快科技7月14日消息,安全研究人員發(fā)現(xiàn)微軟Defender最新發(fā)布的RoguePlanet漏洞補丁雖然修復(fù)了原始提權(quán)漏洞,卻引入了新的問題,攻擊者可利用補丁后的Defender引擎將目標(biāo)PC的磁盤空間耗盡。
微軟上月確認(rèn)了名為"RoguePlanet"的day-0漏洞(CVE-2026-50656),該漏洞通過利用Defender惡意軟件防護引擎(mpengine.dll)中的缺陷實現(xiàn)權(quán)限提升。
微軟上周通過將引擎更新至1.1.26060.3008版本修復(fù)了該漏洞,更新通過Defender常規(guī)安全智能更新自動推送,最后一個受影響版本為1.1.26050.11。
然而安全研究人員Nightmare-Eclipse在逆向分析更新后的引擎時發(fā)現(xiàn),微軟新增的"縱深防御"改動引入了一個8字節(jié)信息泄露缺陷。
該泄露目前僅可從內(nèi)核驅(qū)動程序觀察到,無法從用戶模式觸發(fā),暫被認(rèn)為不可直接利用,但進一步研究仍在進行中。
更令人擔(dān)憂的是另一個問題,Defender通常對掃描和隔離的文件施加大小限制以防止存儲過度占用,但這些限制不適用于緩存的Zone.Identifier備用數(shù)據(jù)流(ADS)。
攻擊者可搭建一個惡意SMB服務(wù)器,托管一個附帶超大Zone.Identifier ADS的文件,通過故意延遲特定讀取操作同時保持SMB會話存活,Defender會持續(xù)鎖定緩存文件而不清理,導(dǎo)致磁盤占用不斷膨脹直至寫滿。
該行為已在Windows 11 25H2和Windows Server 2025上復(fù)現(xiàn)成功,研究人員還在調(diào)查同一技術(shù)是否可通過WebDAV實現(xiàn),若可行則可完全擺脫SMB依賴,通過互聯(lián)網(wǎng)直接攻擊。
![]()
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.