文章总结： RedSun团队披露WindowsDefender存在本地权限提升0day漏洞，当Defender检测到带有云端检测标签的恶意文件时，会将其重写回原始位置而非隔离。攻击者可利用此行为作为文件覆盖原语替换系统文件，最终实现管理员权限提升。建议用户及时更新安全补丁并启用文件完整性监控。 综合评分： 78 文章分类： 漏洞分析,恶意软件,应急响应,威胁情报,漏洞预警

Windows Defender LPE 0day 漏洞

黑白之道

2026年4月17日 08:41 美国

在小说阅读器读本章

去阅读

RedSun – Windows Defender LPE 0day 漏洞：当 Windows Defender 检测到恶意文件带有云端检测标签时，它可能会将检测到的文件重写回其原始位置，而不仅仅是将其隔离。该 PoC 漏洞利用了这种行为，将其作为文件覆盖原语，从而可以替换系统文件并最终实现管理员权限提升。

原文链接： https://github.com/Nightmare-Eclipse/RedSun

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《Windows Defender LPE 0day 漏洞》