研究人員對微軟回應BlueHammer感到失望，公布新的Microsoft Defender零時差漏洞RedSun

根據資安新聞網站Bleeping Computer報導，Chaotic Eclipse疑似對微軟處理BlueHammer的過程頗有微詞，於4月16日公布新的漏洞RedSun。針對上述研究人員指控，微軟向Bleeping Computer說明，該公司承諾會調查獲報的資安問題，並儘快更新受影響的裝置，保護用戶的安全。這樣的說法，還是相當制式，也無從得知微軟對RedSun掌握的情形。

值得留意的是，有資安專家根據Chaotic Eclipse公布的資料，指出該漏洞確實存在。Tharros首席漏洞分析師Will Dormann透過社群網站Mastodon指出，在已套用最新發布更新的Windows 10、Windows 11，以及Windows Server 2019，並啟用Microsoft Defender的情況下，未具備特殊權限的攻擊者的確能將權限提升到SYSTEM層級。Dormann指出，只要作業系統存在cldapi.dll元件，就有可能受到RedSun影響。

Dormann透露RedSun其他細節，該漏洞利用了Cloud Files API，攻擊者只要將EICAR寫入使用該API的檔案，然後利用機會鎖定（oplock）贏得與磁碟區陰影複製服務之間的條件競爭，並利用資料夾的交接點或重解析點（junction/reparse point）將檔案重寫，然後重新導向在C:\Windows\system32\TieringEngineService.exe覆寫檔案。此時，Cloud Files基礎設施就會以SYSTEM的權限，執行攻擊者植入的TieringEngineService.exe。

而對於揭露RedSun的原因，Chaotic Eclipse在部落格文章說明，在BlueHammer受到資安媒體廣泛報導後，微軟提出了極為制式的回應，突顯該公司並未重視研究員的訴求。Chaotic Eclipse認為，微軟很清楚BlueHammer一定會被公開，雖然獲報後將其立案，但後續還是選擇了駁回。Chaotic Eclipse與微軟安全性回應中心（MSRC）交涉時，發生什麼狀況？顯然有待雙方進一步說明。透過GitHub公開的文件，Chaotic Eclipse解釋發現這個漏洞的動機與原因。首先，他通常只提供概念驗證程式碼（PoC），其他人必須自行解析，但這次他覺得太可笑而決定說明原委，當Microsoft Defender發現惡意檔案具有雲端標籤時，本應隔離惡意軟體的防毒軟體，竟試圖將檔案還原到原本的位置，而他的概念驗證程式碼就是利用上述問題，成功覆蓋系統檔案並取得管理員權限。