Nightmare-Eclipse:Windows Defender六大零日漏洞链深度分析——当杀毒软件成为攻击入口
2026年4月至6月,一个名为Nightmare-Eclipse的威胁行为者公开了六个Windows Defender零日漏洞利用工具。这些漏洞利用了Windows自身安全组件之间的信任关系,将杀毒软件从"保护者"变成了"攻击入口"。截至目前仍有两个漏洞未修复,勒索软件团伙已开始在实际攻击中使用这些技术。
事件时间线与演变
Nightmare-Eclipse事件始于2026年4月,一个化名"Chaotic Eclipse"的研究人员在GitHub和GitLab上发布了针对Windows Defender的零日漏洞利用代码。这些漏洞利用工具涵盖了三个主要漏洞:BlueHammer(CVE-2026-33825)、RedSun和UnDefend。
事件的时间线如下:
- 2026年4月初:Chaotic Eclipse首次在GitHub上发布BlueHammer利用代码
- 2026年4月中旬:RedSun和UnDefend利用代码相继公开
- 2026年4月下旬:GitHub和GitLab删除了相关仓库,但代码已在其他平台传播
- 2026年5月初:Microsoft发布针对BlueHammer(CVE-2026-33825)的安全更新
- 2026年5月中旬:研究人员发现YellowKey和GreenPlasma两个新的零日漏洞
- 2026年6月:Huntress SOC确认这些漏洞正在被勒索软件团伙在实际攻击中使用
Barracuda的安全研究人员在5月19日的分析中指出:"Nightmare-Eclipse的六个零日漏洞共享一个共同特征——它们不破坏Windows,而是利用Windows对抗自身。它们找到受信任的组件,理解这些组件信任什么,然后将攻击者控制的数据放置在受信任组件不期望的位置。"
六大零日漏洞技术解析
BlueHammer (CVE-2026-33825) — 已修补
BlueHammer是一个Windows Defender权限提升漏洞,允许已获得普通用户级别访问权限的攻击者提升到SYSTEM级别权限。该漏洞利用了Windows Defender的扫描引擎在处理特定文件路径时的竞态条件(Race Condition),通过符号链接和目录 junction 攻击,可以在Defender的上下文中执行任意代码。
CVSS评分:7.8(高)。Microsoft在2026年5月的补丁星期二中修复了该漏洞。Picus Security的研究人员详细分析了该漏洞的技术细节,指出攻击者可以通过精心构造的文件操作,在Defender的扫描过程中注入恶意代码。
RedSun — 未修补
RedSun是一个Windows Defender服务禁用漏洞,允许具有管理员权限的攻击者永久禁用Windows Defender的实时保护功能。与传统的通过组策略或注册表禁用不同,RedSun利用了Defender的内部状态机缺陷,可以在不触发任何告警的情况下将Defender置于"假运行"状态——表面上显示正常运行,但实际上不对任何威胁做出响应。
UnDefend — 未修补
UnDefend是最具威胁性的漏洞之一,它允许攻击者绕过Windows Defender的检测机制来部署恶意软件。该漏洞利用了Defender在处理特定类型的文件扫描请求时的逻辑缺陷,攻击者可以构造特定的文件结构,使Defender在扫描时跳过恶意内容的检测。
BleepingComputer报道称:"Microsoft已开始推送针对两个Defender漏洞的安全补丁,这些漏洞已在零日攻击中被利用。"但RedSun和UnDefend至今仍未获得官方修复。
YellowKey — 未修补
YellowKey是一个Windows凭据保护机制绕过漏洞,利用了Windows Defender与LSASS(本地安全机构子系统服务)之间的信任关系。攻击者可以通过Defender的文件扫描功能间接访问LSASS进程内存,提取存储在其中的凭据哈希。
GreenPlasma — 未修补
GreenPlasma利用了Windows Defender的云保护功能与本地扫描引擎之间的通信缺陷。攻击者可以通过操纵本地Defender配置,使其将恶意文件的哈希值发送到云端进行"信誉检查"时,使用攻击者控制的响应替代真实的检测结果。
攻击链实战分析
在实际攻击场景中,威胁行为者通常将多个漏洞串联使用:
初始访问 → BlueHammer(提权到SYSTEM)
↓
持久化 → RedSun(禁用Defender实时保护)
↓
防御规避 → UnDefend(绕过剩余检测)
↓
凭据获取 → YellowKey(提取LSASS凭据)
↓
横向移动 → 使用窃取的凭据访问其他系统
↓
影响 → 部署勒索软件/数据窃取
Huntress SOC的分析显示,至少有一个勒索软件团伙在2026年5月开始使用Nightmare-Eclipse技术链。攻击者首先利用BlueHammer获取SYSTEM权限,然后使用RedSun将Defender置于"假运行"状态,最后在Defender完全失效的情况下部署勒索软件载荷。
受影响系统与检测方法
| 漏洞 | CVE编号 | 影响系统 | 修补状态 | 利用难度 |
|---|---|---|---|---|
| BlueHammer | CVE-2026-33825 | Windows 10/11, Server 2019/2022 | 已修补 | 中 |
| RedSun | 待分配 | Windows 10/11, Server 2019/2022 | 未修补 | 低 |
| UnDefend | 待分配 | Windows 10/11, Server 2019/2022 | 未修补 | 低 |
| YellowKey | 待分配 | Windows 10/11 | 未修补 | 中 |
| GreenPlasma | 待分配 | Windows 10/11(云保护启用) | 未修补 | 中 |
# 检查Windows Defender状态是否被篡改
Get-MpComputerStatus | Select-Object AMServiceEnabled, AntispywareEnabled,
AntivirusEnabled, BehaviorMonitorEnabled, IoavProtectionEnabled,
NISEnabled, OnAccessProtectionEnabled, RealTimeProtectionEnabled
# 检查Defender定义版本(异常旧版本可能表示被降级)
Get-MpComputerStatus | Select-Object AntivirusSignatureLastUpdated
# 检查Defender排除路径(攻击者可能添加恶意路径到排除列表)
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
# 监控Defender服务异常停止事件
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational';
ID=1008,1009,1010} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap
#!/usr/bin/env python3
"""Nightmare-Eclipse Defender Tampering Detection"""
import subprocess
import json
def check_defender_health():
"""Check for signs of Nightmare-Eclipse exploitation"""
checks = []
# Check if Defender service is running but potentially compromised
r = subprocess.run(['powershell', '-Command',
'Get-MpComputerStatus | ConvertTo-Json'],
capture_output=True, text=True)
if r.returncode == 0:
status = json.loads(r.stdout)
if status.get('RealTimeProtectionEnabled') and \
status.get('AntivirusSignatureLastUpdated'):
from datetime import datetime, timedelta
last_update = datetime.fromisoformat(
status['AntivirusSignatureLastUpdated'].replace('Z', '+00:00'))
if datetime.now(last_update.tzinfo) - last_update > timedelta(days=7):
checks.append("WARNING: Defender signatures outdated (>7 days)")
# Check for suspicious exclusion paths
r2 = subprocess.run(['powershell', '-Command',
'Get-MpPreference | Select-Object -ExpandProperty ExclusionPath | ConvertTo-Json'],
capture_output=True, text=True)
if r2.returncode == 0 and r2.stdout.strip():
try:
paths = json.loads(r2.stdout)
if isinstance(paths, list):
for p in paths:
if any(x in p.lower() for x in ['temp', 'appdata', 'public']):
checks.append(f"SUSPICIOUS exclusion path: {p}")
except:
pass
return checks
if __name__ == "__main__":
results = check_defender_health()
if results:
for r in results:
print(f"[!] {r}")
else:
print("[+] No obvious tampering detected")
防御建议
由于RedSun和UnDefend仍未修补,企业需要采取分层防御策略:
立即行动:
- 应用2026年5月和6月的所有Windows安全更新(至少修复BlueHammer)
- 审计Windows Defender配置,检查是否有异常排除路径或策略修改
- 启用Windows Defender的攻击面减少(ASR)规则
中期加固:
- 部署第三方EDR解决方案作为Defender的补充(不替代)
- 实施应用程序白名单策略(AppLocker/WDAC)
- 启用Credential Guard保护LSASS进程
长期策略:
- 采用零信任架构,假设端点已被攻陷
- 实施网络分段,限制横向移动
- 建立端点完整性监控机制
对安全行业的启示
Nightmare-Eclipse事件揭示了一个根本性问题:当安全软件本身成为攻击面时,传统的"信任本地安全代理"模型就会崩溃。这与2024年CrowdStrike全球宕机事件有相似之处——安全软件因其内核级权限和系统信任地位,成为了高价值攻击目标。
企业需要重新评估其端点安全策略,不再将Windows Defender视为唯一的防线。分层防御、零信任架构和持续监控才是应对这类威胁的正确方向。
数据来源与参考文献:
- Barracuda. "Nightmare-Eclipse: six zero-days, six weeks and one big grudge." blog.barracuda.com, 2026-05-19.
- Picus Security. "BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-Day Vulnerability Explained." picussecurity.com, 2026.
- LevelBlue. "YellowKey and GreenPlasma: Two New Windows Zero-Days Unveiled." levelblue.com, 2026.
- BleepingComputer. "Microsoft warns of new Defender zero-days exploited in attacks." bleepingcomputer.com, 2026.
- Huntress. "Ransomware Trends 2026." huntress.com, 2026.
- SQ Magazine. "Windows Defender Security Flaws Actively Exploited by Hackers." sqmagazine.co.uk, 2026.
评论