文章总结： 微软Defender反恶意软件平台存在权限提升零日漏洞CVE-2026-33825，攻击者可利用该漏洞将权限提升至SYSTEM级别，从而关闭安全工具、安装恶意软件或访问敏感数据。该漏洞影响版本4.18.26020.6及更早版本，已在4.18.26030.3011版本中修复。建议用户通过Windows安全中心检查更新，确保版本号不低于修复版本。 综合评分： 85 文章分类： 漏洞预警,终端安全,漏洞分析,应急响应,安全运营

微软Defender零日漏洞可导致权限提升攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月15日 19:03 北京

在小说阅读器读本章

去阅读

微软已于周二发布了补丁安全更新，以解决微软 Defender 反恶意软件平台中新发现的零日漏洞。

该漏洞于 2026 年 4 月 14 日披露，编号为 CVE-2026-33825，严重性评级为“重要”。

如果成功利用此权限提升漏洞，攻击者可以绕过标准权限，获得受影响机器上的完整 SYSTEM 权限。

Defender 0日漏洞

核心问题源于Microsoft Defender 反恶意软件平台中访问控制粒度不足 (CWE-1220) 。

该平台由用户模式二进制文件（例如 MsMpEng.exe）和内核模式驱动程序组成，旨在保护 Windows 设备。

由于访问控制存在漏洞，拥有基本本地访问权限的授权攻击者可以利用该漏洞将其权限提升到最高级别。

获取 SYSTEM 权限对组织安全构成严重威胁。攻击者可以利用此权限关闭安全工具、安装持久性恶意软件、访问敏感数据，并创建具有完整管理权限的新帐户。

根据微软 CVSS 3.1 评分，该漏洞的基本得分为 7.8。

该缺陷的主要技术特征包括：

• 攻击途径：需要本地访问权限，这意味着攻击者必须已经对目标机器拥有立足点。
• 攻击复杂度：低，一旦获得本地访问权限，利用该漏洞相对容易执行。
• 用户交互：无需任何交互，允许漏洞利用程序静默运行，而不会诱骗用户点击链接或打开文件。
• 所需权限：低，这意味着只需一个标准的非管理员用户帐户即可触发权限提升。

安全研究人员 Zen Dodd 和 Yuanpei Xu 向微软报告了该漏洞。虽然该漏洞的技术细节已公开，但微软指出，该漏洞尚未被实际利用。

然而，该公司评估认为，这种利用“更有可能”，这意味着威胁行为者预计很快就会开发和部署可用的漏洞利用代码。

有趣的是，企业级漏洞扫描器可能会标记出已禁用 Microsoft Defender 的系统。这是因为受影响的二进制文件仍然保留在硬盘上。

微软澄清说，禁用 Defender 的系统实际上并不处于可被利用的状态，但仍然建议进行更新。

缓解措施

微软会定期更新恶意软件定义和底层平台，以抵御不断涌现的威胁。在大多数企业环境和家庭用户中，默认配置会自动下载并安装这些关键更新。

该漏洞影响平台版本 4.18.26020.6 及更早版本，已在版本 4.18.26030.3011 中完全修复。组织和用户应手动检查其更新状态，以确保获得全面保护。

查看您当前的版本：

• 使用 Windows 搜索栏打开 Windows 安全中心应用程序。
• 导航至病毒和威胁防护部分。
• 点击“保护更新”，然后选择“检查更新”。
• 打开设置，选择“关于”，然后查看反恶意软件客户端版本。
• 请确保您的版本号等于或大于 4.18.26030.3011。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软Defender零日漏洞可导致权限提升攻击》