文章总结： 文档披露了一个名为RedSun的Oday提权漏洞，其核心机制是利用WindowsDefender的异常行为：当检测到带有云标签的恶意文件时，Defender会将该文件重新写回原位置而非删除。攻击者可利用此特性覆盖系统文件从而获取管理员权限。作者指出此行为违背了反恶意软件的基本安全原则，并提供了GitHub上的PoC代码链接。 综合评分： 67 文章分类： 漏洞分析,恶意软件,红队,内网渗透,安全工具

Oday 提权漏洞 RedSun

Khan安全团队

2026年4月25日 17:19 海南

在小说阅读器读本章

去阅读

通常情况下，我会直接放出 PoC 代码，让大家自己去琢磨。但这次不行，它实在太搞笑了。当 Windows Defender 出于某种愚蠢又滑稽的原因，检测到某个恶意文件带有云标签时，这个本应保护系统的杀毒软件竟然会把找到的文件重新写入到原来的位置。这个 PoC 代码正是利用了这一特性来覆盖系统文件并获取管理员权限。

我认为反恶意软件产品应该删除恶意文件，而不是确定它们是否存在，但这只是我个人的看法。

https://github.com/Nightmare-Eclipse/RedSun

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《Oday 提权漏洞 RedSun》