文章总结： 本文详细解析了WindowsDefender本地权限提升漏洞CVE-2026-33825，其核心是利用Defender高权限文件I/O操作中的TOCTOU竞争条件与路径混淆。BlueHammerPOC通过威胁修复引擎，结合NTFSjunction与oplock制造竞争窗口，以SYSTEM权限向system32写入恶意文件；RedSunPOC则利用云文件回滚机制，通过重定向原始位置实现同样效果。文档还揭示了攻击链及与微软的披露纠纷，提供了具体的技术细节与利用流程。 综合评分： 85 文章分类： 漏洞分析,恶意软件,应急响应,红队,内网渗透

四、攻击链

研究员在 13 天内连续披露了 3 个相关工具，可串联使用：

UnDefend（破坏更新机制）
     ↓ 逐渐削弱 Defender 防护
BlueHammer / RedSun（LPE 提权）
     ↓ 获取 SYSTEM 权限
横向移动 / 数据窃取 / 持久化部署

| 工具 | 功能 | 补丁 | | — | — | — | | BlueHammer | LPE → SYSTEM | 已修补 | | UnDefend | 阻断 Defender 更新 | 未修补 | | RedSun | 替代 LPE 路径 | 未修补 |

五、与微软的纠纷

2026年4月2日，他老老实实把漏洞报告提交给了微软安全响应中心，结果对方直接驳回，说这不在他们受理范围内。研究员觉得微软这是在“故意砸他饭碗”“玩弄披露流程”，一怒之下，4月7日就跳过了正常的协调期，直接把 BlueHammer 的 PoC 甩了出来。后来微软倒是赶在补丁日把 BlueHammer 修了，但官方声明里的说法让研究员更加不满，于是4月15日他又把 RedSun 给公开了，这个漏洞到现在也没人管。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 晚风 晚风《CVE-2026-33825 解析》