微软已发布周二补丁更新,修复Microsoft Defender反恶意软件平台中新发现的0Day漏洞。该漏洞于2026年4月14日披露,编号为CVE-2026-33825,被评定为"重要"级别。
若成功利用,该权限提升漏洞可使攻击者绕过标准权限限制,在受影响设备上获取完整的SYSTEM权限。
Defender 0Day漏洞技术分析
漏洞根源在于Microsoft Defender反恶意软件平台中存在访问控制粒度不足问题(CWE-1220)。该平台包含用户态二进制文件(如MsMpEng.exe)和内核态驱动程序,用于保护Windows设备。
由于访问控制缺陷,已获得本地基本权限的攻击者可利用该漏洞将权限提升至最高级别。获取SYSTEM权限对组织机构构成严重威胁,攻击者可借此关闭安全工具、安装持久性恶意软件、访问敏感数据,以及创建具有完全管理权限的新账户。
根据微软CVSS 3.1评分体系,该漏洞基础评分为7.8分,主要技术特征包括:
- 攻击向量:需本地访问权限,攻击者需已控制目标机器
- 攻击复杂度:低,获得本地访问后较易实施攻击
- 用户交互:无需用户交互,可静默运行
- 权限要求:低权限账户即可触发提权
漏洞现状与影响
安全研究人员Zen Dodd和Yuanpei XU向微软报告了该漏洞。虽然技术细节已公开,但微软表示尚未发现野外利用案例。不过微软评估漏洞被利用的可能性"较高",预计威胁分子将很快开发出有效利用代码。
值得注意的是,企业漏洞扫描器可能误报已禁用Microsoft Defender的系统。这是因为受影响的二进制文件仍存在于硬盘中。微软澄清禁用Defender的系统实际上不可被利用,但仍建议更新。
缓解措施
微软会定期更新恶意软件定义和底层平台以应对新威胁。多数企业环境和家庭用户的默认配置会自动下载安装这些关键更新。该漏洞影响4.18.26020.6及以下版本,已在4.18.26030.3011版本中完全修复。组织和个人用户应手动验证更新状态以确保完全防护。
检查当前版本步骤:
- 通过Windows搜索栏打开Windows安全应用
- 进入"病毒和威胁防护"部分
- 点击"保护更新"并选择"检查更新"
- 打开设置,选择"关于",查看"反恶意软件客户端版本"
- 确保版本号等于或高于4.18.26030.3011
管理员应定期审核软件分发工具,确保Windows Defender反恶意软件平台的自动部署在整个网络中正常运行。