杀毒软件本该是系统的最后一道防线,但一位代号"混沌日食"的安全研究员发现:Windows Defender在某些情况下会主动帮恶意程序"恢复原状"——包括那些被篡改的系统文件。更戏剧性的是,这位研究员声称因与微软的冲突,选择公开这个零日漏洞作为报复。
漏洞原理:云标签触发的"强迫症"行为
这个被命名为"红日"(RedSun)的漏洞,核心逻辑令人哭笑不得。
Windows Defender检测到带"云标签"的恶意文件时,会执行一个匪夷所思的操作:把文件重新写回原位置。研究员「混沌日食」的原话是:"不管出于什么愚蠢又好笑的原因,这个本该保护系统的杀毒软件,居然觉得把发现的文件重新写回去是个好主意。"
攻击者利用这个行为,可以覆盖系统文件并获取管理员权限。BleepingComputer已验证该漏洞有效,且VirusTotal上部分杀毒厂商已开始检测相关样本——因为概念验证程序中嵌入了EICAR测试文件。
影响范围覆盖最新版Windows 10、Windows 11及Windows Server,且无需关闭Defender即可利用。
十天内的第二次"复仇"披露
这并非孤例。约10天前,同一位研究员公开了"蓝锤"(BlueHammer)提权漏洞。
两次披露都伴随着对微软的激烈指控。「混沌日食」声称微软"会毁了我的生活,而他们确实这么做了",并描述与微软安全团队的合作经历是"糟糕透顶的体验",对方"用尽了各种幼稚的手段"。
具体冲突细节未公开,但研究员明确表示:选择公开而非按常规流程报告,是对微软处理方式的不满。
安全社区的尴尬处境
这一事件暴露了漏洞披露机制的深层张力。
传统上,安全研究员发现漏洞后应遵循"负责任披露"流程:先通知厂商,给予修复时间窗口,再公开细节。但"混沌日食"选择了"完全披露"——直接发布概念验证代码,让全球攻击者都能立即利用。
微软的处境同样微妙。Defender作为内置杀毒软件,拥有系统级权限本就必要,但这也意味着任何逻辑缺陷都会被放大。云标签机制的设计初衷可能是同步多设备间的安全状态,却意外创造了可被滥用的攻击面。
更值得玩味的是检测悖论:VirusTotal上的厂商因EICAR测试文件而标记该样本,但这恰恰说明传统特征码检测对新型攻击的滞后性——真正的威胁不在于测试文件本身,而在于Defender的异常行为逻辑。
企业用户的即时应对
在微软发布补丁前,企业安全团队需要关注几个实操要点。
首先,监控涉及系统文件覆盖的异常活动,特别是来自Defender进程的文件写入操作。其次,审查终端防护策略中关于云保护功能的配置,评估是否需要临时调整以缩小攻击面。最后,将此类"预期内组件的异常行为"纳入威胁狩猎的检测逻辑——传统杀毒可能因信任Defender而放行。
这一漏洞的独特之处在于:攻击者不躲避杀毒软件,而是利用杀毒软件自身的"纠错"机制完成渗透。对于依赖Windows生态的组织,这提醒我们需要重新审视"内置即安全"的假设。
行动建议
如果你是企业安全负责人,本周内做三件事:检查Defender版本更新状态,在测试环境验证漏洞影响范围,并向微软支持渠道施压获取补丁时间表。如果你是安全研究员,这一案例提供了关于"厂商关系管理"的反面教材——但公开零日漏洞作为报复手段,长远看会损害整个社区的信任基础。行业需要更透明的漏洞处理流程,也需要更成熟的冲突解决机制,而不是让技术问题演变成公开对抗。
热门跟贴