文章总结： 文档披露WindowsDefender存在提权漏洞，攻击者可利用云标签机制诱使杀软将恶意文件写回系统目录覆盖关键文件获取管理员权限。作者在GitHub发布POC后删除推文，但漏洞复现需开启实时保护功能。该漏洞暴露安全软件自身成为攻击向量的风险。 综合评分： 52 文章分类： 漏洞分析,恶意软件,安全工具,应急响应,威胁情报

Windows Defender居然爆出重大提权漏洞？杀软反被利用？作者发布两小时的推文后删除？

kernel kernel

Relay学安全

2026年4月16日 17:27 陕西

在小说阅读器读本章

去阅读

起初看推文的时候发现作者发布了一个Windows Defender的提权漏洞。

我刚将漏洞复现完，作者就把推文删了哈哈…..

好在POC还没删，POC还正热乎着。

https://github.com/Nightmare-Eclipse/RedSun

看到的大家快保存吧。

根据作者的介绍漏洞成因如下:

当 Windows Defender 意识到某个恶意文件带有“云标签（cloud tag）”时，出于某种极其愚蠢且搞笑的原因，这个本该保护系统的杀毒软件竟然觉得：把这个它发现的恶意文件重新写回原始位置是个好主意。

这段 PoC 正是利用了这种行为，通过劫持该过程来覆盖系统文件，从而获取管理员权限。

如下利用成功，需要注意的是利用的时候打开Windows Defender的实时保护即可。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Relay学安全 kernel kernel《Windows Defender居然爆出重大提权漏洞？杀软反被利用？作者发布两小时的推文后删除？》