13 天之內,一個研究者完成了多數國家級駭客要花好幾年才能做到的事——把微軟自家的旗艦安全產品,變成了一個攻擊面。
2026 年 4 月初,一個自稱「Chaotic Eclipse」(又名 Nightmare Eclipse)的人開始在 GitHub 陸續丟出三個 Windows Defender 零日漏洞的概念驗證(PoC)程式碼。每一次釋出都附上一篇部落格、一段公開理由,並明確聲稱 Microsoft 的漏洞回報流程令他們失望。結果是 2026 年最具份量的資安事件之一,任何在正式環境中跑 Windows 的人都應該真的擔心一下。
三個漏洞
BlueHammer(CVE-2026-33825) 攻擊 Defender 的檔案修復邏輯。當 Defender 偵測到惡意檔案、啟動隔離動作時,BlueHammer 透過批次機會鎖(opportunistic lock)把 Defender 的操作暫停在中間,然後丟入一個 NTFS 接合點,把 Defender 的目標路徑重新指向 C:\Windows\System32。當 Defender 以 SYSTEM 權限恢復動作時,它會乖乖把檔案寫到被轉向的位置。一個普通使用者的行為,瞬間變成 SYSTEM 等級的寫入。微軟在 4 月 Patch Tuesday 修補了這一個。
RedSun 攻擊的是另一個面向——濫用 Defender 對「雲端標記檔案」的處理邏輯,覆寫系統路徑。關鍵是:即使打完 4 月的修補,RedSun 仍可在最新的 Windows 10、Windows 11 與 Windows Server 2019 之後的版本上正常運作。
UnDefend 才是讓資安獵人徹夜難眠的那一個。它不做權限提升,而是安靜地癱瘓 Defender 本身。一個沒有管理員權限的普通使用者,可以在特定條件下阻擋 Defender 接收特徵更新,甚至把它整個關掉。攻擊者只要把 UnDefend 和任何現成的惡意程式組合起來,就等於在進門之前先把受害者門口的警報關掉。
Huntress Labs 已確認這三個漏洞都正在真實攻擊中被使用。BlueHammer 最早可追溯到 4 月 10 日。其中一起確認的入侵,被追蹤到一個來自俄羅斯的 IP,透過 FortiGate SSL VPN 連入受害環境。
為什麼這一個零日比平常的零日更嚴重
每個月都會有零日漏洞被公開,但這一次特別嚴重,有三個理由。
第一,攻擊面就是 Defender 本身。Defender 預設安裝在全球數億台 Windows 裝置上,是地表最普及的單一安全軟體。這三個漏洞每一個都把原本的防守資產,變成了攻擊資產。
第二,公開方式是刻意的。Chaotic Eclipse 並沒有私下通報然後等修補,他們直接把 PoC 和完整說明丟上公開平台,作為一種抗議。這個「武器化揭露」的模式會鼓勵模仿者,並把微軟修補節奏這件事,變成全世界每個 IT 團隊的日常營運問題。
第三,三個漏洞中有兩個到 4 月中旬仍未被修補。RedSun 和 UnDefend 目前沒有乾淨的緩解方案。使用 Defender 的組織現在只有兩個選擇:一是承受正在進行中的攻擊,二是額外部署第三方 EDR 作為補償控制——而這恰恰是微軟花十年想避免的結果。
我的看法
這件事真正令人不安的教訓,不是 Defender 本身,而是「綁售式安全工具」整個信任模型的問題。
過去二十年,產業一致往同一個方向走:把功能強大、擁有高權限、深入整合的安全代理佈署到每一個端點。Defender、CrowdStrike、SentinelOne——全部都跑在 ring 0 或接近 ring 0 的位置。它們正常運作時是無價的,但只要有一個漏洞就會變成災難,因為賦予它們防守力的那些權限,在被反向利用時同樣具備毀滅性。
Chaotic Eclipse 的事件並沒有證明 Defender 特別不安全,它證明了一件更嚇人的事——任何擁有 SYSTEM 等級權限的安全代理,距離變成機器上最危險的程式,都只差一個 bug。產業的回應不能只是「更快的修補」,而必須是結構性的:縮小權限邊界、把檔案修復邏輯放進沙箱、並從第一天就把安全代理本身視為攻擊目標。
在這個轉變真的發生之前,每一個使用 Defender 的組織——也就是絕大多數組織——都必須接受一個事實:現在,用白話說,你的防毒軟體本身,是一條進來的路。