文章总结： 近期泄露的三个WindowsDefender提权漏洞正遭实际攻击利用，攻击者组合使用BlueHammer、RedSun和UnDefend等PoC工具对真实企业目标发起攻击。其中CVE-2026-33825利用签名更新工作流中的TOCTOU竞争条件和路径混淆缺陷实现本地提权至SYSTEM权限。安全团队确认攻击者在用户可写目录部署载荷并执行手动侦察命令。微软已在4月补丁星期二修复BlueHammer，但RedSun和UnDefend仍未修补，建议立即部署安全更新、监控可疑目录中的未签名可执行文件并追踪异常命令执行链。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,应急响应,终端安全

Windows Defender 0day漏洞遭利用，攻击者组合PoC工具发起提权攻击

FreeBuf

2026年4月20日 18:04 上海

在小说阅读器读本章

去阅读

#

网络安全研究人员发现，近期泄露的三个Windows Defender提权漏洞正遭实际攻击利用。攻击者直接使用来自GitHub公开仓库的概念验证（PoC）漏洞利用代码，针对真实企业目标发起攻击。

2026年4月2日，化名Nightmare-Eclipse（又称Chaotic Eclipse）的安全研究员在与微软安全响应中心（MSRC）就漏洞披露流程产生分歧后，在GitHub发布了BlueHammer漏洞利用工具。该0Day漏洞现被编号为CVE-2026-33825，利用Windows Defender签名更新工作流中的TOCTOU（检查时间与使用时间）竞争条件和路径混淆缺陷，使本地低权限用户可在完全打补丁的Windows 10/11系统上提升至SYSTEM权限。

#

Part01

漏洞利用技术剖析

该漏洞利用手法涉及微软 Defender 文件修复逻辑、NTFS连接点、Windows云文件API和机会锁（oplocks）之间的交互，无需内核漏洞利用或内存破坏。BlueHammer发布后不久，Nightmare-Eclipse又发布了两款工具：RedSun（可在Windows 10/11和Windows Server 2019上获取SYSTEM权限，甚至在4月补丁星期二更新后仍有效）和UnDefend（通过破坏Defender更新机制逐步削弱其防护能力）。

Part02

Huntress确认实际攻击活动

Huntress研究人员观察到攻击者正在实战中组合使用这三种技术。攻击载荷被部署在低权限用户目录中，特别是Pictures文件夹和Downloads目录下的两位字母子文件夹，使用的文件名与原始PoC仓库一致（FunnyApp.exe和RedSun.exe），部分样本被重命名为z.exe。

2026年4月10日检测到BlueHammer通过以下路径执行：

• C:\Users[REDACTED]\Pictures\FunnyApp.exe

Windows Defender实时拦截并隔离了该文件，标记为Exploit:Win32/DfndrPEBluHmrBZ（严重级别）。威胁在UTC时间19:43:37被检测到，两分钟内完成隔离。

2026年4月16日记录的第二起事件涉及：

• C:\Users[REDACTED]\Downloads\RedSun.exe

此次调用触发了Virus:DOS/EICAR_Test_File警报——这是RedSun攻击技术的故意设计，通过EICAR测试文件诱使Defender实时引擎进入可被操纵的检测-修复循环。此外还检测到次级进程Undef.exe以-agressive参数运行，作为Explorer.EXE下cmd.exe的子进程启动，被ThreatOps Hunting规则标记为高风险。

值得注意的是，两次攻击尝试都伴随手动枚举命令，包括：

• whoami /priv —— 枚举当前用户权限
• cmdkey /list —— 识别存储凭据
• net group —— 映射Active Directory组成员关系

这种攻击前侦察模式强烈表明攻击者属于具备针对入侵能力的熟练对手，而非机会性自动化攻击。

Part03

补丁状态与缓解措施

微软已在2026年4月补丁星期二更新中修复CVE-2026-33825（BlueHammer），但截至本文发布时RedSun和UnDefend仍未打补丁，数百万Windows系统持续面临风险。安全团队应立即：

• 部署所有2026年4月Windows安全更新
• 监控用户可写目录（Pictures、Downloads子文件夹）中的未签名可执行文件
• 对非管理进程投放EICAR测试文件的行为设置警报
• 在终端遥测数据中追踪whoami /priv、cmdkey /list和net group执行链
• 实施最小权限原则以限制漏洞利用所需的本地访问途径

参考来源：

Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks

Leaked Windows Defender 0-Day Vulnerability Actively Exploited in Attacks

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Windows Defender 0day漏洞遭利用，攻击者组合PoC工具发起提权攻击》