已公开的 Windows Defender 利用代码如今已被用于攻击
网络安全公司 Huntress 表示,本月早些时候由一名研究人员在线发布的一组 Windows 安全漏洞,已经至少被用于一起真实世界的入侵。这一进展将原本只是公开披露的漏洞,转变为依赖 Microsoft Defender、但尚未应用可用修复或替代防护措施的组织所面临的现实运营风险。
Huntress 说,攻击者正在利用三个已知漏洞,分别为 BlueHammer、UnDefend 和 RedSun。在这三者中,截至目前只有 BlueHammer 已由微软修补,微软于本周早些时候推出了修复。根据所提供的原文,其余问题仍存在不确定性,尤其是一些依赖默认或未修改 Defender 防护的组织可能暴露到什么程度。
这一事件也再次凸显了计算机安全领域长期存在的矛盾:公开披露会促使厂商更快响应,但在补丁尚未被广泛部署前就发布详细利用代码,也会立刻降低恶意行为者的攻击门槛。在本案中,TechCrunch 报道称,相关利用活动似乎使用了由一名以 Chaotic Eclipse 名义活动的研究人员发布的代码。
这些漏洞如何进入公共领域
根据原文,Chaotic Eclipse 最初发布了他们声称可利用一个未修补 Windows 漏洞的代码,同时表达了对微软处理该问题方式的不满。几天后,这名研究人员又发布了针对 UnDefend 和 RedSun 的额外利用材料,其中包括托管在 GitHub 上的代码。上述三个漏洞都影响 Microsoft Defender,且可使攻击者在目标 Windows 系统上获得更高权限的管理员级访问。
这一时间序列很重要,因为利用代码的公开会迅速改变威胁环境。一旦可运行代码被公开,攻击者就不再需要独立发现漏洞或从零构建自己的工具。他们可以直接改造公开材料、自动化使用,并快速在暴露系统上进行测试。
原文没有指出受害组织是谁,也没有点明负责的威胁行为者。但缺乏归因并不降低这一事件的重要性。就实际防御而言,防守方现在已经有确凿证据表明,机会型或定向攻击者正在利用这些披露。
为什么与 Defender 相关的漏洞尤其敏感
安全产品在企业系统中占据特权位置。杀毒和终端防护工具通常对文件、内存、进程以及操作系统行为拥有深度可见性。正是这种访问能力让它们能够检测并阻止威胁,但也意味着安全层内部的弱点对攻击者而言可能格外有价值。
如果 Defender 中的漏洞可被用来获取高权限访问、禁用防护,或帮助恶意软件在系统上存活,攻击者绕过的就不只是一个控制措施。他们可能在削弱许多组织依赖的核心防御机制。这会带来异常高的连锁风险,尤其是在 Defender 被广泛部署且被集中信任的环境中。
原文显示,这三个漏洞都影响 Defender,并可使攻击者获得提权访问。即便没有更多技术细节,这也足以解释为什么公开利用代码会立刻吸引安全团队和攻击者的注意。
微软的立场与披露争议
微软告诉 TechCrunch,其支持协调漏洞披露,也就是研究人员私下报告问题,并在公开技术细节前留出调查和修复时间的行业做法。该模式旨在降低防守方措手不及的可能性。
这一事件显示了当这一流程失灵时的负面后果。公开压力可能揭示研究人员与厂商之间尚未解决的紧张关系,但夹在中间的组织要承担风险。一旦利用细节可用,安全补丁窗口就会迅速缩小。
与此同时,原文显示微软已经修补了 BlueHammer,说明响应链路至少有一部分已经启动。更直接的担忧是其他已披露问题的状态,以及在等待更广泛修复期间,组织是否能获得明确的缓解指导。
这对组织现在意味着什么
最重要的短期结论是,这些已经不再是理论漏洞。至少有一个组织已经因公开漏洞被攻破。这意味着优先级应从持续关注新闻,转为将其视为一项正在发生的暴露管理问题。
使用 Microsoft Defender 的安全团队应核实 BlueHammer 补丁是否已部署,查阅微软安全公告以获取最新指导,并仔细排查系统是否存在异常提权或 Defender 被篡改的迹象。由于涉及公开利用代码,组织还应假设仿效攻击很可能出现。
企业安全领导者还能从中得到更广泛的教训。防御能力不能只看安装了哪些工具,还取决于厂商修补速度、组织部署更新的速度,以及当安全软件本身成为攻击路径一部分时,团队是否能够发现滥用行为。
眼前的故事关乎三个 Windows 漏洞和一次已确认的入侵。更大的故事则是,攻击能力如今从研究人员博客文章到实际使用的传播速度有多快。在这样的环境中,补丁延迟、对终端行为的可见性,以及有纪律的事件响应,比以往任何时候都更重要。
本文根据 TechCrunch 的报道改写。阅读原文。
Originally published on techcrunch.com
