【安全资讯】近期泄露的Windows零日漏洞现已被用于攻击

概要：

在网络安全领域，零日漏洞的泄露与利用始终是最高级别的威胁之一。近日，三个近期被泄露的Windows零日漏洞已被威胁行为体在真实攻击中利用，旨在获取SYSTEM或管理员权限。这一事件凸显了漏洞披露流程中的矛盾以及未修补漏洞带来的即时风险，对全球依赖Windows系统的政府与IT行业构成了严重威胁。

主要内容：

本月初，一位名为“Chaotic Eclipse”或“Nightmare-Eclipse”的安全研究员公开了针对三个Windows安全漏洞的概念验证利用代码，以抗议微软安全响应中心（MSRC）的漏洞披露处理方式。其中两个漏洞（代号BlueHammer和RedSun）是Microsoft Defender本地权限提升漏洞，第三个漏洞（UnDefend）则允许标准用户阻止Microsoft Defender的定义更新。泄露时，这些漏洞均无官方补丁，符合微软定义的零日漏洞标准。

Huntress Labs的安全研究人员报告称，已观察到所有三个零日漏洞利用在野外的部署。BlueHammer漏洞自4月10日起被利用，而UnDefend和RedSun的利用则在一台通过受损SSLVPN用户凭证被入侵的Windows设备上被发现，攻击中显示出“手动键盘操作的威胁行为体活动”证据。

尽管微软已将BlueHammer漏洞编号为CVE-2026-33825并在2026年4月安全更新中修补，但RedSun和UnDefend漏洞目前仍未修复。攻击者可利用RedSun漏洞，在启用Windows Defender的Windows 10、11及Server 2019+系统上获取SYSTEM权限，即使在应用了4月补丁后依然有效。其核心原理是滥用Defender对云标记恶意文件的处理逻辑，使其将恶意文件重写回原始位置，从而覆盖系统文件并提权。

此次事件暴露了关键安全软件自身漏洞的严重性，以及漏洞披露协调失败可能导致的即时武器化风险。攻击者利用这些漏洞可完全控制系统，为后续的勒索软件部署、数据窃取或建立持久后门铺平道路，对受影响组织的运营安全构成直接挑战。