回到上一頁

Windows零日漏洞BlueHammer PoC公開 研究員痛批Microsoft披露流程有問題

2026-04-10
一名化名「Chaotic Eclipse」的資安研究員於4月2日在GitHub與X平台公開Windows零日漏洞「BlueHammer」的概念驗證(PoC)程式碼,引發全球資安社群高度關注。該漏洞結合時間檢查到時間使用(TOCTOU)競態條件與路徑混淆,允許本地使用者存取Security Account Manager(SAM)資料庫、取得密碼雜湊並透過Pass-the-Hash技術提升至管理員權限,完全掌控系統。研究員公開PoC的主要原因,是不滿Microsoft Security Response Center(MSRC)對漏洞披露的處理態度。此事件再度凸顯Microsoft漏洞披露流程長期存在的透明度與效率問題,對台灣大量使用Windows系統的企業、政府與醫療機構構成嚴重威脅。
 
根據Retail & Hospitality-Information Sharing and Analysis Center(RH-ISAC)公告,BlueHammer漏洞位於Windows Defender簽章更新系統。攻擊者若成功利用,可在不需額外權限的情況下存取敏感系統檔案與憑證。Trend Micro Zero Day Initiative(ZDI)威脅意識主管Dustin Childs表示,雖然PoC目前在部分系統上運作不完全穩定,但「這是真實可用的利用程式碼」。Tharros首席漏洞分析師Will Dormann在Mastodon上證實,該PoC可在桌面系統上成功執行,但部分研究員指出在Windows Server上暫時無法運作,可能與伺服器平台的額外防護機制有關。
 
Chaotic Eclipse在GitHub README與X貼文中明確表達對Microsoft的不滿:「我沒有虛張聲勢,我再次這麼做了。」他質疑Microsoft在處理披露時的決策邏輯,「你明明知道會發生這種事,卻還是做了那樣的決定。」研究員並未詳細說明與MSRC的互動細節,但此舉反映部分研究人員對Microsoft漏洞處理流程的長期挫折感。
 
ZDI的Childs表示,這種不滿並不罕見。「我們過去也曾與MSRC有類似挫折。不少研究員告訴我,他們已不再研究Microsoft漏洞,因為披露流程太令人沮喪。」多年來,資安社群不斷批評Microsoft在漏洞披露的透明度與速度上表現不佳。雖然Microsoft在2023年將漏洞披露與透明度列為Secure Future Initiative(SFI)核心支柱,並宣稱已有改善,但近期事件顯示問題依然存在。
 
Microsoft在回應Dark Reading時強調,公司致力於調查回報的安全問題,並盡快為受影響裝置提供更新,以保護客戶。同時重申支持協調式漏洞披露(coordinated vulnerability disclosure),以兼顧客戶與研究社群利益。
 
目前Microsoft尚未正式承認或修補BlueHammer漏洞。Tenable資深研究工程師Scott Caveza指出,GitHub上已出現公開PoC,雖然尚未完全驗證,但預期攻擊活動將快速增加。「鑑於過去Fortinet與其他供應商漏洞被快速利用的紀錄,一旦更多利用程式出現,攻擊浪潮很可能擴大。」
 
CISA尚未將此漏洞列入KEV目錄,但專家預測,若PoC繼續流傳,納入KEV只是時間問題。Childs提醒,雖然目前利用似乎有限,但「一旦攻擊者解決穩定性問題,影響將非常廣泛」。
 
對台灣影響深遠。台灣企業、政府機關與醫療院所高度依賴Windows系統進行日常運作與關鍵業務。BlueHammer這類本地權限提升零日漏洞,若遭APT或勒索集團利用,可能導致內網橫向移動、憑證外洩、資料加密甚至整個系統被接管。近期台灣已多次傳出政府與企業系統遭勒索或資料外洩事件,此漏洞若未及時處理,風險將進一步升高。
 
資安專家建議台灣組織立即採取以下防護措施:
  1. 加強端點監控,特別注意Windows Defender相關進程與SAM資料庫存取異常。
  2. 實施最小權限原則,限制一般使用者執行高權限操作。
  3. 啟用Windows Credential Guard與LSA保護,防止密碼雜湊被傾印。
  4. 定期進行紅隊演練,模擬本地權限提升攻擊情境。
  5. 避免將管理帳號用於日常操作,強制使用標準帳號並搭配MFA。
  6. 持續關注Microsoft安全公告與CISA KEV目錄,優先處理高危Windows漏洞。
  7. 企業應建立漏洞披露與應變SOP,確保研究員回報能獲得快速且透明處理。
 
Childs總結:「零日漏洞公開後,攻擊者總是積極掃描並利用。組織必須把修補與監控視為最高優先事項,否則後果不堪設想。」
 
BlueHammer事件再度凸顯Microsoft在漏洞處理上的系統性挑戰。當研究員因失望而選擇公開PoC,受害的將是全球數億Windows用戶。台灣企業與政府單位應以此為鏡,加速強化端點防護與漏洞管理流程,避免成為下一個被「BlueHammer」擊中的目標。
 
 
出處: 基於Dark Reading文章《'BlueHammer' Windows Zero-Day Exploit Signals Microsoft Bug Disclosure Issues》,作者Elizabeth Montalbano,發布日期2026年4月10日;並參考RH-ISAC公告、Trend Micro ZDI、Tenable分析,以及Microsoft官方回應。