新的WindowsDefender0日漏洞“RoguePlanet”赋予攻击者SYSTEM访问权限

admin
admin
admin
0
文章
0
评论
2026-06-20 05:18:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究人员NightmareEclipse公开了WindowsDefender零日漏洞RoguePlanet的PoC,该漏洞利用Defender内部处理逻辑的TOCTOU竞争条件,允许非特权用户通过NTFS连接点重定向文件操作,从而在受影响系统上获得SYSTEM权限。漏洞确认影响全版本Windows10/11及服务器版,建议组织将此披露视为高优先级并监控微软安全更新以获取紧急补丁。 综合评分: 84 文章分类: 漏洞预警,漏洞POC,恶意软件,终端安全

cover_image

新的Windows Defender 0日漏洞“RoguePlanet”赋予攻击者SYSTEM访问权限

O安全研究员 O安全研究员

O安全研究员

2026年6月10日 18:30 广东

在小说阅读器读本章

去阅读

一位名为Nightmare Eclipse(也被称为混沌蚀或死蚀)的研究人员公开发布了一个名为Rogue Planet的新概念验证(PoC)漏洞,针对Microsoft Windows Defender中此前未公开的竞赛条件漏洞。

当攻击成功执行时,会生成一个以系统级权限运行的命令壳,使攻击者在被攻破的Windows机器上获得最高权限。

该发布于GitHub,将于2026年6月10日补丁星期二发布,为已经不断升级的Defender目标披露事件增添了紧迫感。

Windows Defender 0日漏洞“RoguePlanet”

RoguePlanet 是一种本地权限升级(LPE)漏洞,利用 Microsoft Defender 内部处理逻辑中的竞赛条件。标准的非特权用户可以利用该漏洞重定向由 Defender 执行的文件操作(该操作为 SYSTEM),以执行攻击者控制的最高权限级别代码。

该漏洞已被确认适用于完全打补丁的Windows 10和Windows 11系统,包括官方稳定版和Canary Insider Preview频道,并已应用2026年6月的补丁。

Windows Server 安装也被视为易受攻击,尽管当前的 PoC 在该环境中无法运行,因为标准用户无法挂载 ISO 镜像,而这是该特定漏洞链的前提条件。

其根本缺陷是“检查时间到使用时间”(TOCTOU)竞赛条件,这类漏洞曾被 Nightmare Eclipse 利用,该漏洞曾被 Nightmare Eclipse 利用,该漏洞曾在 BlueHammer 漏洞(CVE-2026-33825,评级为 CVSS 7.8(高)中被 Microsoft 于 2026 年 4 月修补。

在之前的案例中,Defender的文件修复引擎执行了特权写入操作,但未充分锁定文件路径验证,使攻击者能够插入NTFS连接点,将Defender的SYSTEM级写入重定向到。

C:\Windows\System32

RoguePlanet采用了类似的路径重定向策略,表明Microsoft加强Defender抵御此类攻击的努力尚未完成。

据Nightmare Eclipse介绍,RoguePlanet是一系列零日漏洞中的最新一个,自2026年4月初以来,该平台已披露至少七起与Defender相关的漏洞,包括BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma和MiniPlasma。

安全研究人员普遍将此活动描述为因与Microsoft在负责任披露和账户终止问题上的争议而采取的报复行动。

Huntress 研究人员已经利用该研究者早期的工具记录了现实世界的入侵情况,BlueHammer、RedSun 和 Defender 干扰工具 UnDefend 在实时攻击链中被观察到。

《Rogue Planet》的成功率因环境而异。研究人员指出,某些机器的成功率为100%,而在其他机器上,由于竞赛条件本身的不稳定性,漏洞利用较为困难。

该漏洞利用目前在 Windows Server 上无法运行,尽管所有 Server 版本都被认为存在同样的潜在漏洞,且攻击向量重新设计。

截至发布时,Microsoft尚未发布《Rogue Planet》的CVE或公开公告。鉴于早期 Nightmare Eclipse 工具在野外被积极利用,运行 Windows 10 或 Windows 11 端点的组织应将此披露视为高优先级,并监控 Microsoft 的安全更新指南以获取紧急补丁。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:O安全研究员 O安全研究员 O安全研究员《新的Windows Defender 0日漏洞“RoguePlanet”赋予攻击者SYSTEM访问权限》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0