快科技 7 月 14 日消息,安全研究人员发现微软 Defender 最新发布的 RoguePlanet 漏洞补丁虽然修复了原始提权漏洞,却引入了新的问题,攻击者可利用补丁后的 Defender 引擎将目标 PC 的磁盘空间耗尽。
微软上月确认了名为 "RoguePlanet" 的 day-0 漏洞(CVE-2026-50656),该漏洞通过利用 Defender 恶意软件防护引擎(mpengine.dll)中的缺陷实现权限提升。
微软上周通过将引擎更新至 1.1.26060.3008 版本修复了该漏洞,更新通过 Defender 常规安全智能更新自动推送,最后一个受影响版本为 1.1.26050.11。
然而安全研究人员 Nightmare-Eclipse 在逆向分析更新后的引擎时发现,微软新增的 " 纵深防御 " 改动引入了一个 8 字节信息泄露缺陷。
该泄露目前仅可从内核驱动程序观察到,无法从用户模式触发,暂被认为不可直接利用,但进一步研究仍在进行中。
更令人担忧的是另一个问题,Defender 通常对扫描和隔离的文件施加大小限制以防止存储过度占用,但这些限制不适用于缓存的 Zone.Identifier 备用数据流(ADS)。
攻击者可搭建一个恶意 SMB 服务器,托管一个附带超大 Zone.Identifier ADS 的文件,通过故意延迟特定读取操作同时保持 SMB 会话存活,Defender 会持续锁定缓存文件而不清理,导致磁盘占用不断膨胀直至写满。
该行为已在 Windows 11 25H2 和 Windows Server 2025 上复现成功,研究人员还在调查同一技术是否可通过 WebDAV 实现,若可行则可完全摆脱 SMB 依赖,通过互联网直接攻击。



登录后才可以发布评论哦
打开小程序可以发布评论哦