微软补丁都救不了?Windows Defender漏洞已被勒索软件利用
网络安全圈最近又炸了锅。一个名为BlueHammer的Windows Defender漏洞,已经被勒索软件团伙盯上并投入实战。美国网络安全和基础设施安全局(CISA)上周正式发出警告,确认该漏洞正被用于勒索软件攻击。然而,微软早在4月14日就发布了补丁——这中间隔了整整一个半月。
BlueHammer:一个条件竞争漏洞的威力
BlueHammer的发现者是一位颇具争议的黑客Nightmare Eclipse。这个漏洞本质上是一个条件竞争(race condition)问题,攻击者只需运行一个小脚本,就能通过Windows Defender获取SYSTEM权限的shell。换句话说,双击一下,整个系统的控制权就拱手让人了。这简直是攻击者的福音,也是防御者的噩梦。
微软的补丁发布得并不算慢,但现实再次证明:发布补丁只是万里长征第一步,让所有设备都装上补丁才是真正的难题。据安全厂商Absolute的最新报告,Windows 10和11的关键操作系统补丁平均应用滞后时间高达127天(超过4个月),相比去年几乎翻倍。即使在企业环境中,平均补丁时间也达到了惊人的76天(2.5个月)。这意味着,有一半的机器在更长的时间内处于未打补丁的状态。
为何漏洞被大规模利用?
BlueHammer之所以被勒索软件团伙青睐,是因为它带来的SYSTEM shell权限极高,攻击者不仅可以加密用户数据文件,还能直接动操作系统或引导进程,让机器彻底变砖。这比传统勒索软件更具破坏性。
另一个不容忽视的问题是Windows 10的迁移困境。根据统计,目前仍有15%到26%的Windows 10机器在运行。即使微软两次延长了安全更新(ESU)的支持期限,将最终结束日期推至2027年10月14日,但公众的补丁意识薄弱,这些机器注定长期暴露在风险中。
黑客的“七月预告”
Nightmare Eclipse在披露BlueHammer后曾短暂沉寂,但最近他们高调宣布“休息结束”,并暗示7月将发布一些“极其有趣、可能引发争议”的发现。这无疑给安全社区拉响了警报。
对于普通用户来说,唯一能做的就是尽快安装系统更新,不要等到被勒索了才后悔。毕竟,在网络安全这场博弈中,补丁就是你的第一道防线。