文章总结： 文档揭示当前攻击者正将矛头对准防御方的管理平面，如MicrosoftDefender存在提权漏洞CVE-2026-33825被用于系统权限提升，CiscovManage遭三件CVE组合攻击可接管全网设备。CISA一周内连续将9个管理类应用漏洞列入KEV清单，凸显修复率低、CVSS评分误导等风险。建议企业将管理面资产特权化、实现KEV自动化订阅流程，并对Defender、vManage等紧急升级补丁。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,安全运营,漏洞预警

杀软沦为提权跳板？攻击者正把矛头对准“防御者的指挥车”

原创

极客零零七 极客零零七

极客零零七

2026年4月27日 06:03 加拿大

在小说阅读器读本章

去阅读

期数：第16期

日期：2026-04-26

统计周期：2026.04.19 ～ 2026.04.25

一句话总结

CISA 一周三批连推 9 条 KEV（已知被利用漏洞），Microsoft Defender 自身竟成提权点（BlueHammer）；Cisco vManage 遭三件 CVE 连环击破——上期我们说“漏洞管理中枢失灵”，本周其实战形态已现：攻击者正将矛头直接对准防御者自己的管理平面！

一周高危速览

1. Microsoft Defender 沦为提权跳板（CVE-2026-33825）

• 动态：CISA 4/22 将其加入 KEV，CVSS 7.8。
• 解析：Defender 在签名更新机制中存在访问控制粒度不足（TOCTOU race + path confusion）。低权限用户可在已打满补丁的 Win10/11 上直接提权至 SYSTEM。
• 威胁：Huntress 已观测到三个独立利用家族（BlueHammer、RedSun、UnDefend），其中 BlueHammer 自 4/10 起在野活跃。
• 极客点评：装杀软本是为了拦截提权，结果杀软自己成了最高效的提权台阶。

2. Cisco vManage 遭三连击完整接管

• 动态：CISA 4/20-21 连推 9 条新 KEV，Cisco vManage 首当其冲。
• 解析：攻击者将三件漏洞串联：信息泄露 (20133) → 凭证可恢复存储 (20128) → 特权 API 文件覆盖 (20122)。
• 威胁：完整链条已在野演示（枚举文件 → 收割 DCA 凭证 → 改写文件升级 admin），可直接拿下下游成千上万台 SD-WAN 设备。同批进 KEV 的还有 PaperCut、TeamCity、Zimbra 等，清一色“管理类应用”。

3. SharePoint 零日漏洞修复率惨不忍睹（CVE-2026-32201）

• 动态：上期点名的 SharePoint 零日，本周修补曲线极度糟糕。
• 解析：据 BleepingComputer 数据，公网超 1300+ 服务器仍暴露，自补丁发布以来全网修复率不到 13%。
• 极客点评：低 CVSS (6.5) + 高 Exploitability = 完美狩猎场。修复率低迷意味着被攻击窗口至少又被拉长了两周。

4. Ivanti EPMM 漏洞利用已成“常态化背景流量”

• 动态：Unit 42 宣布已于 4/1 停止跟踪该威胁。
• 解析：单个攻击者集群正对全球 500+ 设备发起持续探测，覆盖多国政府、医疗与制造行业。
• 极客点评：“停止跟踪”不是因为安全了，而是因为漏洞利用已泛滥成“背景白噪音”。任何把 EPMM 直接挂公网的组织，现在不该问“是否被打”，而该查“被打了多久”。

趋势解读：KEV 进入“管理面优先”时代

第15期我们预判了 NVD 丰富度下降后，KEV 将取代 CVSS 成为决策开关。本周的态势验证了这一点，且给出了更具体的形态：攻击者已经开始按防御侧的弱点，反向排优先级。

本周 CISA 连推的 9 条 KEV，几乎全是管理类应用。从攻击者视角来看，管理面是 ROI（投资回报率）最高的目标：

1. 位置极佳：处于网络边界交叉点。
2. 可发现性高：往往暴露公开的 API 或控制台。
3. 修复极难：业务依赖重，停机成本高。
4. CVSS 欺骗性：大量管理面漏洞 CVSS 仅为 6-8 分，正好落在 NIST 暂不优先处理的灰色地带。

这形成了一条致命的因果链：NVD 不标注 → 防御方按 CVSS 忽略中低分 → 攻击者精准捡漏 → 目标恰好是管理面 → 防御方直接失去整个网络的能见度。

这对企业防御意味着什么？必须重写三大规则：

1. 管理面资产必须特权化：EPMM、vManage、TeamCity、杀软控制台等，绝不能与普通业务系统共享“按 CVSS 排优先级”策略。只要管理面上榜 KEV，必须进入“24-48小时内打补丁或断网”的紧急流程。
2. KEV 订阅必须自动化：三天三批连推，靠人工收发邮件根本来不及。最低限度应实现：KEV 更新 → Webhook 告警 → 触发工单 → 资产平台自动回查。
3. 防御工具自身的提权（LPE）必须定为“极危”：过去认为 LPE 优先级低（“反正黑客得先进来”），但 BlueHammer 改变了模型。当初始访问（Initial Access）完成后，杀软的 LPE 让攻击者在安全防线内部直接拿到 SYSTEM 权限。

本周行动清单 (CheckList)

请将以下任务直接发给您的安全运营团队：

• Defender 紧急升级：排查 Win10/11 端点，本周内将版本升级至 4.18.26030.3011 及以上。前置动作： 优先在 EDR 核查 4/10 以来，本机用户向 SYSTEM 提权的异常事件。
• Cisco vManage 斩断漏洞链：CVE-2026-20122/20128/20133 必须组合修复，漏打一个等于全盘皆输。前置动作： 升级前务必核查未授权文件覆盖、可疑 admin token 及异常 DCA 凭证读取。
• SharePoint 补丁最后通牒：盘点全部公网 2016/2019/SE 实例，按 4/28 倒计时强制打补丁。同步审查访问日志中针对 spoofing endpoint 的异常构造。
• Ivanti EPMM 假设已被入侵：对 12.5.0.0~12.7.0.0 实例，先做入侵排查（核查 /etc、WebRoot、计划任务、异常外连流量），确认干净后再升级。立即决议是否将 EPMM 移至 VPN 后方。
• 长线建设：KEV 自动化流转：将 CISA KEV API 接入资产平台，测试“新增漏洞 → 资产命中 → 紧急工单”的自动化闭环。

极客零零七：每周为你硬核拆解全球攻防实战态势。 公众号后台回复「提权」获取 Windows + Linux 提权速查表 公众号后台回复「AD攻击」获取 AD 域攻击手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《杀软沦为提权跳板？攻击者正把矛头对准“防御者的指挥车”》