Microsoft Defender/BitLocker 零日風波:香港 Windows 用家要做多步檢查
Tech News

Microsoft Defender/BitLocker 零日風波:香港 Windows 用家要做多步檢查

圖片:via TechCrunch — https://techcrunch.com/2026/05/29/microsoft-under-fire-for-threatening-security-researcher-with-criminal-investigation/
TechLab 編輯部(譯)·

PoC 公開後,重點唔止 Windows Update

Microsoft Defender/BitLocker 零日風波:香港 Windows 用家要做多步檢查

圖:TechCrunch.原文連結

今次 Microsoft 風波唔係一般「又有 Windows 漏洞」咁簡單。事件牽涉 Microsoft Defender、BitLocker、多個零日漏洞、公開 proof-of-concept(PoC)程式碼,仲有 Microsoft 對一名獨立保安研究員提出可能採取法律同執法行動嘅表態。香港公司電腦、學校機房、BYOD 手提電腦,以至返屋企繼續做嘢嘅公司 notebook,都好大機會依賴 Windows、Defender 或 BitLocker。呢類產品唔分港行水貨,受影響面係全球;香港要睇嘅唔係人物爭拗,而係手上 Windows 機有冇真係收到相關更新。

TechCrunch 2026 年 5 月 29 日報道,研究員 Nightmare Eclipse 公開咗一系列 Microsoft 產品漏洞同 exploit code 後,Microsoft 喺 5 月 27 日 MSRC blog 指摘相關漏洞未經協調披露,令客戶承受不必要風險。Microsoft 點名 BlueHammer、RedSun、UnDefend、YellowKey 等漏洞,受影響範圍包括內置防毒 Microsoft Defender 同磁碟加密工具 BitLocker。研究員一方喺個人 blog 聲稱曾同 Microsoft 接觸、遭不當對待、甚至 MSRC 帳戶被移除,但呢啲講法暫時未有獨立證實;TechCrunch 亦指 Microsoft 同研究員都未回覆查詢。

爭議背後係披露制度,不只是人物衝突

保安漏洞披露本來就係一條好窄嘅鋼線。廠商需要時間重現問題、寫修補程式、測試相容性;研究員又擔心廠商拖延、低估影響,甚至唔承認漏洞價值。Microsoft 今次用「responsible」同「coordinated」披露去批評研究員,重申應先畀廠商處理,再公開細節。問題係,當 Microsoft 同時提到 Digital Crimes Unit 會同執法機構合作,資訊保安社群自然會擔心:公開 PoC 係咪會被重新包裝成刑事風險?呢個擔心唔係為咗合理化亂放 exploit,而係怕研究員同廠商之間嘅信任再跌一級。

協調披露嘅真正價值,唔係幫大公司控制公關,而係畀用家喺攻擊細節廣泛流傳之前有修補時間。反過來講,未修補前公開可運作 PoC,尤其係針對預設存在、權限高、更新機制複雜嘅保安產品,會即刻縮短攻擊者「由睇文到落手」嘅距離。今次唔應該喺討論區、公司 Slack 或社交平台轉貼 exploit 片段、程式碼、逐步攻擊流程;IT team 需要嘅係 CVE、受影響版本、修補版本、官方緩解方法同偵測方向,唔係將攻擊教學再放大。

Defender 漏洞點解特別麻煩

BlueHammer 對應 CVE-2026-33825,MSRC 喺 2026 年 4 月 14 日發布條目,標示為 Microsoft Defender 權限提升漏洞,CVSS 3.1 基本分 7.8,嚴重程度係 Important。Microsoft 條目話漏洞可令已登入本機嘅攻擊者提升權限,成功利用可取得 SYSTEM 權限;FAQ 亦列明受影響嘅 Defender Antimalware Platform 最後版本係 4.18.26020.6,修補後第一個版本係 4.18.26030.3011。CISA 其後喺 4 月 22 日將 CVE-2026-33825 加入 Known Exploited Vulnerabilities catalog,要求美國聯邦機構限期處理。即使 Microsoft 自己條目同 CISA catalog 對「已被利用」嘅呈現未必完全同步,企業風險判斷都應該用較嚴格一邊。

RedSun 同 UnDefend 就係第二層警號。RedSun 對應 CVE-2026-41091,同樣係 Microsoft Defender 權限提升漏洞,MSRC 5 月 19 日發布,標示為已偵測到利用,修補後第一個 Microsoft Malware Protection Engine 版本係 1.1.26040.8。UnDefend 對應 CVE-2026-45498,MSRC 分類係 Defender 拒絕服務漏洞,CVSS 只有 4.0,但同樣標示為已偵測到利用,修補後第一個 Defender Antimalware Platform 版本係 4.18.26040.7。低分唔代表可以等,因為防護產品一旦被拖慢、阻截更新或配合其他漏洞鏈使用,實際影響可以比單一 CVSS 分數更大。

對一般 Windows 機嚟講,唔可以只睇「Windows Update 顯示已完成」就當過關。Defender 有平台、引擎同安全情報更新,MSRC FAQ 亦提醒用家要核對 Microsoft Malware Protection Platform/definition updates 是否有正常下載同安裝。個人機可以入 Windows Security,睇 Virus & threat protection 入面嘅 Protection updates,再喺 Settings/About 查 Antimalware ClientVersion、Engine Version 同 Security Intelligence Version;公司機就應該由 Intune、Defender for Endpoint、ConfigMgr、WSUS 或其他 RMM 報表集中核對。重點係核對版本同成功率,唔係淨係見到「有更新政策」就收工。

BitLocker 牽涉實體風險

YellowKey 對應 CVE-2026-45585,係 Windows BitLocker security feature bypass。MSRC 5 月 19 日條目列明,PoC 已公開,Microsoft 先提供緩解指引,直至安全更新可用;漏洞需要實體接觸目標裝置,成功後可繞過系統儲存裝置上嘅 BitLocker Device Encryption,取得加密資料。呢個風險同 remote exploit 唔同,但對香港實際工作場景好貼地:銷售同管理層手提電腦日日帶出街、學校或 NGO notebook 借用流轉、外判維修時裝置離開公司視線,全部都係「實體接觸」可以發生嘅地方。MSRC 亦提到使用 TPM+PIN 時該漏洞不可被利用,但部署前要考慮用家支援、復原密鑰管理同裝置管理流程。

GovCERT.HK 早喺 2026 年 5 月 14 日已就 YellowKey 同 GreenPlasma 發出 High Threat Security Alert,指有研究員公開 PoC exploit code,相關漏洞可令攻擊者繞過 BitLocker 加密讀取資料,或喺系統取得 SYSTEM 權限;受影響系統列為 Windows 11 同 Windows Server 2022、2025、2026。呢份本地官方提示無講香港已出現受害個案,目前公開資料亦未見有本地個案確認,所以唔應該硬作「香港中招」。但它足以支持一個判斷:對有 Windows 11、BitLocker、公司手提電腦同外判 IT 管理嘅香港機構,呢件事已經係實務風險,而唔係海外社群八卦。

香港公司同學校要點樣落地

香港 IT team 第一件事係建立一張可核對清單,而唔係喺群組追逐 exploit 名字。建議用以下方向做一次快速盤點:

  • 確認 Windows Update 已安裝最新累積更新,並完成重新啟動;舊機、長期休眠 notebook、只間中返公司 VPN 嘅 BYOD 要逐部查。
  • 核對 Defender 平台、引擎同安全情報版本,最少要覆蓋 CVE-2026-33825、CVE-2026-41091、CVE-2026-45498 所要求嘅修補後版本或更新版本。
  • 用 Intune、Defender for Endpoint、ConfigMgr、WSUS 或 RMM 拉出失敗清單,特別留意「政策存在但實際未更新」嘅裝置。
  • 對已開 BitLocker 或 Device Encryption 嘅手提電腦,評估高風險群組是否需要 TPM+PIN,同時確認復原密鑰有妥善保存喺 Entra ID、AD 或 MDM。
  • 如要套用 YellowKey 緩解方法,只跟 MSRC 原文同內部變更流程;唔好執行網上轉載腳本,亦唔好將官方腳本拆出再喺群組傳來傳去。

呢件事亦提醒咗一個常被忽略嘅現實:保安工具本身都係 attack surface。Defender 因為內置、覆蓋面大、權限高,出事時自然特別吸引攻擊者;但轉用第三方 endpoint security 並唔代表風險消失,其他防毒或 EDR 一樣有掃描引擎、更新管道、核心驅動同高權限服務。真正穩陣嘅做法係 defense-in-depth:最少權限、app control、EDR log、備份、裝置加密、管理員帳戶分離、修補 SLA,同埋外判 IT 合約入面要寫清楚 Defender 平台/引擎更新唔可以只當「Windows patch」附帶處理。

最後,Microsoft 需要處理嘅唔止係幾個 CVE,而係同研究員社群嘅信任;研究員需要承擔嘅亦唔止係「揭露真相」,而係避免將可直接使用嘅攻擊細節交到更多人手上。對香港用家同 IT 管理員,最務實嘅落點係:唔轉載 exploit、不憑單一截圖判斷已修補、逐部核對 Defender 版本同 BitLocker 設定、持續追 MSRC 同 GovCERT/HKCERT 更新。如果某部機嘅版本、緩解狀態或復原密鑰位置答唔到,就先標成 [待確認],再當成未處理風險跟進。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook