安全研究员Chaotic Eclipse（在GitHub的用户名为Nightmare-Eclipse）因不满微软对已报告漏洞的处理方式，于4月初公开了第一个Microsoft Defender零日漏洞BlueHammer。微软在4月14日发布的例行补丁（Patch Tuesday）中修复了该漏洞，并将其登记为CVE-2026-33825。此后，该研究员又公布了另一个漏洞RedSun，如今又披露了第三个零日漏洞。

4月17日，威胁情报公司Huntress指出，他们发现该研究员披露的漏洞已被实际利用。除此前已被报道的BlueHammer和RedSun外，还发现了一个名为UnDefend的新漏洞也遭到攻击。该公司最早于4月10日监测到BlueHammer被利用，攻击者尝试执行FunnyApp.exe触发漏洞，但被受害系统的Microsoft Defender拦截并隔离，未能得逞。

一周后，即4月16日，Huntress发现攻击者开始利用RedSun和UnDefend。其中，RedSun触发了Microsoft Defender的警报，提示为EICAR测试文件；而UnDefend漏洞则通过可执行文件undef.exe被利用。攻击者在尝试利用这两个新漏洞后，对受害组织展开人工侦察，手动下达指令。为防止攻击者进一步渗透，Huntress已对受影响的组织实施隔离。

UnDefend究竟是什么漏洞？综合Chaotic Eclipse在其博客和GitHub的说明，这是一个拒绝服务（DoS）类漏洞。他指出，微软在得知该漏洞后虽承认其存在，但认为其危险性较低，修复优先级不高。然而，该研究员强调，若将UnDefend与BlueHammer配合使用，将极具破坏性：攻击者一旦获得管理员权限，即可通过UnDefend执行任意程序。他在GitHub提供的概念验证工具（PoC）声称，该漏洞可导致Microsoft Defender无法接收病毒特征库更新，甚至使其完全停止运行。