掉了经验丰富的安全人员，换上了只会照搬流程图的员工。

微软在 CVE-2026-33825 的安全公告中，将漏洞发现功劳归于 Zen Dodd 和 Yuanpei Xu，而非 Chaotic Eclipse。这一署名争议被认为是研究员决定公开更多漏洞的直接导火索。该研究员随后公开承诺：“我会确保微软每次发布补丁时，事情都变得更有趣。”

微软发言人在回应漏洞披露争议时表示：“公司始终致力于调查已报告的安全问题，并将尽快发布更新以保护用户。我们也支持协调漏洞披露机制，这是一种广泛采用的行业实践，有助于确保问题在公开披露前得到认真调查和解决，既能保护客户，也能支持安全研究社区。”

截至 4 月 17 日，微软仍未就 RedSun 和 UnDefend 两枚漏洞发布官方补丁或临时缓解方案。安全团队建议企业用户加强对 Defender 的日志审计，监控重解析点创建和机会锁获取等异常行为，并在高价值系统上部署 Windows Defender 应用程序控制或 AppLocker 作为防御纵深。

相关阅读：

《开发者不满微软 MSRC 安全部门响应流程，公开披露 Windows 本地提权零日漏洞》