江蘇
關鍵詞
漏洞
網絡安全研究人員發現,近期泄露的三個Windows Defender提權漏洞正遭實際攻擊利用。攻擊者直接使用來自GitHub公開倉庫的概念驗證(PoC)漏洞利用代碼,針對真實企業目標發起攻擊。
2026年4月2日,化名Nightmare-Eclipse(又稱Chaotic Eclipse)的安全研究員在與微軟安全響應中心(MSRC)就漏洞披露流程產生分歧后,在GitHub發布了BlueHammer漏洞利用工具。該0Day漏洞現被編號為CVE-2026-33825,利用Windows Defender簽名更新工作流中的TOCTOU(檢查時間與使用時間)競爭條件和路徑混淆缺陷,使本地低權限用戶可在完全打補丁的Windows 10/11系統上提升至SYSTEM權限。
漏洞利用技術剖析
該漏洞利用手法涉及微軟 Defender 文件修復邏輯、NTFS連接點、Windows云文件API和機會鎖(oplocks)之間的交互,無需內核漏洞利用或內存破壞。BlueHammer發布后不久,Nightmare-Eclipse又發布了兩款工具:RedSun(可在Windows 10/11和Windows Server 2019上獲取SYSTEM權限,甚至在4月補丁星期二更新后仍有效)和UnDefend(通過破壞Defender更新機制逐步削弱其防護能力)。
Huntress確認實際攻擊活動
Huntress研究人員觀察到攻擊者正在實戰中組合使用這三種技術。攻擊載荷被部署在低權限用戶目錄中,特別是Pictures文件夾和Downloads目錄下的兩位字母子文件夾,使用的文件名與原始PoC倉庫一致(FunnyApp.exe和RedSun.exe),部分樣本被重命名為z.exe。
2026年4月10日檢測到BlueHammer通過以下路徑執行:
C:\Users\[REDACTED]\Pictures\FunnyApp.exe
Windows Defender實時攔截并隔離了該文件,標記為Exploit:Win32/DfndrPEBluHmrBZ(嚴重級別)。威脅在UTC時間19:43:37被檢測到,兩分鐘內完成隔離。
2026年4月16日記錄的第二起事件涉及:
C:\Users\[REDACTED]\Downloads\RedSun.exe
此次調用觸發了Virus:DOS/EICAR_Test_File警報——這是RedSun攻擊技術的故意設計,通過EICAR測試文件誘使Defender實時引擎進入可被操縱的檢測-修復循環。此外還檢測到次級進程Undef.exe以-agressive參數運行,作為Explorer.EXE下cmd.exe的子進程啟動,被ThreatOps Hunting規則標記為高風險。
值得注意的是,兩次攻擊嘗試都伴隨手動枚舉命令,包括:
whoami /priv—— 枚舉當前用戶權限
cmdkey /list—— 識別存儲憑據
net group—— 映射Active Directory組成員關系
這種攻擊前偵察模式強烈表明攻擊者屬于具備針對入侵能力的熟練對手,而非機會性自動化攻擊。
補丁狀態與緩解措施
微軟已在2026年4月補丁星期二更新中修復CVE-2026-33825(BlueHammer),但截至本文發布時RedSun和UnDefend仍未打補丁,數百萬Windows系統持續面臨風險。安全團隊應立即:
部署所有2026年4月Windows安全更新
監控用戶可寫目錄(Pictures、Downloads子文件夾)中的未簽名可執行文件
對非管理進程投放EICAR測試文件的行為設置警報
在終端遙測數據中追蹤
whoami /priv、cmdkey /list和net group執行鏈實施最小權限原則以限制漏洞利用所需的本地訪問途徑
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
