IT之家 4 月 17 日消息,安全研究员 Chaotic Eclipse 于本月初因不满微软 MSRC 安全部门响应流程, 对外公开披露了一项 BlueHammer 零日安全漏洞 。随后,多位安全专家证实该漏洞确实存在,微软已在本月例行更新(Patch Tuesday)中将其登记为 CVE-2026-33825 并完成修复。 对此,Chaotic Eclipse 认为微软根本不重视研究人员悄悄上报的漏洞,只有公开披露漏洞才能让微软迅速修复,因此其又公开披露了一项名为 RedSun 的零日漏洞。 IT之家获悉,该漏洞波及 Windows 10/11/Server 2019,主要利用了 Windows 的 Cloud Files API 在处理文件时的“时间差漏洞”。黑客先放入一个特殊文件诱导系统介入处理,再趁系统忙于操作的瞬间偷偷把文件替换成自己的恶意程序,并伪装成系统关键组件;由于该组件本来会以 SYSTEM 最高权限运行,最终就变成系统“误帮”攻击者执行恶意代码,从而实现权限提升。
IT之家 4 月 17 日消息,微软本月早些时候遭公开的三枚 Windows 零日漏洞,目前已全部被黑客用于实际攻击。其中两枚涉及 Microsoft Defender 本地权限提升,另一枚可阻断 Defender 病毒库更新,但目前仅有 BlueHammer 获得修复。 Huntress Labs 安全研究人员于当地时间 4 月 16 日报告称,已监测到这三枚零日漏洞被利用的迹象。其中,BlueHammer 漏洞自 4 月 10 日起就已被用于攻击。 研究人员还在一个通过失陷的 SSLVPN 账户被攻破的 Windows 设备上,同时发现了 UnDefend 和 RedSun 漏洞的利用痕迹,攻击显示出“有实战操作的黑客活动特征”。 这三枚漏洞由化名为“Chaotic Eclipse”或“Nightmare-Eclipse”的安全研究员在本月初陆续公开。 截至 4 月 17 日,微软仅将 BlueHammer 漏洞编号为 CVE-2026-33825,并在 4 月安全更新中完成了修复,其余两枚漏洞至今没有官方补丁。 漏洞细节 BlueHammer 是一个 Windows 本地权限提升零日漏洞,于 4 月 3 日首次公开。该漏洞滥用了 Microsoft Defender 的签名更新机制,通过组合检查时间 / 使用时间(TOCTOU)竞争条件与路径混淆,实现 SYSTEM 级权限提升。 微软已在 4 月 14 日的 Patch Tuesday 更新中修复该漏洞。CVE-2026-33825 被评定为“重要”级别,CVSS 评分为 7.8,允许本地攻击者在受影响系统上获得 SYSTEM 权限。 然而,就在微软发布补丁后不久,同一研究员再次公开了第二枚零日漏洞 RedSun。这是一枚未修复的权限提升漏洞,可在 Win10、Win11 及 Windows Server 2019 及以上系统中,在 Windows Defender 启用的情况下,帮助攻击者获得 SYSTEM 权限。即便用户已安装了 4 月 Patch Tuesday 的所有更新,RedSun 依然能够成功利用。 第三枚漏洞 UnDefend 则允许标准用户阻断 Microsoft Defender 的病毒库定义更新,造成防御能力的实质性降级。 攻击手法:Defender 反被利用成为攻击通道 据独立验证了这些漏洞的前 CERT / CC 分析师 Will Dormann 分析,RedSun 利用 Windows Cloud Files API 创建文件,写入 EICAR 测试字符串,通过机会锁在竞争条件下获胜,然后将目录联接重解析点交换到特权扫描程序下方,使恶意写入操作最终落地到 C:\Windows\System32\TieringEngineService.exe 。下一次 Windows 调用 Cloud Files Infrastructure 服务时,攻击者控制的二进制文件即以 SYSTEM 权限运行。 Dormann 表示:“在启用了 Windows Defender 的情况下,该漏洞可在安装了 2026 年 4 月更新的 Windows 11 和 Windows Server 上,100% 可靠地从普通用户提权至 SYSTEM,Windows 10 同样受影响。” BlueHammer 的攻击路径则利用了 Defender 签名更新流程,在 mpasbase.vdm 上放置机会锁,使用对象管理器符号链接加目录联接,将 SYSTEM 级写入操作通过卷影副本重定向到 SAM 和 SYSTEM 注册表配置单元,从而实现 NTLM 哈希提取和本地哈希传递攻击。在 Windows Server 环境下,因授权检查机制不同,攻击结果为提升至管理员权限而非完整 SYSTEM 权限。 披露争议:研究员称 MSRC 处理流程“令其过于反感” 三枚漏洞的公开披露,源于该研究员对微软安全响应中心处理流程的强烈不满。据 Chaotic Eclipse 称,MSRC 团队曾“亲自告诉我,他们会毁掉我的人生,他们也确实这么做了。他们把我逼到绝境,玩尽了各种幼稚的把戏。” 据IT之家早前报道,该研究员向微软私下提交漏洞后,MSRC 要求提供漏洞利用的视频演示作为证据 —— 这种要求在安全社区中属于异类,通常 PoC 代码加文字说明已足够。该研究员认为 MSRC 近年来的质量大幅下滑,原因是微软裁掉了经验丰富的安全人员,换上了只会照搬流程图的员工。 微软在 CVE-2026-33825 的安全公告中,将漏洞发现功劳归于 Zen Dodd 和 Yuanpei Xu,而非 Chaotic Eclipse。这一署名争议被认为是研究员决定公开更多漏洞的直接导火索。该研究员随后公开承诺:“我会确保微软每次发布补丁时,事情都变得更有趣。” 微软发言人在回应漏洞披露争议时表示:“公司始终致力于调查已报告的安全问题,并将尽快发布更新以保护用户。我们也支持协调漏洞披露机制,这是一种广泛采用的行业实践,有助于确保问题在公开披露前得到认真调查和解决,既能保护客户,也能支持安全研究社区。” 截至 4 月 17 日,微软仍未就 RedSun 和 UnDefend 两枚漏洞发布官方补丁或临时缓解方案。安全团队建议企业用户加强对 Defender 的日志审计,监控重解析点创建和机会锁获取等异常行为,并在高价值系统上部署 Windows Defender 应用程序控制或 AppLocker 作为防御纵深。 相关阅读: 《 开发者不满微软 MSRC 安全部门响应流程,公开披露 Windows 本地提权零日漏洞 》
IT之家 4 月 12 日消息,Adobe 昨天在官网发布公告,为 Acrobat、Acrobat Reader 软件发布紧急安全更新,修复 CVE-2026-34621 零日漏洞, 建议所有用户尽快安装 。 受影响软件如下: 软件名 更新通道 受影响版本 平台 Acrobat DC Continuous 26.001.21367 及更早 Windows/macOS Acrobat Reader DC Continuous 26.001.21367 及更早 Windows/macOS Acrobat 2024 Classic 2024 24.001.30356 及更早 Windows/macOS 如果用户开启了自动更新,则系统会在检测到更新时自动安装。需要手动更新 / 下载安装包的也可以在软件中选择“帮助 > 检查更新”,或前往 Acrobat Reader 官网( https://get.adobe.com/cn/reader/ )下载。 同时,本次漏洞的类型是原型链污染(IT之家注:Prototype Pollution,CWE-1321),可执行任意代码,影响非常严重,CVSS 评分 8.6 分。