美国联邦网络安全机构近日警告称,内置于 Windows 系统的安全软件 Microsoft Defender 正面临一项已被用于勒索软件攻击的严重漏洞压力。该漏洞编号为 CVE-2026-33825,代号“BlueHammer”,允许已通过认证的攻击者在受影响系统上提升自身权限,一旦攻击者已经进入企业或机构网络,这一额外权限就足以推动攻击链进一步发展。美国网络安全与基础设施安全局(CISA)指出,该漏洞已经在勒索软件行动中被利用,但并未公开具体涉案的攻击团伙信息。
![]()
“BlueHammer”在 4 月 2 日以一种不同寻常的方式公开。一名使用 “Chaotic Eclipse” 和 “Nightmare Eclipse” 名号的研究人员,在微软尚未发布修复补丁前就公开了相关漏洞利用细节,理由是对微软处理漏洞报告的方式感到不满。漏洞细节的提前公开大幅缩短了防御方通常拥有的准备窗口,使得潜在攻击者能在补丁尚未推出的空档期迅速尝试武器化。
微软于 4 月 14 日发布补丁,称该漏洞可以被已认证用户用于权限提升,并在当月稍后更新官方安全公告,强调该漏洞“更有可能”被利用,但当时并未证实已经出现实际攻击事件。真实情况则由第三方安全机构给出。安全公司 Huntress 报告称,攻击者在补丁发布之前就已经开始利用 BlueHammer,将其视作零日漏洞展开攻击。
4 月 22 日,CISA 将 CVE-2026-33825 加入其“已知被利用漏洞”(KEV)目录,标记其为正遭到积极利用的安全缺陷。此后的一次更新中,CISA 明确指出该漏洞已被用于勒索软件攻击。不过,KEV 目录在条目更新时通常不会提供更多细节,机构也不会在将某项漏洞标记为与勒索软件相关时另行发布独立通告,这种相对“静默”的更新方式也引发部分安全从业者质疑,其对一线防御团队在漏洞修复优先级划分上的实质帮助有限。
BlueHammer 的特殊之处不仅在于它能实现权限提升,更在于其存在于 Microsoft Defender 这一核心安全组件之中。Defender 作为 Windows 的内置防护软件,往往以较高权限运行,安全团队依赖这类高权限获取系统可见性和控制能力,但也意味着一旦 Defender 本身出现漏洞,其影响面可能远大于普通应用。一旦攻击者通过 BlueHammer 获取更高权限,其后续横向移动、部署勒索软件等行动将变得更加容易。
目前关于具体勒索软件团伙如何在攻击链中运用 BlueHammer 的公开细节仍然有限。CISA 的 KEV 目录在条目状态变更时缺乏深入说明,机构在将某漏洞更新为“用于勒索软件攻击”时也不会主动推送额外预警,这一信息不对称让部分安全专家认为防御方在制定修复策略时,仍然缺少足够透明的情报支撑。
这种信息缺口部分正由私营部门的努力来弥补。威胁情报公司 GreyNoise 已推出一款免费工具,用于跟踪 CISA KEV 目录的变动,包括何时有漏洞被标记为与勒索软件利用相关,意在帮助安全团队更及时地察觉这些关键信息变化,便于在补丁管理和风险评估中做出更快速的响应。
BlueHammer 的时间线折射出业界在处理软件漏洞时长期存在的一类顽疾:在本案中,漏洞利用细节先于补丁发布,对手在防御方拿到修复方案前就获得了可操作的攻击手册;即便补丁发布后,关于漏洞在真实攻击场景中具体使用方式的信息往往滞后,迫使安全团队在缺乏完整图景的情况下做出决策。
对于各类组织而言,任何自 4 月微软安全更新以来尚未完成相关补丁部署的系统,至今仍可能暴露在已被证实与勒索软件攻击相关的风险之下。在复杂攻击场景中,攻击者往往会串联多种技术手段,一旦这类权限提升漏洞出现在核心安全组件内部,原本微小的入侵尝试就可能演化成重大的安全事件。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.