← 返回博客
Security Briefing3 分钟阅读2026-04-18

安全简报,2026年4月18日:ActiveMQ 被利用、Windows 零日与 LSASS 补丁后果

今天的安全简报聚焦三个明确信号:CISA 已将 Apache ActiveMQ 列为在野利用,Huntress 观察到泄露的 Windows 提权零日在真实入侵中被使用,微软也确认部分已打补丁的域控制器出现 LSASS 崩溃循环。


Top line: 今天早上的核心是防守排序。一处漏洞已经被实际利用,两条 Windows 提权路径仍然没有完整修复,而一个官方补丁在某些 PAM 环境中还可能让域控制器变得不稳定。安全团队需要把“立即打补丁”“立即遏制”“立即暂停发布”分成不同队列。


1. ActiveMQ 已从补丁事项变成在野利用

CISA 在确认活跃利用后,将 CVE-2026-34197 加入 KEV 目录。该漏洞影响 Apache ActiveMQ Classic,根因是输入校验不当,可导致已认证远程代码执行。Apache 已在 6.2.3 和 5.19.4 中修复,但暴露在公网的 broker 仍是软目标。Shadowserver 仍在跟踪超过 7,500 台面向互联网的系统。


2. 泄露的 Windows 零日已经进入真实入侵链

Huntress 报告称,BlueHammer、RedSun 和 UnDefend 技术已在真实攻击中出现。BlueHammer 已在 4 月补丁中修复,但 RedSun 与 UnDefend 仍没有完整厂商修复。已观察到的活动包括 SSL VPN 账户被攻破,随后出现交互式攻击者行为。这已经不是停留在 GitHub 上的研究 PoC。


3. 4 月服务器补丁还带来了可用性陷阱

微软确认,KB5082063 可能导致部分启用 Privileged Access Management 的非 Global Catalog 域控制器出现 LSASS 崩溃和重启循环。这意味着常规安全发布也可能演变成身份系统中断风险。如果发布节奏控制不好,不稳定的认证会直接抹掉快速补丁带来的收益。


安全团队今天应该做什么

  1. 先完成 ActiveMQ 紧急分诊,尤其是公网暴露 broker 和较旧的 Classic 部署。
  2. 在任何近期 VPN 访问或管理员提权可疑的位置,搜索 BlueHammer、RedSun 和 UnDefend 痕迹。
  3. 扩大 KB5082063 发布前,先确认是否有 PAM 域控制器在影响范围内。
  4. 给管理层发送一份清晰更新,把利用压力和补丁稳定性风险分开说明。

Bottom line: 成熟的防守意味着同时以三种速度行动:修补暴露 broker、追查 Windows 落点,并放慢任何可能让身份系统离线的补丁发布。

把紧急补丁与危险补丁分开处理

KENSAI 帮助安全团队验证暴露系统、活跃利用路径和发布操作风险,避免“紧急”最终变成本可避免的宕机。

开始免费扫描 →

保持锋利。

🗡️ KENSAI Security Team