新型WindowsDefender零日漏洞“RoguePlanet”允许攻击者获得系统级访问权限

admin
admin
admin
0
文章
0
评论
2026-06-17 04:53:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 研究人员NightmareEclipse公开了WindowsDefender零日漏洞RoguePlanet的PoC利用程序,该漏洞利用Defender处理逻辑中的TOCTOU竞争条件,通过NTFS连接点重定向系统级文件操作,使攻击者能在完全打补丁的Windows10/11系统上获得SYSTEM权限。该漏洞是2026年4月以来Defender系列漏洞披露的最新案例,早期类似工具已被用于实际攻击,建议组织密切关注微软安全更新以获取紧急补丁。 综合评分: 85 文章分类: 漏洞分析,漏洞POC,应急响应,终端安全,恶意软件

cover_image

新型 Windows Defender 零日漏洞“RoguePlanet”允许攻击者获得系统级访问权限

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月11日 12:04 北京

在小说阅读器读本章

去阅读

一位名为Nightmare Eclipse(也被称为 Chaotic Eclipse 或 Dead Eclipse)的研究人员公开发布了一个名为 RoguePlanet 的新概念验证 (PoC) 漏洞利用程序,该程序针对的是 Microsoft Windows Defender 中一个先前未公开的竞争条件漏洞。

成功执行后,该漏洞利用程序会生成一个以 SYSTEM 级权限运行的命令 shell,从而赋予攻击者对受感染 Windows 机器的最高访问权限。

该版本已发布到 GitHub,将于 2026 年 6 月 10 日星期二补丁日发布,这使得针对 Defender 的一系列披露事件变得更加紧迫。

Windows Defender 零日漏洞“RoguePlanet”

RoguePlanet 是一种本地权限提升 (LPE) 漏洞利用程序,它利用了 Microsoft Defender 内部处理逻辑中的竞争条件。普通的非特权用户可以利用此漏洞重定向以 SYSTEM 权限运行的 Defender 执行的文件操作,从而以最高权限级别执行攻击者控制的代码。

经证实,该漏洞可在已完全打补丁的 Windows 10 和 Windows 11 系统上运行,包括官方稳定版和 Canary Insider Preview 版,并已应用 2026 年 6 月补丁。

Windows Server 安装也被认为存在漏洞,尽管当前的 PoC 在该环境中无法运行,因为标准用户无法挂载 ISO 映像,而这是此特定漏洞利用链的先决条件。

根本缺陷是检查时间到使用时间 (TOCTOU) 竞争条件,Nightmare Eclipse 之前在 BlueHammer 漏洞利用程序 (CVE-2026-33825) 中利用了此类漏洞,该漏洞的 CVSS 评级为 7.8(高),微软已于 2026 年 4 月修复了该漏洞。

在之前的案例中,Defender 的文件修复引擎执行了特权写入操作,但没有充分锁定文件路径验证,这使得攻击者能够插入 NTFS 连接点,将 Defender 的系统级写入重定向到C:\Windows\System32

RoguePlanet 采用了类似的路径重定向策略,这表明微软为加强 Defender 抵御此类攻击所做的努力仍不完整。

据 Nightmare Eclipse 称, RoguePlanet 是不断增加的一系列零日漏洞发布中的最新一个,自 2026 年 4 月初以来,Nightmare Eclipse 已披露了至少七个与 Defender 相关的漏洞,包括BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma 和 MiniPlasma。

安全研究人员普遍认为,此次攻击是针对微软在负责任的信息披露和账户终止方面存在的争议而发起的报复行动。

Huntress 的研究人员已经利用该研究人员早期的工具记录了现实世界的入侵,在实时攻击链中观察到了 BlueHammer、RedSun 和 Defender 破坏工具 UnDefend。

RoguePlanet漏洞在不同环境下的成功率各不相同。研究人员指出,在某些机器上,该漏洞的成功率高达100%,而在另一些机器上,由于竞争条件本身的不稳定性,该漏洞的利用率则较低。

虽然目前该漏洞利用程序在 Windows Server 上无法正常工作,但据信所有 Server 版本都存在同样的底层缺陷,只是攻击途径有所改变。

截至发稿时,微软尚未针对 RoguePlanet 漏洞发布 CVE 编号或公开安全公告。鉴于早期 Nightmare Eclipse 工具已被积极用于实际攻击,运行 Windows 10 或 Windows 11 终端的组织应高度重视此次漏洞披露,并密切关注微软安全更新指南,以获取紧急补丁。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《新型 Windows Defender 零日漏洞“RoguePlanet”允许攻击者获得系统级访问权限》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
[0CTF2016]piapiapia 网络安全文章

[0CTF2016]piapiapia

文章总结: 该文档分析了0CTF2016的Web题目piapiapia,通过代码审计发现用户资料更新功能存在反序列化漏洞。关键发现是filter函数对单引号和S
06-170 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0