一名心怀不满的研究员的代码如何粉碎了 Windows Defender 安全的幻象

多年来，网络安全行业一直根据一项被称为“协调漏洞披露”的脆弱和平条约运作。其前提很简单：研究人员发现漏洞，告知供应商，并在公开之前等待补丁。这是一个建立在相互尊重，以及更重要的——保护用户安全这一共同目标之上的系统。但正如我们在过去两周所看到的，该条约的效力仅取决于研究人员与供应商之间的关系。当这种关系演变成公开的谩骂时，其结果往往是系统性的且立竿见影的。

我们目前正目睹一个架构悖论：一个价值数十亿美元、旨在成为地球上最强大的反病毒解决方案的安全生态系统，正被发布到公共 GitHub 仓库的几百行代码瓦解。Windows Defender，数千万企业终端的沉默守护者，已成为名为 BlueHammer、UnDefend 和 RedSun 的一系列漏洞利用的主要媒介。尽管微软将 Defender 宣传为一种强大的、开箱即用的、能够挫败复杂的国家级攻击者的解决方案，但仅凭一名心怀不满的个人就证明了，当内部逻辑被反过来利用时，即使是最严密的防御也是可以被攻破的。

怨念的剖析与 Chaotic Eclipse 的崛起

这些泄密事件背后的研究员（被称为 Chaotic Eclipse）最初并没有在暗网上出售这些漏洞，也没有将其报告给中间商。相反，他们选择了全面披露的道路——这是信息安全界的一种“战术核选项”。根据他们的博客文章，其动机是与微软安全响应中心 (MSRC) 的沟通破裂。从风险的角度来看，这是任何首席信息安全官 (CISO) 的噩梦场景。防御隐蔽的 APT 是一回事；防御任何“脚本小子”只需一条命令即可下载并执行的公开武器化漏洞利用则是另一回事。

在我报道威胁态势的多年职业生涯中，我见过许多研究人员对企业修补补丁的缓慢速度感到沮丧。我通常通过 Signal 或 PGP 加密渠道与这些消息源沟通，他们的情绪往往是一致的：他们感到被忽视或被低估。然而，Chaotic Eclipse 更进一步，明确感谢 MSRC 领导层通过其被认为的“无所作为”促成了此次披露。这不仅是技术上的失败，更是漏洞管理生命周期中人为因素的失败。

追踪攻击链：BlueHammer、UnDefend 与 RedSun

这三个漏洞针对的是 Windows Defender 的核心功能，特别是它处理高级系统权限的方式。按照设计，杀毒软件必须拥有对操作系统的深度、细粒度访问权限，才能识别并消除威胁。这种高水平的特权恰恰使其成为了极具吸引力的目标。如果你能攻破安全软件本身，你就不只是绕过了一把锁，而是说服了保安为你打开金库。

BlueHammer 是第一个发布的漏洞。它允许本地提权，这意味着一个访问权限有限的用户可以突然变成系统管理员。微软在本周早些时候设法发布了针对此漏洞的补丁，但损害已经造成。作为应对措施，许多组织急于更新，却在几天后发现自己面临着 UnDefend 和 RedSun。截至本文撰写时，后两者仍未修复，这让任何仅依赖 Windows 原生安全工具的组织防御体系中出现了一个普遍的缺口。

观察威胁态势，这些漏洞被武器化的速度令人震惊。以对终端行为进行深度取证分析而闻名的 Huntress 公司证实，至少有一个组织已经被利用这些特定工具攻破。黑客不需要是天才，他们只需要速度快。他们采用了 Chaotic Eclipse 提供的现成攻击工具，并在大多数 IT 团队甚至还没来得及阅读最初的新闻报道之前，就将其整合到了现有的恶意工作流中。

全面披露的困境与人为防火墙

在我们的社区中，关于全面披露一直存在着长期的争论。一些人认为，这是迫使像微软这样行动缓慢的巨头优先考虑安全而非功能的唯一途径。另一些人则将其视为一种数字纵火行为。主动地看，在没有补丁的情况下发布漏洞利用代码，就像是在船只航行在大西洋中心时指出船体上的一个洞。你对那个洞的判断可能是正确的，但你也确保了船上的每个人都处于迫在眉睫的危险之中。

在发生违规事件时，责任往往被归咎于 IT 部门未能及时修补。但撇开补丁不谈，我们必须审视系统性的信任问题。我们花了十年时间告诉用户 Windows Defender 已经足够了——它是现代安全栈中任务关键型的组成部分。当这种信任被打破时，它会创造一个真空，而恶意行为者非常乐意填补这个真空。我们曾经熟知的网络边界是一道过时的城堡护城河；如果城堡内的守卫是放进特洛伊木马的人，那么城墙的高度就无关紧要了。

评估后 Eclipse 时代的攻击面

对于我们这些以此为生的人来说，Chaotic Eclipse 事件提醒我们，没有任何系统是足够去中心化或足够强大到能对专注的内部人员或沮丧的贡献者免疫的。在幕后，SOC 分析师目前正与对手竞赛，创建自定义检测规则，以捕获这些漏洞利用的特定特征。但这是一场被动的“打地鼠”游戏。

从最终用户的角度来看，如果你了解攻击面，风险虽高但仍可控。这些漏洞利用通常需要机器上的初始立足点。它们不是可以跨越互联网跳转的神奇远程代码执行漏洞——至少目前还不是。它们是用于横向移动和提权的工具。这意味着你的主要防御手段仍然是“人为防火墙”。如果你能阻止最初的钓鱼邮件或未经授权的软件下载，攻击者根本没有机会运行 RedSun 或 UnDefend。

实际防御：超越补丁

等待微软发布 UnDefend 和 RedSun 的补丁是一种必要但不足的策略。我们需要转向一种更具弹性的姿态，不依赖于单点故障。这就是“零信任”概念发挥作用的地方——在每一扇内部大门前都像 VIP 俱乐部保镖一样行事。仅仅因为一个进程声称是 Windows Defender 的一部分，并不意味着它应该在没有二次验证的情况下被授予对内核的未经授权访问。

如果你今天正在管理一个网络，你应该寻找与这些漏洞利用相关的特定失陷指标 (IoCs)。这包括监控异常的服务注册以及对 Defender 配置文件预料之外的更改。在数据完整性方面，你还应该审计谁拥有本地管理员权限。如果用户不需要它，就撤销它。减少甚至可以尝试提权的账户数量，是缩小攻击面的一种简单、有效的方法。

IT 领导者和用户的关键要点

• 审计本地管理员权限：Chaotic Eclipse 漏洞利用依赖于提权。如果用户不是管理员，这些漏洞的影响将大大减轻。
• 实施多层防御：不要仅仅依赖 Windows Defender。使用第三方 EDR（终端检测与响应）工具，它们可以提供“第二意见”，并检测 Defender 在被攻破时可能遗漏的行为异常。
• 监控影子 IT：未打补丁的系统往往是企业网络的“暗物质”。使用扫描工具确保网络上的每台设备都已入账，并运行最新的安全更新。
• 审查事件响应计划：如果发生涉及这些漏洞的违规事件，您的团队需要一个清晰、预定义的计划。这包括隔离受影响的机器，并进行彻底的取证调查，以确保没有留下任何持久化机制。
• 通过信任渠道保持知情：避免社交媒体上普遍存在的 FUD（恐惧、不确定和怀疑）。关注那些提供可行情报而非仅仅是耸人听闻标题的认证研究人员和供应商。

来源

• Microsoft Security Response Center (MSRC) Vulnerability Guidelines
• Huntress Labs Incident Report on Chaotic Eclipse Exploits
• NIST Special Publication 800-209: Security Guidelines for Storage Infrastructure
• MITRE ATT&CK Framework: T1068 (Exploitation for Privilege Escalation)
• TechCrunch Cybersecurity Reporting on Windows Defender Flaws

免责声明：本文仅供参考和教育目的。它不构成专业的法律或网络安全建议。组织在对其基础设施或事件响应协议进行重大更改之前，应进行自己的风险评估并咨询认证的安全专业人员。