jamal-soc21/Weekly-Breach-Investigation--003-

# 每周漏洞调查 — 2026年4月 摘要： 威胁行为者正在积极利用三个泄露的 Windows Defender 权限提升漏洞（BlueHammer、RedSun、UnDefend）。公开的概念验证（PoC）漏洞利用已在 GitHub 上发布，并被用于针对企业目标的攻击。 关键要点： - BlueHammer（CVE‑2026‑33825）已在 2026 年 4 月更新中修复。 - RedSun 和 UnDefend 仍未被修复，并正在被积极利用。 - 漏洞利用可在无需内核漏洞的情况下实现 SYSTEM 级别的权限提升。 - Huntress 确认使用了类似 FunnyApp.exe、RedSun.exe 和 Undef.exe 的文件名进行实际攻击。 结论： 此案例凸显了公开 PoC 武器化的风险以及及时修复的紧迫性。观察到的行为已映射到 MITRE ATT&CK 框架，以便进行标准化分析。

标签：AI合规, April 2026, APT 攻击, BlueHammer, CVE-2026-33825, FunnyApp.exe, GitHub 武器化, Huntress, MITRE ATT&CK 映射, PoC 公开, Privilege Escalation, RedSun, RedSun.exe, RFI远程文件包含, UnDefend, Undef.exe, Web报告查看器, Windows Defender, Windows 安全, 企业威胁, 内核漏洞, 协议分析, 威胁情报, 安全补丁, 开发者工具, 恶意文件名, 未修复漏洞, 权限提升, 系统权限, 逆向工具, 防御加固