Windows Defender 0day漏洞CVE-2026-33825遭组合利用，如何防御提权攻击？

安全研究人员近日发现，三个已被公开的Windows Defender提权漏洞正被攻击者实际利用。攻击者直接使用了来自GitHub公开仓库的概念验证（PoC）漏洞利用代码，对企业目标发起攻击。

事件的起因是2026年4月2日，化名Nightmare-Eclipse（又称Chaotic Eclipse）的安全研究员在与微软安全响应中心（MSRC）就漏洞披露流程产生分歧后，在GitHub发布了名为BlueHammer的漏洞利用工具。这个0Day漏洞后被微软编号为CVE-2026-33825，它利用了Windows Defender签名更新工作流中存在的TOCTOU（检查时间与使用时间）竞争条件以及路径混淆缺陷。这使得本地低权限用户可以在已安装所有补丁的Windows 10/11系统上将权限提升至最高级别的SYSTEM权限。

漏洞利用技术剖析

该漏洞的利用手法颇为巧妙，它涉及微软Defender的文件修复逻辑、NTFS连接点、Windows云文件API和机会锁（oplocks）之间的交互，整个过程无需利用内核漏洞或进行内存破坏，降低了利用门槛。

在BlueHammer发布后不久，Nightmare-Eclipse又接连发布了两款工具：RedSun和UnDefend。其中，RedSun能在Windows 10/11和Windows Server 2019上获取SYSTEM权限，令人担忧的是，即使在2026年4月的补丁星期二更新后，此工具在某些条件下依然有效。UnDefend则旨在通过破坏Defender的更新机制，逐步削弱其整体防护能力。

Huntress确认实际攻击活动

安全公司Huntress的研究人员已经观察到，攻击者正在真实世界的攻击活动中组合使用这三种技术。攻击载荷被部署在低权限用户可访问的目录中，特别是用户的Pictures文件夹和Downloads目录下以两位字母命名的子文件夹内。使用的文件名与原始PoC仓库保持一致（例如FunnyApp.exe和RedSun.exe），部分样本则被简单重命名为z.exe。

Huntress在2026年4月10日检测到BlueHammer通过以下路径执行：

C:\Users\[REDACTED]\Pictures\FunnyApp.exe

Windows Defender的实时防护功能拦截并隔离了该文件，将其标记为Exploit:Win32/DfndrPEBluHmrBZ（严重级别）。威胁在UTC时间19:43:37被检测到，并在两分钟内完成了隔离。

2026年4月16日记录的第二起事件则涉及：

C:\Users\[REDACTED]\Downloads\RedSun.exe

这次调用触发了Virus:DOS/EICAR_Test_File警报——这其实是RedSun攻击技术的故意设计，通过EICAR测试文件诱使Defender的实时引擎进入一个可被操纵的“检测-修复”循环。此外，还检测到次级进程Undef.exe以-aggressive参数运行，它作为Explorer.EXE下cmd.exe的子进程启动，被Huntress的威胁狩猎规则标记为高风险。

值得注意的是，在这两次攻击尝试前后，都伴随有手动的系统枚举命令，包括：

• whoami /priv —— 枚举当前用户的权限。
• cmdkey /list —— 识别系统中存储的凭据。
• net group —— 映射Active Directory域中的组成员关系。

这种在漏洞利用前进行侦察的模式强烈表明，攻击者属于具备明确目标入侵能力的熟练攻击者，而非漫无目的的机会性自动化攻击。

补丁状态与缓解措施

微软已在2026年4月的补丁星期二更新中修复了CVE-2026-33825（即BlueHammer利用的漏洞）。然而，截至本文发布时，RedSun和UnDefend所利用的缺陷仍未被打上补丁，这意味着仍有数百万Windows系统持续面临风险。安全团队应立即采取以下措施：

• 立即部署所有2026年4月的Windows安全更新。
• 加强监控用户可写目录（特别是Pictures、Downloads及其子文件夹）中出现的未签名可执行文件。
• 设置警报，对由非管理员进程投放EICAR测试文件的行为保持警惕。
• 在终端遥测数据中追踪 whoami /priv、cmdkey /list 和 net group 命令的执行链，这可能是攻击前侦察的标志。
• 实施最小权限原则，从根本上限制漏洞利用所需的本地访问途径。

面对日益复杂的安全威胁，及时了解漏洞动态和攻击手法至关重要。技术社区如云栈社区等平台，常是安全从业者交流前沿攻防技术和分享缓解方案的重要场所。

参考来源：
Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks
https://cybersecuritynews.com/windows-defender-0-day-vulnerability-exploited/