微软3个零日漏洞全被黑客用上，只修好1个

4月10日，第一个漏洞开始被攻击。到4月16日，三个全在野外活跃。微软的补丁只追上了一个。

这组数字来自Huntress Labs的最新监测。安全研究员化名为"Chaotic Eclipse"（也叫"Nightmare-Eclipse"）的人，月初连扔三枚Windows零日漏洞，现在全成了黑客的工具箱。

更尴尬的是时间线：BlueHammer漏洞4月3日公开，微软4月14日发补丁。补丁发布当天，第二枚RedSun紧随其后亮相。第三枚UnDefend早就躺在那里。研究员放话："我会确保微软每次发布补丁时，事情都变得更有趣。"

三枚漏洞分工明确

把这三枚漏洞摊开看，像一套组合拳。

BlueHammer（已修复，编号CVE-2026-33825）专攻本地权限提升。它钻的是Microsoft Defender签名更新的空子——利用检查时间/使用时间（TOCTOU）的竞争条件，加上路径混淆，让攻击者拿到SYSTEM级权限。CVSS评分7.8，"重要"级别。

RedSun（未修复）同样是权限提升，但适用范围更广：Win10、Win11、Windows Server 2019及以上，只要Defender开着就能用。最狠的是，4月Patch Tuesday的补丁对它完全无效。前CERT/CC分析师Will Dormann验证后表示，在更新了2026年4月补丁的Windows 11和Server上，"100%可靠地从普通用户提权至SYSTEM"。

UnDefend（未修复）不走提权路线，它直接瘫痪防御——让标准用户能阻断Defender的病毒库更新。杀毒软件变聋子，攻击者大摇大摆进来。

Huntress Labs在一台被攻破的设备上，同时发现了RedSun和UnDefend的利用痕迹。攻击者通过失陷的SSLVPN账户进入，操作痕迹显示"有实战操作的黑客活动特征"。这不是实验室玩具，是真有人在用。

技术细节：机会锁与目录联接的魔术

两枚提权漏洞的核心机制惊人地相似，都玩转Windows文件系统的两个特性：机会锁（Opportunistic Lock）和目录联接（Directory Junction）。

RedSun的路径是这样的：用Windows Cloud Files API创建文件，写入EICAR测试字符串（这是杀毒软件行业通用的测试标记），然后靠机会锁在竞争条件中抢跑。接着把目录联接作为重解析点，交换到特权扫描程序下方。恶意写入最终落地到C:\Windows\System32\TieringEngineService.exe。下次Windows调用Cloud Files Infrastructure服务时，攻击者的二进制文件就以SYSTEM权限运行。

BlueHammer稍早一步公开，手法更绕：在Defender签名更新流程中，对mpasbase.vdm文件放置机会锁，用对象管理器符号链接加目录联接，把SYSTEM级的写入操作通过卷影副本重定向到SAM和SYSTEM注册表配置单元。结果是能提取NTLM哈希，做本地哈希传递攻击。Windows Server上因为授权检查机制不同，只能提到管理员权限，而非完整SYSTEM。

两个漏洞都利用了同一个设计盲区：高权限进程在写入文件时，没有充分验证路径是否被恶意重定向。Windows的文件系统特性成了攻击者的杠杆。

公开披露的导火索：一场署名纠纷

这组漏洞本可以走正常的协调披露流程。Chaotic Eclipse说，自己先向微软私下提交了漏洞。

但MSRC（微软安全响应中心）的要求让研究员炸了：他们索要漏洞利用的视频演示作为证据。这在安全社区属于异类——通常概念验证代码加文字说明足够。研究员认为MSRC近年质量下滑，原因是"裁掉了经验丰富的安全人员，换上了只会照搬流程图的员工"。

真正的爆点在CVE-2026-33825的安全公告。微软把漏洞发现功劳归于Zen Dodd和Yuanpei Xu，而非实际提交者Chaotic Eclipse。

「他们亲自告诉我，他们会毁掉我的人生，他们也确实这么做了。他们把我逼到绝境，玩尽了各种幼稚的把戏。」

署名争议成了压垮骆驼的最后一根稻草。研究员决定公开更多漏洞，并承诺让微软的补丁发布变成"更有趣"的事件。

微软发言人的回应很标准："公司始终致力于调查已报告的安全问题，并将尽快发布更新以保护用户。我们也支持协调漏洞披露机制。"但截至4月17日，RedSun和UnDefend依然没有官方补丁或临时缓解方案。

企业现在能做什么

两枚未修复漏洞的现实威胁，迫使安全团队转向监控和纵深防御。

Huntress Labs建议重点审计Defender日志，关注三类异常：重解析点创建、机会锁获取、以及Cloud Files API的非常规调用。这些是RedSun和BlueHammer攻击链的关键指纹。

高价值系统上，Windows Defender应用程序控制（WDAC）或AppLocker可以作为最后一道防线。它们能限制哪些二进制文件可以执行，即使攻击者成功写入恶意文件，也难以运行。

但这些都是权宜之计。UnDefend的特殊性在于它不直接攻击系统，而是让防御系统自我失效。这意味着传统的"检测-响应"模型可能漏过它——日志还在正常记录，只是病毒库已经三天没更新了。

协调披露的裂缝

这件事暴露了一个结构性张力：厂商需要时间来验证、修复、回归测试；研究员需要认可、署名、职业声誉。当流程被视为不公平，"协调披露"就会滑向"完全披露"。

Chaotic Eclipse的选择并非孤例。近年来，多个知名研究员与MSRC公开决裂，抱怨点集中在响应速度慢、沟通机械化、署名规则模糊。微软安全团队的裁员背景，让这些抱怨有了具体的指向。

但完全披露的后果是确定的：三个零日漏洞进入野外，企业防御体系出现窗口期。Huntress Labs的监测证明，这个窗口已经被利用。

讽刺的是，微软在4月安全更新中修复了138个漏洞，包括4个零日。BlueHammer只是其中之一。但研究员的"更有趣"承诺，让补丁日的叙事从"微软修复漏洞"变成了"微软修复漏洞的同时，新的漏洞正在公开"。

这场猫鼠游戏的最新回合，老鼠似乎找到了节奏。

目前企业能做的，除了监控建议，就是祈祷攻击者还没摸到你的VPN账户。毕竟，那台同时中了RedSun和UnDefend的设备，入侵入口只是一个失陷的SSLVPN账号——这大概比Windows内核漏洞更难防。