RedSun：透過 2026 年 4 月更新在 Win 11/10 及伺服器版獲取系統用戶權限

背景

RedSun 是一個針對 Windows 10、11 以及伺服器版本的漏洞研究專案，揭露了 Windows Defender 在處理帶有雲端標籤（cloud tag）的惡意檔案時，存在邏輯上的嚴重缺陷。研究者發現，當 Defender 偵測到此類檔案時，並非單純將其刪除或隔離，而是會基於某種不明機制將檔案重新寫回原始位置，這使得攻擊者能藉此行為覆寫系統關鍵檔案，進而取得系統管理員權限。

社群觀點

針對這項被戲稱為「紅日」的漏洞，Hacker News 的討論首先聚焦於安全研究的呈現方式。有網友指出，雖然作者宣稱這次不只是丟出概念驗證（PoC）程式碼，但實際上 GitHub 倉庫中依然包含了實作細節，作者的本意可能是在提供程式碼之餘，更強調其運作邏輯的荒謬性。部分評論者則對當前資安圈的風氣感到不以為然，認為研究者與其花心思為漏洞取一個性感的名稱並建立專屬頁面，不如回歸傳統，透過郵件列表回報並申請 CVE 編號，展現更專業的研究態度。

討論的核心隨後轉向 Windows Defender 權限設計的合理性。許多開發者對於防毒軟體具備修改系統檔案的權限感到困惑，認為防毒軟體理應只需具備讀取與分析權限，即便需要修復檔案，也應透過特定的系統 API 進行還原，而非直接賦予寫入權限。然而，資深技術人員對此提出反駁，指出防毒軟體在 Windows 環境中傳統上就以 SYSTEM 權限執行，甚至包含核心模式驅動程式。這種設計雖然開啟了巨大的攻擊面，但也屬無奈之舉；如果惡意軟體已經透過漏洞提升了權限，而防毒軟體卻只具備低權限，將導致其完全失去防禦能力，淪為只能觀察與報告的旁觀者。

進一步的爭論點在於作業系統架構與權限隔離的平衡。有觀點認為，微軟應該將高權限的系統操作與掃描分析過程分離，讓掃描程序在低權限的沙盒中執行，並透過定義明確的 API 與系統溝通。然而，歷史背景使得這項改革困難重重，微軟過去曾因在系統中整合過多功能而面臨反壟斷訴訟，這限制了其對第三方防毒軟體架構的干預能力。此外，留言中也提到 Windows 的權限階層其實相當複雜，某些關鍵檔案甚至受到 TrustedInstaller 的保護，其權限級別比 SYSTEM 更加嚴格。最後，也有網友以較為戲謔的態度看待此漏洞，認為本地權限提升漏洞在各類作業系統中屢見不鮮，即便是在 Linux 環境下，類似的 CVE 幾乎每週都會出現，暗示這類架構缺陷是現代複雜系統難以避免的宿命。

延伸閱讀

• RedSun 漏洞研究倉庫：Nightmare-Eclipse/RedSun (GitHub)