研究員怒懟微軟、公開漏洞代碼，駭客隔天就得手

當「守門人」親手打開了門，攻擊者只需要走進去。

本月，一名自稱Chaotic Eclipse的安全研究員，因對微軟積怨已久，將三個Windows高危漏洞的攻擊代碼公開發布在網路上。兩週之內，駭客已利用這些現成代碼，成功入侵至少一個真實目標。這不是演習，是正在發生的攻擊。

事件經過：三個漏洞，一場公開的報復

資安公司Huntress於4月17日證實，其研究人員觀察到駭客正在積極利用三個Windows安全漏洞，分別被命名為BlueHammer、UnDefend和RedSun。這三個漏洞的共同點是：全部存在於Windows內建防毒軟體Windows Defender中，一旦被利用，攻擊者可取得受害電腦的管理員權限——也就是說，整台電腦對攻擊者而言幾乎毫無秘密可言。

目前，微軟僅針對BlueHammer發布了修補程式，另外兩個漏洞至今仍未修復，而攻擊者手中已握有可直接使用的攻擊代碼。

Chaotic Eclipse在發布代碼時留下了意味深長的文字：「我沒有在虛張聲勢，而且我會再做一次。衷心感謝MSRC領導層讓這一切成為可能。」話中對微軟安全回應中心（MSRC）的「感謝」，字字帶刺。研究員顯然與微軟之間存在某種未公開的衝突，但具體細節至今不明。微軟方面僅以支持「協調漏洞揭露」的行業慣例作為回應，未正面回答任何具體問題。

為什麼這件事現在格外重要

這起事件的危險之處，在於它打破了一個關鍵的時間差。

廣告

廣告合作

[email protected]

廣告

正常情況下，安全研究員發現漏洞後，會先私下通報廠商，等待修補完成後再公開技術細節。這個「協調揭露」的流程，是保護用戶安全的緩衝地帶。但Chaotic Eclipse選擇的是「完全揭露」——在微軟尚未修補之前，直接將可執行的攻擊代碼公開上網。

Huntress研究員John Hammond對此直言：「這些代碼現在如此容易取得，而且已經被武器化，可以直接使用。這讓我們再次陷入與攻擊者的拉鋸戰。防禦方拚命打補丁，攻擊方手上卻已有現成工具。」這種非對稱的局面，對企業資安團隊而言壓力極大。

對於台灣、香港及東南亞的企業用戶而言，這個警訊尤其值得重視。Windows在亞太地區的企業市場佔有率依然極高，而許多中小企業的資安人力和預算都相當有限，往往無法在漏洞公開後的第一時間完成系統更新和防護調整。在兩個漏洞仍未修補的當下，這意味著真實的風險窗口持續開放。

多方視角：誰該為這場混亂負責

這起事件沒有簡單的是非對錯，不同立場的人有截然不同的解讀。

從研究員的角度來看，「完全揭露」有其歷史正當性。過去曾有廠商在收到漏洞報告後，長期拖延修補、甚至否認問題存在，研究員公開代碼後才迫使廠商採取行動。如果微軟確實忽視或拖延了Chaotic Eclipse的報告，研究員的憤怒並非毫無來由。

從企業和受害者的角度來看，在漏洞未修補前公開攻擊代碼，等同於將真實用戶暴露在風險之中。這次已有組織遭到入侵，未來可能還有更多。責任歸屬的問題，在法律和道德層面都尚無定論。

從更宏觀的地緣政治視角來看，類似的漏洞揭露事件，有時也會被國家級駭客組織所利用。公開的攻擊代碼是沒有國界的，任何人都可以取用。這讓原本屬於個人與企業之間的糾紛，可能演變成更大規模的安全威脅。

值得一提的是，中國大陸近年來在漏洞管理方面建立了自己的國家級機制——要求境內研究員優先向政府機構報告漏洞，而非直接公開或通報境外廠商。這套制度與西方「協調揭露」模式存在本質差異，也讓跨境的漏洞資訊流動變得更加複雜。