文章总结： 2026年4月26日网络安全漏洞动态聚焦BlackHatAsia2026披露的PhantomRPCWindowsRPC架构权限提升漏洞（无CVE、无官方补丁），以及持续活跃的MicrosoftDefender零日系列（BlueHammer、RedSun、Undefend）和MicrosoftSharePointServer欺骗漏洞（CVE-2026-32201，在野利用零日）。核心发现包括PhantomRPC暴露WindowsRPC根本设计弱点，可本地提权至SYSTEM级别；Defender零日系列涉及权限提升、侦察与DoS攻击；SharePoint漏洞威胁机密性与完整性。可操作建议包括：针对PhantomRPC启用ETWRPC监控、收紧SeImpersonatePrivilege权限、使用Kaspersky审计工具扫描；立即更新MicrosoftDefender至4.18.26030.3011或更高版本；应用2026年4月PatchTuesday安全更新并优先处理SharePoint服务器。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,解决方案,红队

今日（2026年4月26日）热点网络安全漏洞动态

奇安信 CERT

2026年4月26日 14:06 江苏

在小说阅读器读本章

去阅读

日期：2026-04-26　　威胁等级：High来源：Kaspersky · Black Hat Asia · CISA KEV · Microsoft MSRC

一、概要

截至2026年4月26日早间，本日热度最高的漏洞主要来自Black Hat Asia 2026会议披露及近期威胁情报。焦点是PhantomRPC（Windows RPC架构权限提升漏洞），由Kaspersky研究员Haidar Kabibo于4月24日披露，引发全球安全社区热议；同期Microsoft Defender零日系列（BlueHammer、RedSun、UnDefend）仍在活跃利用，SharePoint Spoofing零日（CVE-2026-32201）作为4月Patch Tuesday在野利用漏洞持续发酵。

二、高危漏洞详情

PhantomRPC：Windows RPC架构权限提升（今日热度最高）

无CVE / 无官方补丁本地权限提升Black Hat Asia 2026

受影响产品：所有Windows版本（包括客户端和服务器版），影响Windows RPC运行时（rpcrt4.dll）。

影响：本地权限提升至SYSTEM级别。低权限进程（例如NT AUTHORITY\NETWORK SERVICE）可伪造RPC服务器，拦截高权限客户端的RPC调用，利用RpcImpersonateClient API冒充客户端安全上下文，实现从低权限服务账户直接提升至SYSTEM/Administrator权限。无需内存破坏，属于架构设计缺陷。

热度原因：4月24日Black Hat Asia 2026由Kaspersky研究员Haidar Kabibo正式披露（4月25日媒体大量报道），提供5种具体利用路径PoC和审计工具。Microsoft早在2025年9月收到报告，但评估为”moderate”严重性，拒绝分配CVE、不计划立即修补，引发安全社区强烈不满。该漏洞暴露Windows RPC根本设计弱点，潜在攻击向量几乎无限，适用于gpupdate.exe、Microsoft Edge启动、DHCP/WDI服务等多种场景。X平台和安全论坛昨日讨论量激增，被视为”改变权限提升方式”的新型技术。

修复建议：无官方补丁（Microsoft已关闭案例）；启用ETW-based RPC监控（Event ID 1的RPC_S_SERVER_UNAVAILABLE错误+高模拟级别）；尽可能启用被禁用的服务（如TermService）以占用合法端点；严格限制SeImpersonatePrivilege（仅授予必需进程）；使用Kaspersky GitHub上的PhantomRPC审计工具（github.com/KasperskyOS-community/phantom-rpc）扫描可利用模式；部署监控规则评估整体风险。

Microsoft Defender零日系列：BlueHammer + RedSun + UnDefend（持续活跃）

CVSS 7.8~9.0 High/Critical仍处活跃利用

受影响产品：Microsoft Defender Antimalware Platform（所有支持版本）。

影响：

• BlueHammer

  （CVE-2026-33825，已修补）：权限提升至SYSTEM。

• RedSun

  ：触发Defender警报后实现侦察和手动命令执行。

• UnDefend

  ：DoS攻击（阻止Defender接收签名更新或导致防病毒停止工作），结合其他漏洞可执行任意程序。

热度原因：同一研究员Chaotic Eclipse（GitHub Nightmare-Eclipse）因不满Microsoft漏洞处理流程，于4月初公开BlueHammer，后续连续披露RedSun和UnDefend。Huntress威胁情报公司在4月10-16日检测到真实利用活动（包括FunnyApp.exe、undef.exe），PoC已在GitHub公开。4月20日前后中文媒体（iThome等）持续跟进，形成”第三款Defender零日”话题，热度居高不下。

修复建议：立即更新Microsoft Defender到4.18.26030.3011或更高版本（Windows Security > Virus & threat protection > Protection updates > Check for updates）；BlueHammer已通过4月Patch Tuesday修补，RedSun和UnDefend建议持续监控Microsoft后续补丁；开启Microsoft Defender for Endpoint高级防护；隔离可疑进程；监控Defender警报和EICAR测试文件触发。

CVE-2026-32201：Microsoft SharePoint Server 欺骗漏洞（Patch Tuesday余热）

Spoofing 欺骗在野利用零日

受影响产品：Microsoft SharePoint Server（2016、2019、Subscription Edition）。

影响：欺骗漏洞（Spoofing），未授权攻击者通过网络进行欺骗，可查看敏感信息并修改已披露信息（影响机密性和完整性）。

热度原因：4月Patch Tuesday确认的在野利用零日，CISA等机构关注度高，与Defender零日同期讨论，成为企业管理员重点关注对象。

修复建议：立即应用2026年4月Patch Tuesday安全更新（通过Windows Update或Microsoft Update Catalog）；优先更新SharePoint服务器；避免通过预览窗格打开可疑文档；启用SharePoint高级威胁防护（ATP）。

三、总体修复提醒

• 优先级：

  PhantomRPC（无补丁，架构级缺陷）和SharePoint Spoofing零日（在野利用）为最高优先；Defender零日系列（RedSun/UnDefend）需持续跟进Microsoft后续补丁。

• PhantomRPC专项：

  下载Kaspersky审计工具（github.com/KasperskyOS-community/phantom-rpc）扫描可利用模式；启用ETW RPC监控；收紧SeImpersonatePrivilege权限分配。

• 通用防护：

  启用EDR/XDR、限制SeImpersonatePrivilege非必要授予、监控RPC异常事件；SharePoint管理员检查最新Patch Tuesday更新状态。

• 持续关注：

  建议定期查看Microsoft Security Response Center和CISA KEV最新页面获取实时更新。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《今日（2026年4月26日）热点网络安全漏洞动态》