CISA 要求 Windows 管理员在 6 月 3 日前修补噩梦 Eclipse Defender 缺陷

联邦机构必须在6月3日之前对与 "噩梦日蚀 "披露活动相关的两个微软卫士漏洞进行修复。距离最后期限还有48小时，来自同一研究人员的另外三个Windows零点漏洞仍未得到修补，6月9日是微软解决这些漏洞的下一个机会。

这个传奇故事始于四月初，当时Nightmare Eclipse丢弃了BlueHammer（CVE-2026-33825），在4月14日的补丁星期二中打上了补丁，其CISA截止日期在五月初过去。目前的倒计时以 5 月 20 日的单独 CISA 行动为基础，增加了 RedSun(CVE-2026-41091) 和 UnDefend (CVE-2026-45498)添加到已知已被利用漏洞目录中，此前 Huntress 已确认在现实世界的攻击中积极利用了这两个漏洞。CISA根据具有约束力的第 22-01 号操作指令强制要求在 14 天内进行修复。

修补漏洞的作用

RedSun 以 Defender 分层引擎为目标，将权限升级到 SYSTEM。UnDefend 会触发反恶意软件平台中的拒绝服务条件，使 Defender 完全失效，并为勒索软件的部署或横向移动创造窗口，而不会触发警报。

恶意软件保护引擎 1.1.26040.8 和反恶意软件平台 4.18.26040.7 修正了这两个问题。请在 6 月 3 日前在 Windows 安全设置中验证这些版本号。

三个无修补程序的漏洞

YellowKey (CVE-2026-45585) 通过 Windows 恢复环境绕过仅 TPM 系统上的 BitLocker，允许物理访问解锁加密驱动器而无需恢复密钥。GreenPlasma 是一个 CTFMON 权限升级漏洞，没有 CVE 也没有补丁。MiniPlasma 重新利用了 cldflt.sys 中的 CVE-2020-17103，这是一个 2020 漏洞，其修补程序要么不完整，要么静默退步。

ThreatLocker 和 Will Dormann 证实，该漏洞仍会在已打完全补丁的 Windows 11 以及 Windows Server 2022 和 2025 上生成 SYSTEM shell。Windows 10 不受影响，这对管理混合机队的团队很重要。

对于 YellowKey，运行 reagentc /disable，加载离线 WinRE 注册表 hive，从 ControlSet001ControlSession Manager 下的 BootExecute 中删除 autofstx.exe，然后运行 reagentc /enable 提交更改。尽可能将 BitLocker 从仅 TPM 过渡到 TPM+PIN。

噩梦 Eclipse已发出 7 月 14 日发布的信号，目标是该月的补丁星期二。