Chaotic Eclipse 五個零時差漏洞串成完整 Windows 攻擊鏈
研究員 Chaotic Eclipse(Nightmare-Eclipse)因不滿微軟漏洞通報流程,在 2026 年 5 月例行安全更新(Patch Tuesday)後公布 5 個 Windows 零時差漏洞。資安公司 LevelBlue 警告這些漏洞雖 PoC 不完整,但具備 Windows 核心知識者即可串成完整攻擊鏈。
漏洞群組
| 漏洞名稱 | CVE | 功能 | 狀態 |
|---|---|---|---|
| BlueHammer | CVE-2026-33825 | 權限提升至 SYSTEM | 已修補 |
| RedSun | — | 權限提升至 SYSTEM | 未修補 |
| UnDefend | — | 癱瘓 Microsoft Defender | 未修補 |
| YellowKey | CVE-2026-45585 | 繞過 BitLocker 加密 | 僅緩解措施 |
| GreenPlasma | — | 另一種權限提升途徑 | 未修補 |
攻擊鏈特性
- 無記憶體損壞:直接濫用 Windows 合法元件
- 不繞過硬體安全機制:迴避傳統端點防護偵測
- 兩種完整攻擊場景:遠端網路攻擊 / 實體接觸攻擊
攻擊場景
遠端網路攻擊: 初始存取 → BlueHammer/RedSun/GreenPlasma 提升至 SYSTEM → UnDefend 干擾 Defender → 竊取憑證 → 橫向移動
實體接觸攻擊: USB 觸發 YellowKey → Shell 權限存取加密資料 → RedSun/GreenPlasma 提升 SYSTEM → UnDefend → 靜默資料外洩或隧道通訊
緩解建議
- 套用 BlueHammer 修補(CVE-2026-33825)
- 套用 YellowKey 官方緩解措施(修改 WinRE、設置 BitLocker/TPM PIN)
- 監控 USB 裝置存取與 Defender 狀態異常
相關實體
來源文章
- ithome-2026-05-21-chaotic-eclipse-zero-day-chain-176004 — LevelBlue 警告主報導
- ithome-2026-05-21-bitlocker-yellowkey-cve-2026-45585-176002 — 微軟 YellowKey 緩解措施報導
- ithome-2026-05-22-security-weekly-0518-0522-176056 — 資安週報確認(2026-05-22)