文章总结： 微软Defender曝出三个零日漏洞，其中BlueHammer与RedSun可实现本地权限提升，UnDefend能阻断安全更新导致防御失效。目前仅BlueHammer已修复，其余两个无补丁且PoC已公开。Huntress证实攻击者正利用这些公开代码实施真实攻击。建议企业密切关注补丁动态，加强终端权限管控与异常行为监测，防范提权与防御绕过风险。 综合评分： 79 文章分类： 漏洞预警,漏洞分析,威胁情报,终端安全,应急响应

微软 Defender 遭攻击：三个零日漏洞被利用，其中两个暂未修补，可实现权限提升

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月20日 08:52 湖北

在小说阅读器读本章

去阅读

攻击者正利用微软 Defender 中近期披露的三个零日漏洞，在受入侵系统中获取更高权限。这些漏洞分别被命名为蓝锤（BlueHammer）、红日（RedSun）和破防（UnDefend），由一位名为Chaotic Eclipse的研究者公开，此前该研究者曾批评微软对漏洞披露的处理方式。

Chaotic Eclipse 还公开了其中尚未修补的 Windows 漏洞的概念验证代码。

• BlueHammer

  与RedSun可让攻击者在微软 Defender 中实现本地权限提升；

• UnDefend

  则会触发拒绝服务，导致安全特征库更新被阻断，防护能力大幅下降。

截至目前，微软仅修复了编号为 CVE-2026-33825 的 BlueHammer 漏洞，其余两个仍未发布补丁。

安全厂商 Huntress 研究人员称，已有攻击者在实战中利用这三个 Windows 漏洞发起攻击，但受害者与攻击者身份尚不明确。

Huntress 表示已监测到三个漏洞均在真实环境中被利用：攻击者自2026 年 4 月 10 日起开始利用 BlueHammer，随后在4 月 16 日又使用了 RedSun 与 UnDefend 的概念验证利用代码。

研究人员判断，攻击者使用的正是 Chaotic Eclipse 公开在网络上的漏洞利用代码。

#

Huntress 安全运营中心（SOC）已监测到攻击者使用由 Nightmare-Eclipse 公开的 BlueHammer、RedSun、UnDefend 漏洞利用技术。

调查人员：@wbmmfq、@Curity4201 及 @_JohnHammond

—— Huntress（@HuntressLabs）2026 年 4 月 16 日

Huntress 称，攻击者于 2026 年 4 月 10 日开始利用 BlueHammer，随后在 4 月 16 日使用了 RedSun 与 UnDefend 的概念验证漏洞利用程序。

并在今日（4 月 16 日）监测到：→ C:\Users [已隐去]\Downloads\RedSun.exe

该程序触发了 Defender 对 EICAR 测试文件的告警，这也是其攻击手法的一部分。

—— Huntress（@HuntressLabs）2026 年 4 月 16 日

当漏洞利用代码公开后，威胁组织往往能迅速将其武器化，用于真实网络攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《微软 Defender 遭攻击：三个零日漏洞被利用，其中两个暂未修补，可实现权限提升》