2026 年 4 月,在短短 13 天的窗口期裡,一位匿名安全研究員針對 Windows Defender——微軟旗艦級端點防護產品——連續釋出三個可運作的零時差攻擊,而微軟至今只修補了其中一個。截至四月底,BlueHammer(CVE-2026-33825)已修補;RedSun 與 UnDefend 仍未修補。三個漏洞都已在實戰中被利用。
時間軸像是一場有計畫的抗議。BlueHammer 於 4 月 7 日公開,當時尚無修補,是真正意義上的零時差。微軟緊急把它擠進 4 月 8 日的 Patch Tuesday 週期,CVSS 評為 7.8,定性為透過 Defender 檔案修復邏輯的本地權限提升。到 4 月 10 日,Huntress Labs 確認在野利用。接著,4 月 16 日,同一位研究員一次釋出 RedSun 與 UnDefend——都是完整 PoC、都沒有協同揭露程序、且目前都已被武器化用於攻擊行動。
研究員自述理由是:微軟安全回應中心(MSRC)多次不當處理他過去提交的報告——以「重複案件」結案而未調查、降低嚴重等級,以及據稱有一個先前回報的問題拖延未修,久到另一名研究員獨立把它武器化才被處理。無論這些指控成立與否,結果是一樣的:所有啟用 Defender 的 Windows 10、Windows 11、Windows Server 2016 到 2025 都暴露在威脅之下。對多數企業端點而言,這代表「每一台主機」。
技術細節越讀越糟。RedSun 串連 Defender 掃描引擎的整數溢位與核心模式寫入,完全繞過漏洞緩解機制。UnDefend 更陰險——它不攻擊系統,而是癱瘓 Defender 的更新通道,讓特徵碼逐漸跟不上新威脅,同時使用者界面看起來一切正常。一次成功的 UnDefend 植入,可能在主機上潛伏數週,沒人發現保護其實已經形同關閉。
這把防守方逼進進退兩難。微軟未承諾修補日期。雖然有群組原則層級的緩解措施,但要在 48 小時內把激進的政策推到受控端點群上,多數企業根本做不到,會引發海嘯般的 helpdesk 工單。CISA 已將 BlueHammer 加入「已知被利用漏洞」清單,要求聯邦機構在 4 月 28 日前完成修補——也就是明天。同樣的緊迫性不適用於民間部門,但威脅模型一模一樣。
這個故事真正重要的,不只是當下的事件回應,而是它引出的「負責任揭露」元議題。這位研究員走了一條相當不道德的路。沒有協同揭露的公開 PoC——尤其是針對廣泛部署的安全軟體——等於免費發武器給攻擊者。但如果微軟自己的流程真如揭露聲明所述那樣破損,那麼本來應該預防這種情境的系統,本身就已經失靈。整個社群正在盯著一個不舒服的問題:當 MSRC 反覆失敗,研究員除了走到這一步,還能怎麼辦?
我的觀點:這就是當「對流程的信任」崩潰時會發生的事
我想直接講:把可運作的零時差攻擊在沒有協同揭露的情況下扔進野外,是錯的。會有人受傷——沒有專職資安團隊的小企業、跑著老舊 Windows 基礎設施的醫院、學校、地方政府。附帶傷害是真的,研究員不該因為立場正當就被免責。
但這故事的企業端也不是無辜的。MSRC 的規模化問題已經是業內公開的祕密好幾年了。透過正當管道回報漏洞的研究員,普遍描述一個「看起來像是被設計來處理掉報告,而不是調查報告」的流程。嚴重等級被降、「重複案件」結案不附說明、無限期「審核中」——這些都不是新抱怨。2026 年 4 月的這場揭露潮,就是一個本應吸收壓力的系統,把累積的壓力一口氣釋放出來時的樣子。
對週一早上讀到這篇的資安團隊,可行動的建議並不華麗、但十分緊急。盤點你環境裡有多少端點是把 Defender 當作唯一或主要 AV 的;針對 RedSun 與 UnDefend 套用公開的緩解措施(群組原則強化、限制管理員模式、攻擊面縮減規則);密切監控 Defender 的更新遙測——UnDefend 就藏在那裡。最重要的是:不要以為「我已經套了四月 Patch Tuesday」就代表你安全。三個裡面還有兩個是開的。
對其他所有人,教訓更難。端點防護軟體本身就是攻擊面。從 2024 年 CrowdStrike 那場全球停擺、再到之前那些 Defender bug,我們其實早就知道;但整個產業還是把「更多安全工具」當成「現有安全工具裡更少 bug」的替代品。一個身上同時有三個被在野利用零時差漏洞的防護員,不再是防護員。它頂多,是一扇上面掛著「防護員」招牌的門。