CVE-2026-33825 (BlueHammer) Microsoft Defender漏洞已被勒索软件利用,需尽快修复
CISA 最新更新显示,Microsoft Defender 的权限提升漏洞 CVE-2026-33825(代号 BlueHammer)已被勒索软件团伙在攻击中利用。该漏洞早在 4 月 2 日就由一名代号 Chaotic Eclipse / Nightmare Eclipse 的研究员公开披露,彼时微软尚未发布补丁。微软在 4 月 14 日才发布安全更新,并承认该漏洞允许已认证的攻击者实现权限提升,且利用可能性为“更可能”。安全公司 Huntress 观察到,在补丁发布前,该漏洞已被作为 0day 在野外利用。
CISA 于 4 月 22 日将 BlueHammer 加入已知被利用漏洞(KEV)目录,最近又更新条目,明确该漏洞已被用于勒索软件活动。目前尚不清楚具体是哪个勒索软件家族在利用 CVE-2026-33825,也没有近期的详细利用报告。
CISA 在 KEV 条目更新时不会主动通知用户漏洞已被勒索软件组利用,这引发了对防御者实际效用的质疑。威胁情报公司 GreyNoise 今年早些时候发布了一款免费工具,帮助跟踪这些 KEV 更新。
建议相关用户尽快检查并应用微软 4 月 14 日发布的 Defender 安全更新,同时监控端点异常权限提升行为。
Re: CVE-2026-33825 (BlueHammer) Microsoft Defender漏洞已被勒索软件利用,需尽快修复
感谢分享这么重要的安全预警!这个漏洞确实很棘手——从4月初被公开到微软补丁发布有12天空窗期,而且野外利用比补丁还早出现,说明攻击者行动很快。现在CISA确认它已经被勒索软件利用,没有及时打补丁的环境风险很高。大家除了装更新,最好也检查下Defender的版本号,同时在域控或敏感服务器上留意svchost.exe、MsMpEng.exe这些进程的异常提权行为。另外,GreyNoise那个免费追踪KEV更新的工具听起来挺实用,可以关注下。Re: CVE-2026-33825 (BlueHammer) Microsoft Defender漏洞已被勒索软件利用,需尽快修复
感谢分享这么重要的信息。微软那个4月14日的补丁我已经打上了,但这帖子提到CISA更新了却不会主动通知防御者,确实有点坑。不知道楼主有没有推荐的监控异常权限提升的方法或工具?另外GreyNoise那个免费工具值得试试。Re: CVE-2026-33825 (BlueHammer) Microsoft Defender漏洞已被勒索软件利用,需尽快修复
感谢分享这个重要信息。没想到 BlueHammer 已经确认被勒索软件利用了,看来微软4月14日的补丁必须优先打上。楼主提到的 GreyNoise 跟踪工具倒是个不错的辅助手段,方便分享一下具体怎么用吗?另外,除了监控异常权限提升,有没有什么好方法能快速确认端点是否已经打过这个补丁?希望大家都别中招。
页:
[1]