文章总结: 文档披露微软Defender双零日漏洞CVE-2026-41091与CVE-2026-45498构成四阶段攻击链,通过AMSIProvider伪造和WdFilter驱动提权实现Defender完全致盲。攻击已获CISAKEV收录并确认在野利用,需在6月3日前安装补丁。建议部署异常AMSI注册检测、IOCTL调用监控及HVCI等纵深防御措施。 综合评分: 85 文章分类: 漏洞分析,威胁情报,应急响应,恶意软件,安全建设
微软Defender双零日被曝!AMSI致盲+内核提权,四阶段攻击链让EDR彻底失明
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年6月1日 15:08 吉林
在小说阅读器读本章
去阅读
🌈
CVE-2026-41091与CVE-2026-45498构成完整攻击链,攻击者利用AMSI逻辑绕过与WdFilter内核驱动提权,实现Defender全面致盲,CISA KEV已收录并要求6月3日前修复。
一、事件全貌:Defender被自己的驱动干掉了
2026年5月20日,微软向CISA KEV目录批量添加了多个漏洞,其中最引人注目的是两个Microsoft Defender零日漏洞——CVE-2026-41091与CVE-2026-45498。这两个漏洞并非孤立存在,而是构成了一套精密协同的四阶段攻击链:从用户态AMSI绕过到内核态WdFilter驱动提权,最终在SYSTEM权限下部署Rootkit级钩子,让Defender陷入”失明+失能”的完全瘫痪状态。
更令人警惕的是,微软确认这两个漏洞已在实际攻击中被利用超过一个月。攻击者一旦获得目标机器的本地认证权限,即可利用此攻击链彻底摧毁Defender的所有检测能力——不触发告警、不生成ETW日志、不触控任何安全策略引擎。
这不是某个EDR产品的偶然缺陷,而是暴露了现代终端安全产品的根本性设计悖论:EDR运行在被保护系统之上,其自身代码、驱动、通信通道均构成天然攻击面。当攻击者将矛头对准EDR本身时,”守护者”反而成为最脆弱的入口。
二、为什么这次事件如此严重
2.1 攻击面直接指向全球最大终端安全产品
Microsoft Defender预装在超过15亿台Windows设备上,是全球部署量最大的终端安全产品。这两个漏洞意味着攻击者获得了一种通用的Defender致盲手段,无论目标运行的是Windows 10还是Windows 11,是家庭版还是企业版。
2.2 攻击链完整闭环:从阻断到持久化
传统EDR绕过技术通常只能实现单点突破——比如用ETW补丁阻断日志、用AMSI补丁绕过脚本扫描。但这次的攻击链实现了从初始访问→防护降级→内核提权→持久化控制的完整闭环,攻击者最终在内核层面彻底控制了Defender的生死。
2.3 PoC已公开,攻击门槛大幅降低
安全研究社区已发布包含完整模块化源码的攻击框架,涵盖BlueHammer内核堆喷、AMSI Provider伪造、WdFilter IOCTL逆向ROP链构造、内核Hook框架和Defender服务自毁脚本五大模块。这意味着攻击者可以快速拼装这套武器。
三、技术原理解析
3.1 CVE-2026-45498:AMSI Provider伪造——让Defender主动跳过恶意代码
漏洞类型:用户态逻辑绕过(安全功能降级)
受影响组件:Microsoft Defender的AMSI(Antimalware Scan Interface)代理模块
AMSI是Windows 10引入的核心安全接口,允许任何应用程序在执行脚本前将内容提交给已安装的反病毒产品扫描。PowerShell、VBScript、JavaScript、.NET等所有脚本引擎都通过AMSI接口将待执行代码发送给Defender。
攻击原理:
攻击者构造特制的PowerShell脚本,向AMSI Provider注册表中注入伪造的回调函数指针。当Defender执行脚本扫描时,AMSI代理模块按照注入的伪造指针执行逻辑,导致Defender主动跳过对关键内存区域的检测,恶意载荷被静默放行。
# 攻击者注入伪造AMSI Provider
$ProviderPath = "HKLM:\SOFTWARE\Microsoft\AMSI\Providers"
$MaliciousCLSID = "{2781761E-28E0-4109-99FE-B9D127C57E2A}"
New-Item -Path "$ProviderPath\$MaliciousCLSID"
Set-ItemProperty -Path "$ProviderPath\$MaliciousCLSID" `
-Name "DllPath" -Value "C:\Windows\Temp\fake_amsi.dll"
为何难以检测:
- Defender自身的AMSI代理模块无法区分合法Provider和伪造Provider
- 恶意DLL使用正常Windows API注册AMSI Provider,不触发行为检测
- Provider注册行为本身是合法的Windows操作,无明显的恶意特征
3.2 CVE-2026-41091:WdFilter IOCTL提权——从用户态打到内核态
漏洞类型:内核驱动级本地提权(EoP)
受影响组件:Microsoft Defender Antimalware Service(MsMpEng.exe)加载的WdFilter.sys过滤驱动
CVSS评分:7.8(HIGH),CISA KEV收录,修复截止日期2026年6月3日
这是本次攻击链的核心武器。WdFilter.sys是Defender的文件系统迷你过滤驱动(Mini-Filter Driver),运行在内核态,负责拦截所有文件I/O操作并进行实时扫描。它是Defender保护链的基石。
漏洞根因:Windows对象管理器中存在未校验的句柄重用机制。WdFilter.sys在处理特定IOCTL调用时,未能正确验证传入句柄的合法性。攻击者精心构造IOCTL请求后,可在内核上下文中触发任意地址写入原语。
攻击流程:
- 攻击者进程(低权限)打开Defender服务句柄
- 构造畸形IOCTL请求,目标为WdFilter.sys的脆弱处理函数
- IOCTL触发Windows对象管理器中的句柄重用缺陷
- 攻击者获得内核上下文中的任意地址写入能力
- 利用ROP链覆写进程Token,将低权限进程提升至SYSTEM
ROP链构造细节(基于Windows 11 23H2内核符号):
// WdFilter IOCTL利用中的关键结构体
typedef struct _EXPLOIT_CONTEXT {
HANDLE hDevice; // WdFilter设备句柄
PVOID targetAddress; // 目标内核地址(Token指针)
PVOID shellcodeAddress; // shellcode在用户态的地址
DWORD ioctlCode; // 脆弱IOCTL代码
BYTE inputBuffer[0x100]; // 构造的恶意输入
} EXPLOIT_CONTEXT;
// 核心利用:通过DeviceIoControl触发任意地址写入
BOOL ExploitWdFilter(EXPLOIT_CONTEXT* ctx) {
DWORD bytesReturned;
BOOL result = DeviceIoControl(
ctx->hDevice,
ctx->ioctlCode,
ctx->inputBuffer,
sizeof(ctx->inputBuffer),
NULL, 0,
&bytesReturned,
NULL
);
if (result) {
// 验证权限提升
HANDLE hToken;
OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken);
return TRUE; // 已获得SYSTEM权限
}
return FALSE;
}
3.3 完整攻击链:四阶段闭环
两个漏洞与已知的BlueHammer内核漏洞组合,形成四阶段攻击链:
阶段1 → 初始访问(BlueHammer触发)
通过钓鱼文档或宏触发BlueHammer内核池风水利用,完成内核空间布局,为后续攻击奠定基础。
阶段2 → 防护降级(CVE-2026-45498)
注入伪造AMSI Provider回调函数指针,Defender跳过关键内存区域扫描,加载无签名恶意DLL不被拦截。
阶段3 → 内核提权(CVE-2026-41091)
利用WdFilter.sys IOCTL句柄重用缺陷,任意地址写入覆写进程Token,从受限用户提升至SYSTEM权限。
阶段4 → 持久化控制(Rootkit级钩子部署)
在内核中部署SSDT/ETW Provider/Kernel Callback Table钩子,彻底屏蔽Defender所有功能,实现”失明+失能”的完全控制。
| 钩子目标 | 技术说明 | 效果 | | — | — | — | | SSDT Hook | 劫持系统服务描述符表 | 拦截关键系统调用,伪造返回结果 | | ETW Provider劫持 | 替换事件追踪提供程序 | 阻断Defender事件日志(Event ID 1101/1102不触发) | | Kernel Callback Table篡改 | 清除进程/线程/镜像加载回调 | 禁用Defender的进程监控和行为检测 |
四、实战影响评估
4.1 受影响范围
- 产品:Microsoft Defender Antivirus(所有版本)
- 操作系统:Windows 10/11所有版本,Windows Server 2016/2019/2022
- 前提条件:攻击者需先获得目标机器的本地认证权限
- 在野利用:已确认,微软和CISA均已证实
4.2 攻击场景
企业内网横向移动:攻击者通过钓鱼获取低权限终端访问 → 利用CVE-2026-45498绕过Defender脚本扫描 → 部署Cobalt Strike Beacon → 利用CVE-2026-41091提权至SYSTEM → 关闭Defender后横向移动到域控。
勒索软件部署前准备:勒索团伙获得初始访问 → 利用双零日攻击链致盲Defender → 在内核中部署持久化钩子 → 部署勒索载荷加密文件 → 即使受害者尝试恢复Defender,内核钩子阻止其重新加载。
4.3 隐蔽性分析
攻击链执行过程中:不触发Defender默认告警规则、不生成ETW Event ID 1101/1102、规避WDAG、规避Controlled Folder Access、规避Exploit Protection等依赖Defender策略引擎的安全子系统。
五、防御对抗建议
5.1 立即行动
- 安装微软2026年5月安全更新,两个漏洞均已被修复
- CISA BOD 22-01要求:联邦机构必须在2026年6月3日前完成修复
5.2 威胁检测规则
规则一:异常AMSI Provider注册检测
监控ETW Microsoft-Windows-AMSI/Analytic通道的Event ID 1001。当ProviderName字段不包含已知的微软签名哈希时,触发告警。
规则二:非常规IOCTL调用监控
通过Sysmon Event ID 17/18监控WdFilter.sys驱动的异常IOCTL调用频率。
规则三:内核内存页属性异常变更
通过驱动监控工具检测PAGE_EXECUTE_READWRITE属性的异常内存页分配。
5.3 纵深防御加固
| 层面 | 措施 | | — | — | | 架构层 | 部署独立于Windows的Hypervisor级安全监控(VBS) | | 配置层 | 强制启用HVCI(Hypervisor-protected Code Integrity)和内存完整性 | | 运营层 | 建立Defender服务行为基线,异常触发SIEM告警 | | 流程层 | 制定零日漏洞72小时应急响应SLA |
六、技术延伸阅读
- NVD – CVE-2026-41091[1] — 微软Defender链接跟随漏洞
- NVD – CVE-2026-45498[2] — 微软Defender拒绝服务漏洞
- CISA KEV Catalog[3] — 已知被利用漏洞目录
- CSDN技术分析[4] — Defender双零日漏洞深度解析
- EDR Bypass Roadmap: https://benjitrapp.github.io/attacks/2026-01-18-%20EDR-bypass-roadmap/[5]
- Windows Attack Techniques 2026: https://hivesecurity.gitlab.io/blog/modern-attack-techniques-2026/[6]
🌈
关注「星夜AI安全」,每周深度解析Windows安全攻防前沿技术。转发本文到安全群/朋友圈,让更多红蓝队同行了解这一重大威胁。
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)
- DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键Kill 火绒 defender 工具 HDKiller(包含源码)
- win11 一键kill 360工具 InjectKill(包含源码)
- win11 一键kill defender工具win11_df-killer(包含源码)
- 免杀火绒6.0内存防护加载器BypassMemLoader
后续将不断更新到内部圈子中 欢迎加入圈子
引用链接
[1]NVD – CVE-2026-41091: https://nvd.nist.gov/vuln/detail/CVE-2026-41091
[2]NVD – CVE-2026-45498: https://nvd.nist.gov/vuln/detail/CVE-2026-45498
[3]CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[4]CSDN技术分析: https://wenku.csdn.net/doc/ck7smkzmsxct
[5]https://benjitrapp.github.io/attacks/2026-01-18-%20EDR-bypass-roadmap/
[6]https://hivesecurity.gitlab.io/blog/modern-attack-techniques-2026/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《微软Defender双零日被曝!AMSI致盲+内核提权,四阶段攻击链让EDR彻底失明》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论