安全研究员在Microsoft Defender中发现漏洞 与微软产生矛盾后公开漏洞

Microsoft Defender (以前叫 Windows Defender) 是 Windows 10/11 默认安全软件，在用户没有安装其他安全软件的情况下，微软将通过 Microsoft Defender 为系统提供必要的安全保护，例如基于云端的恶意文件查杀等功能。

不过有研究人员在该软件中发现安全漏洞，该漏洞被命名为红日 (Red Sun)，借助漏洞攻击者可以将恶意文件覆盖系统文件并进行权限提升，因此这款安全软件反而会成为黑客提权的跳板。

值得注意的是，这名研究人员其实还发现 Microsoft Defender 中的其他安全漏洞 (被命名为 BlueHammer)，但因为与微软安全响应中心出现矛盾，现在研究人员直接将漏洞公开，这也导致部分黑客已经开始利用漏洞发起攻击。


漏洞情况大致如下：

发现漏洞的安全研究人员昵称为 Chaotic Eclipse，其中红日漏洞主要是 Microsoft Defender 处理带有云标签的潜在恶意文件时出现行为异常，某些情况下该软件可能会将恶意文件恢复或重新写到磁盘上的原始位置。

借助这个缺陷研究人员编写的概念验证代码可以绕过 Microsoft Defender 安全防护并将恶意文件覆盖系统文件，从而让恶意文件获得更高的权限，从某种意义上说这个漏洞的潜在危害还是不小的。

值得注意的是这个漏洞本身不需要借助内核漏洞、破坏内存或者破坏 Microsoft Defender 内部代码，漏洞利用的是 Microsoft Defender 更新工作流程、卷影复制服务、Windows 云文件 API 和机会性锁定之间的交互问题 (竞争条件问题)。

以上所有流程都是合法且按照预期运行的，但如果以不同的顺序利用这些流程就可以触发漏洞，红日漏洞与 BlueHammer 配合使用可能会造成更多危害。

与微软矛盾激化导致漏洞公开：

相关漏洞目前已经被公开 --- 没有补丁、没有 CVE 编号、没有任何协调机制，本质原因是研究人员与微软 MSRC 认定漏洞标准时产生矛盾，MSRC 不愿意将漏洞归类为重大安全问题(不同危害等级的漏洞奖金不同)。

这名研究人员指责微软安全团队破坏部分安全研究社区，而不是支持试图报告漏洞的独立研究人员，当然除了 Chaotic Eclipse 外，也有其他研究人员抱怨过这类问题 (之前有几次在没有修复漏洞的情况下，研究人员直接公开漏洞)。

目前该系列漏洞共有 3 枚：Red Sun、BlueHammer 以及 UnDefend，由于 PoC 已经公开，所以黑客可以通过概念验证代码反推漏洞利用方式，这导致黑客开始利用漏洞发起攻击。

至于漏洞的真实性目前是没有任何问题的，已经有大量研究人员通过概念验证代码进行测试确认漏洞的真实性，所以对微软来说接下来可能要尽快修复漏洞并调查 MSRC 与研究人员之间的矛盾发生原因以及以后的处理方式。