微软修复WindowsDefenderRoguePlanet漏洞CVE-2026-50656

admin 2026-07-11 05:04:18 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软修复WindowsDefender的RoguePlanet漏洞CVE-2026-50656,该漏洞为本地权限提升漏洞,CVSS评分7.8,影响恶意软件防护引擎。攻击者利用竞争条件可获SYSTEM权限,PoC已公开。建议用户立即更新引擎至1.1.26060.3008版本并开启自动更新。 综合评分: 83 文章分类: 漏洞分析,应急响应,恶意软件,安全工具


cover_image

微软修复 Windows Defender RoguePlanet 漏洞 CVE-2026-50656

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月10日 08:46 湖北

在小说阅读器读本章

去阅读

微软发布安全更新,修复代号为 RoguePlanet、漏洞编号 CVE-2026-50656(CVSS 评分 7.8)的安全漏洞,该漏洞影响 Windows Defender 所使用的恶意软件防护引擎。微软恶意软件防护引擎(文件 mpengine.dll)负责支撑 Defender 的恶意程序扫描、检测与清除功能。

该漏洞属于本地权限提升漏洞:攻击者若已获得目标系统访问权限,可借此获取更高权限,进而突破系统安全管控。

今年 6 月中旬,微软公开承认存在影响 Windows Defender 的 RoguePlanet 零日漏洞,表示已知晓该问题,并在加急开发安全补丁,修复漏洞、保护受影响设备。

在此一周前,安全研究员 Chaotic Eclipse(网名 Nightmare-Eclipse)公开了针对这款 Windows Defender 零日漏洞 RoguePlanet 的概念验证漏洞利用代码(PoC)。

该漏洞根源为竞争条件漏洞,可让攻击者获取系统最高级别的 SYSTEM 权限,以此执行任意高权限代码。研究人员已在安装完 2026 年 6 月周二补丁日全部更新的 Windows 10、Windows 11 完整版系统上成功复现漏洞,说明即便打满官方补丁的设备仍存在安全风险。

这名研究员发文称:“网传消息属实,本月会放出这款零日漏洞相关利用代码,项目地址:https://github.com/MSNightmare/RoguePlane。如仓库说明所示,漏洞成因是竞争条件。我已尽可能稳定该利用程序,但编写这份概念验证代码几乎耗尽精力。”

研究员表示,微软早期推送的更新曾破坏初代漏洞原型,之后他连续数周高强度调试,最终完成可稳定运行的 RoguePlanet 利用程序。尽管微软针对路径重定向攻击强化了 Defender 防护机制,他仍在 5 月底重新完善了整套 PoC。该研究员还指出,Windows Defender 依旧存在高危缺陷,他还发现多款内存损坏漏洞以及其他影响多个组件的安全隐患。

当前这套 RoguePlanet 漏洞利用程序无法在 Windows 服务器系统上生效,原因是服务器标准用户没有挂载 ISO 镜像的权限;但研究员称底层漏洞本身仍会影响服务器环境,仅需更换一套利用方式即可实现攻击。

研究员补充道:“该竞争条件漏洞的原理很有意思。我认为(暂未完全验证)重构 PoC 后,无论环境条件如何,攻击成功率都能达到 100%,但我已经不想再研究这个漏洞了。一旦利用成功,程序会直接弹出拥有 SYSTEM 最高权限的命令行。”

该研究员发布更新说明称,无论微软 Defender 实时防护功能开启还是关闭,RoguePlanet 概念验证利用代码均可成功运行,在被动防护模式下大概率也能生效。

这位安全研究者写道:“有一点我忘了补充,出乎意料的是,不管实时防护开启与否,RoguePlanet 的 PoC 都能正常利用,这点十分离谱。我推测它在被动模式下也能生效,但我尚未实测,不能百分百确定。”

微软恶意软件防护引擎 1.1.26060.3008 版本已修复该漏洞,此版本同步附带多项额外安全加固更新。

微软安全公告中写道:“对于企业部署环境与普通个人用户,微软反恶意软件程序的默认设置会自动同步恶意软件特征库与恶意软件防护引擎版本。官方产品文档同样建议开启软件自动更新功能。” “安全最佳实践建议用户定期核查自身环境内的软件分发机制是否运转正常,例如微软恶意软件防护引擎更新、病毒特征库自动下发等功能是否按预期执行。”

RoguePlanet 是该研究员披露的第四款 Windows Defender 漏洞,此前他还先后上报过 BlueHammer、UnDefend、RedSun 三个漏洞,微软均已完成修复。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《微软修复 Windows Defender RoguePlanet 漏洞 CVE-2026-50656》

评论:0   参与:  0