文章总结： 安全研究人员发现泄露的WindowsDefender提权漏洞CVE-2026-33825正遭活跃利用，攻击者使用GitHub公开的BlueHammer、RedSun和UnDefend工具组合攻击企业目标。Huntress确认攻击活动涉及低权限目录部署、EICAR测试文件触发检测循环及手动侦察命令。微软已修复BlueHammer漏洞，但RedSun和UnDefend仍未打补丁，建议立即部署4月更新、监控用户目录可执行文件、设置EICAR文件警报并实施最小权限原则。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,安全运营,恶意软件

【安全圈】泄露的Windows Defender 0Day漏洞正遭活跃利用

安全圈

2026年4月18日 18:01 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

网络安全研究人员发现，近期泄露的三个Windows Defender提权漏洞正遭实际攻击利用。攻击者直接使用来自GitHub公开仓库的概念验证（PoC）漏洞利用代码，针对真实企业目标发起攻击。

2026年4月2日，化名Nightmare-Eclipse（又称Chaotic Eclipse）的安全研究员在与微软安全响应中心（MSRC）就漏洞披露流程产生分歧后，在GitHub发布了BlueHammer漏洞利用工具。该0Day漏洞现被编号为CVE-2026-33825，利用Windows Defender签名更新工作流中的TOCTOU（检查时间与使用时间）竞争条件和路径混淆缺陷，使本地低权限用户可在完全打补丁的Windows 10/11系统上提升至SYSTEM权限。

漏洞利用技术剖析

该漏洞利用手法涉及微软 Defender 文件修复逻辑、NTFS连接点、Windows云文件API和机会锁（oplocks）之间的交互，无需内核漏洞利用或内存破坏。BlueHammer发布后不久，Nightmare-Eclipse又发布了两款工具：RedSun（可在Windows 10/11和Windows Server 2019上获取SYSTEM权限，甚至在4月补丁星期二更新后仍有效）和UnDefend（通过破坏Defender更新机制逐步削弱其防护能力）。

Huntress确认实际攻击活动

Huntress研究人员观察到攻击者正在实战中组合使用这三种技术。攻击载荷被部署在低权限用户目录中，特别是Pictures文件夹和Downloads目录下的两位字母子文件夹，使用的文件名与原始PoC仓库一致（FunnyApp.exe和RedSun.exe），部分样本被重命名为z.exe。

2026年4月10日检测到BlueHammer通过以下路径执行：

• C:\Users\[REDACTED]\Pictures\FunnyApp.exe

Windows Defender实时拦截并隔离了该文件，标记为Exploit:Win32/DfndrPEBluHmrBZ（严重级别）。威胁在UTC时间19:43:37被检测到，两分钟内完成隔离。

2026年4月16日记录的第二起事件涉及：

• C:\Users\[REDACTED]\Downloads\RedSun.exe

此次调用触发了Virus:DOS/EICAR_Test_File警报——这是RedSun攻击技术的故意设计，通过EICAR测试文件诱使Defender实时引擎进入可被操纵的检测-修复循环。此外还检测到次级进程Undef.exe以-agressive参数运行，作为Explorer.EXE下cmd.exe的子进程启动，被ThreatOps Hunting规则标记为高风险。

值得注意的是，两次攻击尝试都伴随手动枚举命令，包括：

• whoami /priv

  —— 枚举当前用户权限

• cmdkey /list

  —— 识别存储凭据

• net group

  —— 映射Active Directory组成员关系

这种攻击前侦察模式强烈表明攻击者属于具备针对入侵能力的熟练对手，而非机会性自动化攻击。

补丁状态与缓解措施

微软已在2026年4月补丁星期二更新中修复CVE-2026-33825（BlueHammer），但截至本文发布时RedSun和UnDefend仍未打补丁，数百万Windows系统持续面临风险。安全团队应立即：

• 部署所有2026年4月Windows安全更新
• 监控用户可写目录（Pictures、Downloads子文件夹）中的未签名可执行文件
• 对非管理进程投放EICAR测试文件的行为设置警报
• 在终端遥测数据中追踪whoami /priv、cmdkey /list和net group执行链
• 实施最小权限原则以限制漏洞利用所需的本地访问途径

END

阅读推荐

【安全圈】IPv8草案发布，互联网迎来重大变革！100%兼容IPv4

【安全圈】WordPress 数十款插件被植入后门，超 2 万站点面临风险

【安全圈】开源AI中转站现高危漏洞 利用缺陷可以伪造任意金额充值

【安全圈】10 美元域名或致黑客掌控 2.5 万个终端，涉运营技术及政府网络

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】泄露的Windows Defender 0Day漏洞正遭活跃利用》