微软修复了授予SYSTEM权限的”RoguePlanet”Defender零日漏洞

admin 2026-07-13 05:17:26 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软修复WindowsDefender零日漏洞CVE-2026-50656,利用TOCTOU竞态条件可使本地攻击者获取SYSTEM权限,影响全量Windows系统。建议立即核实并更新防护引擎版本,限制本地管理员权限,监控系统目录异常文件移动以防横向扩散。修复后仍存在低危拒绝服务风险。 综合评分: 86 文章分类: 漏洞分析,漏洞预警,终端安全,漏洞POC


cover_image

微软修复了授予SYSTEM权限的”RoguePlanet” Defender零日漏洞

sec随谈 sec随谈

sec随谈

2026年7月10日 09:02 北京

在小说阅读器读本章

去阅读

摘要

微软修复了一个名为RoguePlanet的微软Defender零日漏洞,追踪编号为CVE-2026-50656。该漏洞是一个竞态条件问题,可让本地攻击者获得SYSTEM权限。该漏洞在完全打补丁的Windows 10和Windows 11系统上均可生效,即使关闭实时保护也不受影响。目前已存在公开的概念验证(PoC)代码,但微软表示尚未发现该漏洞被在野利用。

为何重要

Defender预装在每一个受支持的Windows版本中。因此,其扫描引擎中的一个漏洞影响面极大。这个微软Defender零日漏洞之所以引人关注,是因为攻击者利用的正是安全工具本身来实现权限提升——这使得防御工具反而变成了攻击面。攻击者通常会在通过钓鱼攻击获得初始立足点后,将此类漏洞串联利用以夺取系统的完全控制权。

攻击原理

RoguePlanet利用了Defender文件处理过程中的”检查时间与使用时间”(TOCTOU)竞态条件。在扫描过程中,Defender先检查一个文件,片刻后再重新打开它。该漏洞利用程序就在这一狭窄的时间窗口内替换掉文件。由于Defender以SYSTEM权限运行,被替换的恶意负载随后便以SYSTEM权限执行,最终结果是获得一个拥有完整系统访问权限的命令提示符。

该竞态攻击并非每次都能成功。不过,研究人员报告称在部分机器上几乎能做到百分百成功,并指出自动化重试使其具有实际可行性。值得注意的是,该漏洞利用程序无论Defender的实时保护是否开启都能生效。

披露纠纷

化名”Nightmare Eclipse”的研究人员在2026年6月”补丁星期二”发布后数小时便公开了RoguePlanet漏洞。此次发布是该研究人员与微软之间围绕漏洞赏金及披露流程持续已久的争端的一部分。在微软删除该研究人员的GitHub和GitLab代码仓库后,他们将概念验证代码转移到了自建的Git服务器上。微软并未在此次发现中致谢该研究人员。RoguePlanet也延续了同一人此前披露的一系列相关零日漏洞,包括BlueHammer(CVE-2026-33825)和RedSun(CVE-2026-41091)。

受影响版本

该漏洞存在于Microsoft恶意软件防护引擎(mpengine.dll)中。最后一个存在漏洞的引擎版本是1.1.26050.11。由于Defender运行在所有受支持的Windows版本上,受影响范围十分广泛。

补丁与缓解措施

微软已在恶意软件防护引擎1.1.26060.3008版本中修复了该漏洞。该引擎默认会自动更新,因此大多数系统无需额外操作。管理员仍应核实整个设备群中的引擎版本。有关版本检查方法,请参阅微软的CVE-2026-50656安全公告。

防护建议

首先打好补丁,再着手缩小潜在影响范围。限制本地管理员权限,以防止某一主机上的SYSTEM权限扩散蔓延。由于该漏洞利用程序依赖受信任的路径,建议优先采用基于签名或发布者的规则,而非基于路径的规则。监控Windows系统目录内异常的文件移动行为,也有助于及早发现攻击链。

修复后的一个注意事项

还有一点值得关注。在一篇后续分析文章中,该研究人员声称新的缓解措施仍会泄露少量字节的数据。他们还描述了另一个独立的异常情况:当文件服务器出现延迟响应时,Defender会缓存一个过大的Zone.Identifier数据流。这种行为可能导致Defender挂起并耗尽磁盘空间,从而使主机运行不稳定。应将其视为一个严重程度较低的拒绝服务(DoS)问题,而非代码执行漏洞。

参考链接:

https://blog.projectnightcrawler.dev/posts/2026-07-09-some-interesting-findings-in-windows-defender/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《微软修复了授予SYSTEM权限的”RoguePlanet” Defender零日漏洞》

评论:0   参与:  0