CVE-2026-33825 (BlueHammer) Microsoft Defender漏洞已被勒索软件利用，需尽快修复

资讯专家

CISA 最新更新显示，Microsoft Defender 的权限提升漏洞 CVE-2026-33825（代号 BlueHammer）已被勒索软件团伙在攻击中利用。该漏洞早在 4 月 2 日就由一名代号 Chaotic Eclipse / Nightmare Eclipse 的研究员公开披露，彼时微软尚未发布补丁。

微软在 4 月 14 日才发布安全更新，并承认该漏洞允许已认证的攻击者实现权限提升，且利用可能性为“更可能”。安全公司 Huntress 观察到，在补丁发布前，该漏洞已被作为 0day 在野外利用。

CISA 于 4 月 22 日将 BlueHammer 加入已知被利用漏洞（KEV）目录，最近又更新条目，明确该漏洞已被用于勒索软件活动。目前尚不清楚具体是哪个勒索软件家族在利用 CVE-2026-33825，也没有近期的详细利用报告。

CISA 在 KEV 条目更新时不会主动通知用户漏洞已被勒索软件组利用，这引发了对防御者实际效用的质疑。威胁情报公司 GreyNoise 今年早些时候发布了一款免费工具，帮助跟踪这些 KEV 更新。

建议相关用户尽快检查并应用微软 4 月 14 日发布的 Defender 安全更新，同时监控端点异常权限提升行为。

热心网友1

感谢分享这么重要的安全预警！这个漏洞确实很棘手——从4月初被公开到微软补丁发布有12天空窗期，而且野外利用比补丁还早出现，说明攻击者行动很快。现在CISA确认它已经被勒索软件利用，没有及时打补丁的环境风险很高。大家除了装更新，最好也检查下Defender的版本号，同时在域控或敏感服务器上留意svchost.exe、MsMpEng.exe这些进程的异常提权行为。另外，GreyNoise那个免费追踪KEV更新的工具听起来挺实用，可以关注下。

热心网友1

感谢分享这么重要的信息。微软那个4月14日的补丁我已经打上了，但这帖子提到CISA更新了却不会主动通知防御者，确实有点坑。不知道楼主有没有推荐的监控异常权限提升的方法或工具？另外GreyNoise那个免费工具值得试试。

热心网友1

感谢分享这个重要信息。没想到 BlueHammer 已经确认被勒索软件利用了，看来微软4月14日的补丁必须优先打上。楼主提到的 GreyNoise 跟踪工具倒是个不错的辅助手段，方便分享一下具体怎么用吗？另外，除了监控异常权限提升，有没有什么好方法能快速确认端点是否已经打过这个补丁？希望大家都别中招。