今天的安全简报聚焦三个明确信号:CISA 已将 Apache ActiveMQ 列为在野利用,Huntress 观察到泄露的 Windows 提权零日在真实入侵中被使用,微软也确认部分已打补丁的域控制器出现 LSASS 崩溃循环。
Top line: 今天早上的核心是防守排序。一处漏洞已经被实际利用,两条 Windows 提权路径仍然没有完整修复,而一个官方补丁在某些 PAM 环境中还可能让域控制器变得不稳定。安全团队需要把“立即打补丁”“立即遏制”“立即暂停发布”分成不同队列。
CISA 在确认活跃利用后,将 CVE-2026-34197 加入 KEV 目录。该漏洞影响 Apache ActiveMQ Classic,根因是输入校验不当,可导致已认证远程代码执行。Apache 已在 6.2.3 和 5.19.4 中修复,但暴露在公网的 broker 仍是软目标。Shadowserver 仍在跟踪超过 7,500 台面向互联网的系统。
Huntress 报告称,BlueHammer、RedSun 和 UnDefend 技术已在真实攻击中出现。BlueHammer 已在 4 月补丁中修复,但 RedSun 与 UnDefend 仍没有完整厂商修复。已观察到的活动包括 SSL VPN 账户被攻破,随后出现交互式攻击者行为。这已经不是停留在 GitHub 上的研究 PoC。
微软确认,KB5082063 可能导致部分启用 Privileged Access Management 的非 Global Catalog 域控制器出现 LSASS 崩溃和重启循环。这意味着常规安全发布也可能演变成身份系统中断风险。如果发布节奏控制不好,不稳定的认证会直接抹掉快速补丁带来的收益。
Bottom line: 成熟的防守意味着同时以三种速度行动:修补暴露 broker、追查 Windows 落点,并放慢任何可能让身份系统离线的补丁发布。
保持锋利。
🗡️ KENSAI Security Team