两个被在野利用的 Defender 零日漏洞,本地低权限用户即可提升至 SYSTEM 权限。

漏洞概述

2026 年 5 月,微软修复了 Microsoft Defender 中两个已在野外被积极利用的零日漏洞

CVE 漏洞名 CVSS 类型 发现时间
CVE-2026-41091 RedSun 7.8(High) 链接解析不当 → EoP 2026-05-20
CVE-2026-33825 BlueHammer 7.8(High) TOCTOU 竞态 → EoP 2026-04-14(补丁星期二)

两者均允许本地低权限用户提升至 NT AUTHORITY\SYSTEM

漏洞一:CVE-2026-41091 "RedSun"

概述

项目 内容
CVE 编号 CVE-2026-41091
漏洞名称 RedSun
漏洞类型 链接解析不当(Improper Link Resolution Before File Access / CWE-59)
CVSS 7.8(High)
影响组件 Microsoft Malware Protection Engine(≤ 1.1.26030.3008)
修复版本 Malware Protection Engine 1.1.26040.8
在野利用 已确认被积极利用
CISA KEV 已收录(2026-05-20 加入,要求 6 月 3 日前修复)
公开者 "Chaotic Eclipse" / "Nightmare Eclipse"(2026 年 4 月披露)

漏洞原理

当 Microsoft Defender 执行扫描时,以 SYSTEM 权限遍历文件系统。CVE-2026-41091 的根因是:

  1. 低权限攻击者创建符号链接(symlink)或目录交接点(directory junction)
  2. 指向攻击者控制的目标(如系统文件所在路径)
  3. Defender 扫描到该链接时,以 SYSTEM 权限跟随链接访问攻击者指定的目标
  4. 攻击者利用此原语覆盖系统文件或创建/修改受保护路径中的内容
  5. 获取完整的 NT AUTHORITY\SYSTEM 权限

影响

影响 说明
提权路径 本地用户 → NT AUTHORITY\SYSTEM
攻击复杂度
前置条件 无需特权,仅需本地用户身份
利用可靠性

漏洞二:CVE-2026-33825 "BlueHammer"

概述

项目 内容
CVE 编号 CVE-2026-33825
漏洞名称 BlueHammer
漏洞类型 TOCTOU 竞态条件(Time-of-Check to Time-of-Use)
CVSS 7.8(High)
影响组件 Microsoft Defender Antimalware Platform
发现时间 2026 年 4 月 14 日(4 月补丁星期二)
在野利用 已确认被积极利用
PoC 状态 已公开(GitHub)

漏洞原理

BlueHammer 利用 Defender 修复/更新流程中的 TOCTOU 竞态条件

  1. Defender 在检测到恶意软件时,会以 SYSTEM 权限执行修复操作(删除/隔离/修复文件)
  2. 攻击者利用 NTFS 符号链接、重解析点(reparse point)和机会锁(oplock) 制造竞态条件
  3. 在 Defender "检查" 和 "使用" 文件路径之间的窗口,将路径指向目标文件
  4. Defender 以 SYSTEM 权限对攻击者指定的目标执行操作
  5. 攻击者获得 SYSTEM 级别的文件操作能力 → 提权

攻击流程示意

时间线 →
Defender:   [检查路径 A]           [以 SYSTEM 权限操作路径 A]
                │                         ▲
攻击者:         └── 通过 oplock 暂停 ──────┘
                    将路径 A 替换为指向 目标文件的 符号链接
                                    ↓
                            Defender 以 SYSTEM 权限
                            覆盖了目标文件

影响范围

CVE-2026-41091

产品 受影响版本 修复版本
Microsoft Malware Protection Engine ≤ 1.1.26030.3008 1.1.26040.8

CVE-2026-33825

产品 受影响版本 修复版本
Microsoft Defender Antimalware Platform ≤ 4.18.26030.3011 4.18.26040.7

缓解措施

确认 Defender 引擎已自动更新

Microsoft Defender 的引擎更新通常自动推送,无需手动操作。确认已更新到安全版本:

# 检查 Defender 引擎版本
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion

# 安全版本要求:
# AMEngineVersion ≥ 1.1.26040.8
# AMProductVersion ≥ 4.18.26040.7

手动触发更新

# 方法一:通过 PowerShell 触发更新
Update-MpSignature

# 方法二:强制更新引擎
# 下载最新引擎:https://www.microsoft.com/en-us/wdsi/defenderupdates
# 或运行:
& "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

临时缓解(无法更新时)

注意:Defender 是核心安全组件,不建议禁用。以下为评估风险时的参考措施:

# 减少攻击面 —— 启用 Attack Surface Reduction (ASR) 规则
# 特别是阻止符号链接滥用的规则
Add-MpPreference -AttackSurfaceReductionRules_Ids 3b576869-a4ec-4529-8536-b80a7769e899 -AttackSurfaceReductionRules_Actions Enabled

检测方法

检查当前版本

# 查看引擎版本是否在安全范围内
$status = Get-MpComputerStatus
Write-Host "引擎版本: $($status.AMEngineVersion) — 安全要求: ≥ 1.1.26040.8"
Write-Host "产品版本: $($status.AMProductVersion) — 安全要求: ≥ 4.18.26040.7"

if ($status.AMEngineVersion -ge [Version]"1.1.26040.8") {
    Write-Host "✅ 引擎已更新到安全版本" -ForegroundColor Green
} else {
    Write-Host "❌ 引擎版本过低,请更新" -ForegroundColor Red
}

检测是否已遭利用

# 查看 Defender 操作日志中的异常
Get-WinEvent -FilterHashtable @{
    LogName = 'Microsoft-Windows-Windows Defender/Operational'
    ID = 1116, 1117, 1118, 1119  # 检测/修复事件
} | Where-Object { $_.TimeCreated -gt (Get-Date).AddDays(-7) } | Format-Table TimeCreated, Message -Wrap

# 检查符号链接滥用痕迹
Get-WinEvent -LogName 'Security' | Where-Object {
    $_.ID -eq 4663 -and $_.Message -match "Symbolic Link"
} | Format-Table TimeCreated, Message -Wrap

防御建议

措施 优先级 说明
确保 Defender 自动更新 🔴 高 引擎自动更新通常已启用,需验证
启用 ASR 规则 🟡 中 减少符号链接滥用攻击面
监控异常进程创建 🟡 中 SYSTEM 权限的异常进程可能是提权后活动
最小化本地用户权限 🟢 低 减少攻击者可用的初始访问权限

CISA 要求

2026 年 5 月 20 日,CISA 将 CVE-2026-41091 和 CVE-2026-45498 列入已知被利用漏洞目录(KEV)

  • 要求美国联邦机构在 2026 年 6 月 3 日前完成修补
  • 描述为"恶意网络行为者的常见攻击向量"

时间线

日期 事件
2026-04-14 CVE-2026-33825 在 4 月补丁星期二中修复
2026-04 "RedSun" 漏洞细节由 "Chaotic Eclipse" 公开
2026-05-12 5 月补丁星期二
2026-05-20 CVE-2026-41091 修复发布;CISA 将其加入 KEV
2026-05-20 微软确认两个漏洞均已在野被利用

参考资料