吳明宜安全廠商 Huntress 警告近日 Microsoft Defender 三個漏洞接連遭到公開之後,也開始出現攻擊活動。這三個漏洞分別代號 BlueHammer 、 RedSun 與 UnDefend,全部是由對微軟漏洞通報處理感到失望、代號 Chaotic Eclipse(或 Nightmare-Eclipse)的研究人員所揭露。
這名研究人員四月初公開了針對 BlueHammer 漏洞的攻擊程式 FunnyApp.exe,兩週後又公布了 RedSun 。 BlueHammer 為 Windows Defender 中的 TOCTOU(time-of-check to time-of-use)/symlink 競爭條件漏洞,當使用者下載執行後,就能引發本機權限擴張 (local privilege escalation) 提升到管理員權限。再過幾天,這名研究人員又公布 UnDefend 攻擊程式,鎖定 Windows Defender 觸發阻斷服務 (denial of service, DoS) 條件,有效阻斷防毒定義檔的更新。
這名 Chaotic Eclipse 三週前在 GitHub 貼文,指責微軟「背叛」了他。顯然是研究人員向微軟通報了 Defender 漏洞,微軟安全回應中心 (Microsoft Security Response Center, MSRC) 也證實有數個漏洞,但微軟並未按漏洞懸賞方案提供獎金,而只簡單傳送了感謝訊息,並說他們可能之後會修補。
他在釋出第二次攻擊程式前貼文威脅,說他不是嚇唬微軟,第一次他還會說明攻擊程式運作細節,第二次就完全放給資安人士自己去猜。
漏洞已遭武器化與濫用
微軟在上週的每月安全更新中修補了 BlueHammer 漏洞,指派編號 CVE-2025-33825 。但是 RedSun 和 UnDefend 則還沒修補。
Huntress 警告,三個漏洞都已遭到濫用,其中 BlueHammer 已在 4 月 10 日被武器化,RedSun 和 UnDefend 則在 4 月 16 日有人利用了概念驗證 (PoC) 程式。只要結合幾個典型的列舉指令:whoami /priv 、 cmdkey /list 、 net group 就能觸發。其他則包含一些真人操作 (hands-on-keyboard) 攻擊。
研究人員表示要花點時間找出受影響的組織來避免事後攻擊 (post-exploitation) 。微軟表示為了服務客戶會加緊研究通報的安全問題,並且盡速更新受影響的裝置。微軟也說支援協同漏洞揭露政策,確保漏洞公開前的謹慎調查,支援客戶防護和安全研究社群。
來源:Cybernews 、 The Hacker News