微软安全响应中心(MSRC)已于昨晚正式确认编号 CVE-2026-50656 的 Microsoft Defender 零日漏洞,公开代号 “RoguePlanet”。该漏洞 CVSS 3.1 评分 7.8,属“重要”级别,影响范围覆盖所有已安装 2026 年 6 月累积更新的 Windows 10 与 Windows 11 系统——即便系统已打满最新补丁,依然无法幸免。
一条本地提权链路,直通 SYSTEM 权限
漏洞被归类为权限提升,根源在于 Defender 核心反病毒引擎中存在“文件访问前链接解析不当”的缺陷(CWE-59)。攻击无需任何用户交互,仅需本地低权限即可发起。一旦利用成功,攻击者可在极短时间内拿到 NT AUTHORITY\SYSTEM——Windows 系统的最高权限,直接打开命令行窗口,完全接管机器。
披露时机暗藏锋芒,PoC 当日即放出
6 月 10 日,微软刚结束 6 月例行安全更新,数小时后,化名 Nightmare Eclipse 的研究者就公布了完整的概念验证代码。直到 6 月 16 日,微软才正式将该漏洞收录公开。更令人警惕的是,第三方安全公司 ThreatLocker 已在完全补丁的 Windows 11 系统上成功复现漏洞,证实了其真实危害。
TOCTOU 竞争条件:抓住扫描引擎的“眨眼”瞬间
漏洞利用的核心,是 Defender 实时扫描引擎中的“检查到使用”时间差竞争条件(TOCTOU)。当 Defender 核实文件路径与真正操作文件之间的间隙,存在一个极短的窗口期。攻击者通过精心构造的文件链接操作,恰好能在这个窗口内诱使系统以最高权限执行恶意指令。
最关键的一点是:这种攻击并不依赖关闭杀毒软件。无论 Defender 实时保护是开启还是关闭,甚至处于被动模式,都不影响 PoC 的运行。目前 PoC 因竞争条件特性,在不同机器上的成功率仍有波动,但研究者称完全可将其优化至稳定利用。安全社区尝试用特征签名检测或阻断,但攻击者只需稍改代码即可轻松绕过,防守方现阶段极为被动。
官方态度:补丁开发中,暂无发布时间
微软在公告中将该漏洞的利用可能性标记为“很大可能被利用”,确认公开披露已发生,但尚未监测到在野攻击。公告明确表示:“我们正在努力提供一个高质量的安全更新来修复此漏洞。”然而,截至发稿前,微软未给出具体补丁发布日期,只承诺补丁就绪后会更新通告。这意味着从现在起到官方补丁推送前,所有 Windows 10、Windows 11 用户都将持续暴露在这一权限提升零日漏洞的威胁之下。
安全专家建议,企业用户在业务允许范围内,可临时采取更严格的访问控制和文件系统监控措施,同时紧盯微软官方补丁动态,以便第一时间部署更新。
资讯来源:Microsoft Security Response Center(MSRC)CVE-2026-50656 公告及相关安全社区通报
云栈社区将持续跟踪该漏洞的补丁进展,更多攻防技术分享欢迎访问 云栈社区。 | 
发表于 7 小时前
|
查看: 4|
回复: 0
