文章总结： 微软确认MicrosoftDefender存在代号Rogueplanet的高危零日漏洞CVE-2026-50656，CVSS评分7.8。该漏洞源于Defender核心引擎的文件访问前链接解析不当缺陷，利用TOCTOU竞争条件，无需用户交互即可本地提权至SYSTEM权限，影响所有已打最新补丁的Windows10/11系统。微软正在开发补丁但未给出具体发布时间，建议企业加强访问控制并关注官方更新。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,终端安全

无需交互即可提权至SYSTEM！微软承认Defender曝“RoguePlanet”高危零日漏洞

看雪学苑 看雪学苑

看雪学苑

2026年6月18日 17:59 上海

在小说阅读器读本章

去阅读

昨晚，微软安全响应中心正式确认了一个公开代号为 “RoguePlanet” 的 Microsoft Defender 零日漏洞。漏洞编号 CVE-2026-50656，CVSS 3.1 评分7.8，属于“重要”级别。影响范围覆盖所有已打满 2026 年 6 月累积更新的 Windows 10 与 Windows 11 系统——即便系统已安装最新补丁，也无法幸免。

一条本地提权链路，直通 SYSTEM 权限

该漏洞被归类为权限提升，根源在于 Defender 核心反病毒引擎中存在“文件访问前链接解析不当”的缺陷（CWE-59）。攻击无需用户交互，仅需本地低权限即可发起。

一旦利用成功，攻击者可在极短时间内拿到 NT AUTHORITY\SYSTEM——Windows 系统的最高权限，直接打开命令行窗口，完全接管机器。

披露时机暗藏锋芒，PoC 当日即放出

6月10日，微软刚结束6月例行安全更新，数小时后，化名Nightmare Eclipse的研究者就公布了完整概念验证代码。直到6月16日，微软才正式将该漏洞收录公开。

更令人警惕的是，第三方安全公司 ThreatLocker 已在完全补丁的 Windows 11 系统上成功复现漏洞，证实了其真实危害。

TOCTOU 竞争条件：抓住扫描引擎的“眨眼”瞬间

漏洞利用的核心，是 Defender 实时扫描引擎中的“检查到使用”时间差竞争条件（TOCTOU）。当 Defender 核实文件路径与真正操作文件的间隙，存在一个极短的窗口期。攻击者通过精心构造的文件链接操作，恰好能在这个窗口内诱使系统以最高权限执行恶意指令。

最关键的一点是：这种攻击并不依赖关闭杀毒软件。无论 Defender 实时保护是开启还是关闭，甚至处于被动模式，都不影响 PoC 的运行。

目前 PoC 因竞争条件特性，在不同机器上的成功率仍有波动，但研究者称完全可将其优化至稳定利用。安全社区尝试用特征签名检测或阻断，但攻击者只需稍改代码即可轻松绕过，防守方现阶段极为被动。

官方态度：补丁开发中，暂无发布时间

微软在公告中将该漏洞的利用可能性标记为“很大可能被利用”，确认公开披露已发生，尚未监测到在野攻击。公告明确表示：“我们正在努力提供一个高质量的安全更新来修复此漏洞。”

然而，截至发稿前，微软未给出具体补丁发布日期，只承诺补丁就绪后会更新通告。这意味着从现在起到官方补丁推送前，所有 Windows 10、Windows 11 用户都将持续暴露在这一权限提升零日漏洞的威胁之下。

安全专家建议，企业用户在业务允许范围内，可临时采取更严格的访问控制和文件系统监控措施，同时紧盯微软官方补丁动态，以便第一时间部署更新。

资讯来源：Microsoft Security Response Center（MSRC）CVE-2026-50656 公告及相关安全社区通报

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《无需交互即可提权至SYSTEM！微软承认Defender曝“RoguePlanet”高危零日漏洞》