
Microsoft 零日披露風波:Windows 用家同 IT admin 真正要怕咩
爭議背後係 Defender 修補、平台封鎖同披露信任危機

圖:The Verge.原文連結
Microsoft 呢單零日漏洞風波,表面係一名匿名安全研究員 Nightmare Eclipse 同大公司公開反面;實際上,牽涉到每部 Windows 電腦點樣收修補程式、IT team 點樣判斷零日風險、開發者又應唔應該喺 GitHub 或 GitLab 接觸同保存 exploit code。The Verge 原文好短,但件事唔止係「研究員爆料」咁簡單,因為部份漏洞已經被指喺真實攻擊入面出現,受影響範圍又包括 Defender、BitLocker 呢啲企業同個人用家都會依賴嘅底層保護。
要先講清楚,依家有兩層事實要分開。Microsoft MSRC 5 月 27 日嘅官方文章話,近期多個零日漏洞喺未有預先交畀 Microsoft 嘅情況下公開,並點名 RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 同 MiniPlasma;Microsoft 認為未修補漏洞配合 PoC 程式碼公開,會將客戶放喺不必要風險之中。另一邊,Nightmare Eclipse 聲稱自己曾經嘗試同 Microsoft 溝通,亦指 MSRC 帳戶被撤銷;TechCrunch 報道話 Microsoft 同研究員都未有回應查詢,所以呢部份仍然要用「研究員單方面指控」處理,唔應該寫成已經確認嘅內情。
爭議點唔止係「有冇報漏洞」
協調漏洞披露(CVD)本身唔係官腔。正常流程係研究員先私下畀廠商足夠資料,廠商重現問題、寫修補程式、準備客戶指引,之後先公開詳情。呢個安排有現實原因:PoC 可以幫防守方驗證風險,但同一份資料亦可以幫攻擊者更快將漏洞武器化。Microsoft 今次最硬嘅一句,係話未協調公開、又將未修補漏洞嘅 PoC 放到壞人手上,永遠唔可以合理化,而且有真實後果。
不過資訊保安業界嘅反彈,亦唔係完全無由來。TechCrunch 引述前 Microsoft 人、漏洞賞金先驅 Katie Moussouris 批評,Microsoft 重新用「負責任披露」呢種帶道德審判味道嘅字眼,再加上提到 Digital Crimes Unit 同執法機構,會令研究員更加唔信任 Microsoft。Kevin Beaumont 亦質疑,如果把未跟足廠商流程嘅 PoC 發佈推向刑事化,會令漏洞披露關係更加惡化。換句話講,Microsoft 想保護客戶,但用法律陰影處理研究員關係,亦可能令下一個研究員寧願沉默、轉去黑市,或者直接公開。
GitHub、GitLab 封帳戶令事情更複雜
The Verge、TechCrunch 同 The Hacker News 都提到,Nightmare Eclipse 相關 GitHub、GitLab 帳戶其後被封鎖;The Verge 亦指 MSRC 帳戶被停用。GitHub 由 Microsoft 擁有,呢點令外界更容易質疑平台管理同廠商利益之間有衝突;但 GitLab 亦被指封鎖相關帳戶,反映問題唔只係 Microsoft 自家平台,而係開源寄存平台面對可用 exploit code 時,通常都會傾向降低即時傷害。
呢度真正麻煩嘅位係,平台封鎖可以阻止 exploit code 繼續擴散,但如果研究員嘅正式回報渠道同時被切斷,就會令「請你負責任回報」變得好抽象。Microsoft 官方文章話,無論過往互動或名聲如何,仍然歡迎任何人透過公開研究員入口提交漏洞;但外界見到嘅故事,係研究員話自己被封、媒體又報道帳戶被移除。信任一旦跌穿,下一次零日漏洞出現時,IT team 要面對嘅唔係漂亮流程圖,而係突然喺網上出現嘅 PoC、未必齊全嘅廠商指引,同一堆需要即日排序嘅補丁。
Defender 同 BitLocker 點解咁敏感
今次被點名嘅漏洞入面,Defender 相關風險特別值得理會。CISA 已將 CVE-2026-33825、CVE-2026-41091 同 CVE-2026-45498 加入 Known Exploited Vulnerabilities 目錄;Help Net Security 亦整理過,CVE-2026-41091 涉及本機權限提升,成功利用後可取得 SYSTEM 權限,而 CVE-2026-45498 則可令 Defender 進入阻斷服務狀態。簡單講,一個係令攻擊者由普通權限爬上系統最高權限,另一個係干擾保護工具本身運作,兩者都唔係普通 app crash 咁輕微。
BitLocker 方面,爭議集中喺 YellowKey,即 CVE-2026-45585,被描述為繞過保安功能嘅問題。呢類漏洞對企業手提電腦、學校裝置、外勤員工尤其敏感,因為 BitLocker 往往係遺失裝置之後最後一道保護。不過,呢篇唔會重述 PoC 或操作細節,原因好直接:安全新聞可以講風險、講修補、講流程,但唔應該幫人重製攻擊路線。公司內部亦一樣,唔好將 exploit code 貼入 ticket、群組或私人 repo 當「資料備份」,需要分析就交畀獲授權嘅安全 team 喺隔離環境處理。
香港受影響唔係靠估
香港角度唔需要硬砌。StatCounter 2026 年 4 月香港桌面操作系統數據顯示,Windows 佔 69.53% 桌面 OS 網頁瀏覽份額;呢個唔等於官方裝機量,但足夠說明 Windows 喺本地辦公、學校、家用電腦仍然係主流。再加上 Microsoft 365、Defender for Endpoint、BitLocker 同 GitHub 喺中小企、開發團隊同學校環境都好常見,零日披露風波唔係外國公司八卦,而係會直接影響本地 patch 管理節奏。
HKCERT 已喺 5 月 21 日將 Microsoft Defender 多個漏洞列為高度風險,並標明 CVE-2026-41091 同 CVE-2026-45498 正被廣泛利用;公告亦提到可導致阻斷服務、權限提升,更新後更包括遙距執行程式碼影響。GovCERT 5 月 20 日高危保安警報亦指,有報告顯示 CVE-2026-41091、CVE-2026-45498 同 CVE-2026-45585 正受到攻擊,受影響系統包括 Defender Antimalware Platform、Malware Protection Engine、Windows 11 24H2 / 25H2 / 26H1 及 Windows Server 2025,並建議系統管理員立即為受影響系統安裝修補程式。
公司 IT team 應該點處理
對公司 IT team 嚟講,今次唔應該等下一個月例行維護窗口先處理。第一步係核對 Defender Malware Protection Engine 同 Antimalware Platform 是否已更新到 Microsoft 修補版本,並確認離線手提電腦、長期出差裝置、實驗室機、課室電腦同 Server Core 安裝都有收更新。第二步係將 CISA KEV、HKCERT 同 GovCERT 告警放入漏洞排序,凡係被標示正被利用,就應該比普通中度漏洞有更高優先級。
實務上,可以用一份短 checklist 處理:
- 檢查 Windows Update、Microsoft Update Catalog、Intune、WSUS 或 EDR 主控台入面嘅 Defender engine / platform 版本。
- 對未能即時更新嘅端點建立例外清單,寫低原因、負責人同下一次檢查時間。
- 監察 Defender 失效、保護被關閉、權限異常提升同 BitLocker 狀態改變嘅告警。
- 禁止喺公司 GitHub、GitLab、Slack、Teams 或 ticket 系統轉載 PoC / exploit code。
- 如要做重現或威脅獵捕,只限授權安全人員喺隔離 lab 做,並保存審計記錄。
個人 Windows 用家要做嘅事冇咁複雜,但都唔係「開住自動更新就算」。應該手動檢查 Windows Update 同 Windows Security 入面嘅保護更新,重開機完成修補,並留意公司或學校 IT team 發出嘅強制更新通知。用緊 BitLocker 嘅手提電腦,亦應該確認復原金鑰由可信渠道保存,唔好亂放喺截圖、共享文件夾或私人聊天紀錄。呢啲步驟唔會令所有零日風險消失,但可以令攻擊者少一個現成入口。
開發者要學到嘅另一課
對香港開發者同安全研究員,今次亦係一個提醒:GitHub、GitLab 唔係永久中立嘅保險箱,尤其內容牽涉未修補漏洞同可執行攻擊路線時,平台可以基於風險、法務或濫用政策移除帳戶或內容。研究員如果真係要披露漏洞,最好一開始就保存時間線、通訊記錄、影響範圍、重現條件同已嘗試嘅協調渠道;如果廠商無回應,亦可考慮經 CERT 或其他協調者處理,而唔係直接將可用攻擊程式碼公開。
Microsoft 呢次處理方式可以批評,Nightmare Eclipse 公開 PoC 嘅做法亦唔應該美化。對真正要守系統嘅人嚟講,兩邊輸贏唔係重點;重點係 Windows 保護鏈入面有漏洞、部份漏洞已被列入正被利用清單,而平台封鎖同法律語氣會令下一次披露更難預測。企業要把零日披露當成即時事故處理,而唔係公關新聞;個人用家就要把更新做完,唔好轉載 exploit code,亦唔好等到勒索軟件或資料外洩先追問點解無 patch。
參考來源
- The Verge — Microsoft is threatening legal action for disclosing exploits — original report
- A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure — Microsoft MSRC 官方立場,列出被點名漏洞同協調披露說法。
- Microsoft under fire for threatening security researcher with criminal investigation — 補充法律行動爭議、研究員指控、帳戶封鎖同業界反應。
- Microsoft Slams Public Zero-Day Disclosures Amid GitHub Researcher Account Removal — 整理六個漏洞名稱、受影響 Windows 元件同 GitHub/GitLab 帳戶處理。
- CISA Known Exploited Vulnerabilities Catalog — 核對 CVE-2026-33825、CVE-2026-41091、CVE-2026-45498 已列入 KEV。
- Microsoft Defender 多個漏洞 — 香港本地保安公告,標示 Defender 漏洞為高度風險及正被廣泛利用。
- 高危保安警報 (A26-05-33): Microsoft 產品多個漏洞 — GovCERT 本地高危警報,列明受影響 Microsoft 產品同立即修補建議。
- Desktop Operating System Market Share Hong Kong — 提供香港桌面 OS 份額背景,支持 Windows 本地影響角度。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







