文章总结： 微软确认Defender存在零日漏洞RoguePlanet(CVE-2026-50656)，利用竞争条件可提权至SYSTEM。该漏洞影响Win10和11且已有公开PoC。微软正开发补丁，建议关注官方更新并加强端点监控。 综合评分： 80 文章分类： 漏洞预警,终端安全,漏洞分析,威胁情报

微软确认Defender RoguePlanet存在零日漏洞，并正在努力发布补丁

ZM ZM

暗镜

2026年6月20日 09:12 北京

在小说阅读器读本章

去阅读

微软已正式承认 Microsoft Defender 中存在一个严重的零日漏洞，该漏洞被公开称为“RoguePlanet”，并确认正在积极开发安全补丁来解决该漏洞。

该漏洞编号为 CVE-2026-50656，由微软安全响应中心 (MSRC) 于 2026 年 6 月 16 日正式发布，根据 CVSS 3.1 评分框架，其 CVSS 评分为 7.8（重要）。

该缺陷被归类为权限提升 (EoP) 漏洞，其根源在于 CWE-59：文件访问前链接解析不当（“链接跟踪”），影响 Microsoft 恶意软件防护引擎，即嵌入 Microsoft Defender 的核心扫描组件。

CVSS 向量字符串反映了一个本地可利用的漏洞，该漏洞仅需低权限且无需用户交互，但会对机密性、完整性和可用性造成严重影响。值得注意的是，修复级别被列为“不可用”，漏洞利用代码成熟度被评为“功能性”，这证实了存在一个可用的公开概念验证 (PoC)。

RoguePlanet 于 2026 年 6 月 10 日首次发布，就在微软完成2026 年 6 月“星期二补丁日”发布几个小时后，由一位化名为 Nightmare Eclipse 和 Chaotic Eclipse 的安全研究人员发布。

该漏洞利用程序针对 Windows Defender 实时扫描引擎中的“检查时间到使用时间”（TOCTOU）竞争条件，利用 Defender 验证文件路径和执行操作之间短暂的时间窗口。成功触发后，该漏洞会生成一个以 NT AUTHORITY\SYSTEM 权限（Windows 计算机上的最高权限级别）运行的 Windows 命令提示符窗口

该漏洞会影响已完全打补丁的 Windows 10 和 Windows 11 系统，包括运行 2026 年 6 月累积更新 KB5094126 的系统。网络安全公司 ThreatLocker 独立重现了该漏洞，并证实其在已完全打补丁的 Windows 11 系统上仍然有效。

在一次尤其令人担忧的更新中，Nightmare Eclipse透露，无论 Windows Defender 的实时保护功能是否启用，该 PoC 都能正常工作，甚至在被动模式下也能运行。由于其竞争条件特性，该漏洞的可靠性因机器而异，但研究人员表示有信心对其进行改进，从而获得稳定的成功率。

安全界尝试通过签名来检测或阻止 PoC，但这些尝试大多无效，因为对 PoC 进行一些小的修改就可以完全绕过缓解措施。

微软已在其漏洞利用指数中将此漏洞评为“极有可能被利用”，该漏洞已公开披露，但尚未发现实际的利用案例。微软表示：“我们正在努力提供高质量的安全更新来修复此漏洞。”

微软尚未公布具体的补丁发布日期，一旦安全更新可用，CVE 安全公告将会更新。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《微软确认Defender RoguePlanet存在零日漏洞，并正在努力发布补丁》