微软本月公开的三枚Windows零日漏洞,已全部被黑客用于实际攻击。其中两枚涉及Microsoft Defender本地权限提升,另一枚可阻断Defender病毒库更新。截至目前,仅BlueHammer获得官方补丁,其余两枚仍无修复方案。
一、 哪三枚漏洞?影响范围多大?
| 漏洞代号 | CVE编号 | 状态 | 危害 | 影响系统 |
|---|---|---|---|---|
| BlueHammer | CVE-2026-33825 | ✅ 已修复(4月14日) | 本地提权至SYSTEM | Win10/11, Server 2019+ |
| RedSun | 暂无 | ❌ 未修复 | 本地提权至SYSTEM(绕过4月补丁) | Win10/11, Server 2019+ |
| UnDefend | 暂无 | ❌ 未修复 | 阻断Defender病毒库更新 | Windows全系 |
攻击者可在启用了Windows Defender的系统上,从普通用户权限提升至SYSTEM(系统最高权限),完全控制设备。
二、 攻击如何利用Defender本身?
这三枚漏洞的核心思路是“以子之矛,攻子之盾”——利用Defender的高权限扫描机制,反向植入恶意代码。
2.1 RedSun攻击链(未修复)
- 攻击者通过Windows Cloud Files API创建一个文件,写入EICAR测试字符串(Defender会主动扫描)。
- 利用机会锁(oplock) 在竞争条件中获胜,将目录链接重解析点交换到特权扫描程序下方。
- 恶意写入最终落地到
C:\Windows\System32\TieringEngineService.exe。 - 下次系统调用Cloud Files Infrastructure服务时,攻击者控制的二进制文件即以SYSTEM权限运行。
安全研究员Will Dormann实测:在安装了2026年4月全部更新的Windows 11和Server上,成功率100%。
2.2 BlueHammer攻击链(已修复)
- 利用Defender签名更新流程中的TOCTOU竞争条件。
- 在
mpasbase.vdm文件上放置机会锁,使用对象管理器符号链接+目录联接,将SYSTEM级写入操作通过卷影副本重定向到SAM和SYSTEM注册表单元。 - 最终实现NTLM哈希提取和本地哈希传递攻击。
2.3 UnDefend攻击链(未修复)
- 标准用户可直接阻断Microsoft Defender的病毒库定义更新。
- 导致系统防御能力实质性降级,为后续入侵铺路。
三、 为什么研究员公开漏洞?
化名 “Chaotic Eclipse” 的研究员因与微软安全响应中心(MSRC)的严重矛盾,选择公开漏洞。
- 矛盾导火索:MSRC要求提供漏洞利用的视频演示作为证据(安全社区通常PoC代码+文字说明即可)。
- 署名争议:微软在CVE-2026-33825公告中将漏洞发现功劳归于他人,而非实际发现者。
- 研究员声明:“我会确保微软每次发布补丁时,事情都变得更有趣。”
微软回应称支持“协调漏洞披露机制”,但截至4月17日,仍未对RedSun和UnDefend发布任何补丁或临时缓解方案。
四、 如何防御?四层加固建议
4.1 立即行动
- 安装4月Patch Tuesday更新:至少修复BlueHammer漏洞。
- 启用Defender日志审计:监控
%windir%\system32\TieringEngineService.exe等异常进程创建。 - 部署应用程序控制:使用Windows Defender应用程序控制(WDAC)或AppLocker,限制未知二进制文件运行。
4.2 网络层防护:WAF阻断攻击前兆
虽然这些漏洞是本地提权,但攻击者通常需要通过钓鱼邮件、恶意网站、漏洞利用工具包等入口先进入系统。部署Web应用防火墙(WAF) 可在网络层拦截这些初始攻击。
百度云防护WAF可提供:
- 恶意文件上传检测:阻断包含EICAR测试字符串或可疑PE文件的请求。
- 命令注入拦截:规则
Injection.command_inj.A(ID 4193)可阻断PowerShell、cmd等命令执行尝试。 - JA4指纹识别:识别攻击者使用的自动化工具,即使换IP也能精准封禁。
- IP情报库:封杀已知恶意IP段,从源头阻断扫描和钓鱼。
4.3 主机层加固
- 最小权限原则:用户账户不使用本地管理员权限。
- 启用Credential Guard(Windows 10/11企业版):防止NTLM哈希提取。
- 定期检查机会锁和重解析点:使用Sysinternals工具监控异常文件操作。
4.4 应急响应准备
- 假设系统已被提权,制定离线备份恢复计划。
- 部署端点检测与响应(EDR) 产品,实时监控SYSTEM级进程创建。
五、 总结
微软三枚零日漏洞的公开与利用,暴露了Windows安全响应的深层问题:Defender本身的高权限机制被反向利用,成为攻击通道。在官方补丁完全到位前,企业应主动加固:
- 打补丁:优先修复BlueHammer。
- 监控异常:审计重解析点、机会锁、TieringEngineService.exe。
- 纵深防御:部署WAF拦截初始入侵,部署EDR检测后续提权行为。
主机吧提供百度云防护WAF免费安全评估和配置指导,助你构建从网络到主机的立体防线。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让零日漏洞不再可怕,让每一台Windows都固若金汤。
