Chaotic Eclipse 五個零時差漏洞串成完整 Windows 攻擊鏈

研究員 Chaotic Eclipse(Nightmare-Eclipse)因不滿微軟漏洞通報流程,在 2026 年 5 月例行安全更新(Patch Tuesday)後公布 5 個 Windows 零時差漏洞。資安公司 LevelBlue 警告這些漏洞雖 PoC 不完整,但具備 Windows 核心知識者即可串成完整攻擊鏈。

漏洞群組

漏洞名稱CVE功能狀態
BlueHammerCVE-2026-33825權限提升至 SYSTEM已修補
RedSun權限提升至 SYSTEM未修補
UnDefend癱瘓 Microsoft Defender未修補
YellowKeyCVE-2026-45585繞過 BitLocker 加密僅緩解措施
GreenPlasma另一種權限提升途徑未修補

攻擊鏈特性

  • 無記憶體損壞:直接濫用 Windows 合法元件
  • 不繞過硬體安全機制:迴避傳統端點防護偵測
  • 兩種完整攻擊場景:遠端網路攻擊 / 實體接觸攻擊

攻擊場景

遠端網路攻擊: 初始存取 → BlueHammer/RedSun/GreenPlasma 提升至 SYSTEM → UnDefend 干擾 Defender → 竊取憑證 → 橫向移動

實體接觸攻擊: USB 觸發 YellowKey → Shell 權限存取加密資料 → RedSun/GreenPlasma 提升 SYSTEM → UnDefend → 靜默資料外洩或隧道通訊

緩解建議

  • 套用 BlueHammer 修補(CVE-2026-33825)
  • 套用 YellowKey 官方緩解措施(修改 WinRE、設置 BitLocker/TPM PIN)
  • 監控 USB 裝置存取與 Defender 狀態異常

相關實體

  • microsoft — 受影響平台,已修補 BlueHammer,公布 YellowKey 緩解措施
  • levelblue — 發出攻擊鏈警告的資安公司

來源文章