Windows Defender三重零日漏洞在野利用：RedSun与UnDefend至今无补丁，企业如何自救

一、事件背景：13天内三个零日接连爆出

2026年4月，一场针对Windows Defender的连环零日攻击在安全圈引发高度警惕。安全研究员Nightmare-Eclipse（又称Chaotic Eclipse）因与微软安全响应中心（MSRC）在漏洞披露流程上产生分歧，于4月2日在GitHub上直接公开了名为BlueHammer的提权工具，对应CVE-2026-33825。此后13天内，他又陆续发布了RedSun和UnDefend两款工具，三者共同构成对Windows Defender的"三连击"。

二、三个漏洞的技术要点

BlueHammer利用Defender签名更新流程中的TOCTOU（检查时间与使用时间）竞争条件，结合NTFS连接点、Windows云文件API和机会锁（oplocks）之间的交互，无需任何内核漏洞即可让低权限用户获得SYSTEM级别控制权。更危险的是，RedSun在4月14日补丁星期二正式发布之后仍然有效，说明微软的修复并未从根本上封堵该攻击面。

三、实战攻击已确认：Huntress观测到真实入侵链

网络安全厂商Huntress于4月17日发布紧急预警，确认攻击者正将三种工具组合用于真实企业目标。以下是两起已记录事件的关键细节：

• 事件一（4月10日）：攻击载荷FunnyApp.exe部署于用户Pictures子目录，Windows Defender实时防护在2分钟内完成检测隔离（标记为Exploit:Win32/DfndrPEBluHmrBZ）。
• 事件二（4月16日）：RedSun.exe出现在Downloads目录，攻击者故意触发EICAR测试文件告警，诱使Defender进入可被操纵的"检测-修复循环"。同时发现Undef.exe以-agressive参数作为Explorer.EXE的子进程运行。

两次攻击均伴随手动侦察命令序列：whoami /priv（枚举权限）、cmdkey /list（识别存储凭据）、net group（映射AD组成员关系）。这种侦察模式表明攻击者是具备定向入侵能力的熟练对手，而非自动化脚本。

四、为何"已打补丁"依然不够安全

很多IT管理员在4月14日完成补丁星期二更新后会松一口气，认为CVE-2026-33825已处理完毕。但现实情况是：

• RedSun在4月14日补丁后仍有效，目前没有对应补丁或CVE编号。
• UnDefend专门针对Defender的更新机制，可以持续削弱防护能力，同样无补丁。
• 三种工具的PoC代码均已在GitHub公开，技术门槛极低，任何人都可以直接下载使用。

这意味着即便系统打满补丁，只要攻击者能获得本地低权限账户，就能利用RedSun或UnDefend进一步扩大权限或瓦解防护。

五、企业IT运维的应急行动清单

作为北京地区为众多中小企业提供IT外包服务的团队，我们建议立即执行以下措施：

• 立即部署4月补丁：确保所有Windows设备已安装2026年4月安全更新，至少修复BlueHammer（CVE-2026-33825）。
• 监控用户目录中的未签名EXE：重点关注Pictures、Downloads及其子文件夹中出现的可执行文件，这是已知的攻击投放路径。
• 告警规则增强：对非管理进程主动写入EICAR测试文件的行为设置高优先级告警；对whoami /priv + cmdkey /list + net group顺序执行链建立检测规则。
• 最小权限原则：清查域内哪些普通用户账号具有不必要的本地登录权限，减少漏洞可利用的攻击面。
• 网络分段与EDR覆盖：确保终端检测与响应（EDR）工具覆盖全部工作站，并在网络层面限制内网横向移动路径。
• 关注微软后续补丁：RedSun和UnDefend的补丁尚未发布，建议订阅微软安全响应中心（MSRC）更新通知，一旦补丁就绪立即部署。

六、从这次事件看"负责任披露"的困境

Nightmare-Eclipse选择全量公开PoC，直接原因是与微软就漏洞披露流程产生分歧。这种"全披露"方式确实给防御方施加了压力，但客观上也让大量尚未打补丁的系统暴露在风险之中。作为IT从业者，我们的建议是：在等待官方补丁的窗口期内，不能将防御押注在"攻击者不知道漏洞"这一假设上——因为PoC已经公开，这个假设从一开始就不成立。行为监控和最小权限才是当下最可靠的防线。