安全研究员 Nightmare-Eclipse 在对 Microsoft Defender 的 RoguePlanet 漏洞补丁进行逆向分析时,发现了新的安全问题。该补丁在修复权限提升漏洞的同时,可能被利用来耗尽系统全部磁盘空间。

RoguePlanet 漏洞背景
微软于上月确认了编号为 CVE-2026-50656 的 0-day 漏洞,社区将其命名为 “RoguePlanet”。该漏洞存在于 Defender 的恶意软件保护引擎中,攻击者可利用其实现权限提升。微软已于上周发布补丁,将引擎更新至版本 1.1.26060.3008,此前版本 1.1.26050.11 及更早版本均受影响。
补丁引入的新问题
Nightmare-Eclipse 在逆向分析更新后的引擎时发现,微软的”纵深防御”改动似乎引入了一处 8 字节的信息泄漏。据该研究员发布的博客文章,该泄漏目前仅在内核驱动层面可观测,用户模式下无法访问,因此暂不被认为可直接利用,但相关研究仍在进行中。
磁盘耗尽攻击原理
更严重的是,研究员发现了另一项可导致磁盘空间被完全占用的漏洞。正常情况下,Microsoft Defender 对扫描和隔离的文件设有大小限制以防止过度占用存储。然而,Nightmare-Eclipse 指出,这些限制并不适用于缓存的 Zone.Identifier 备用数据流(ADS)。
攻击实现方式
该概念验证(PoC)利用自定义的恶意 SMB 服务器,托管包含特制超大 Zone.Identifier ADS 的文件。通过故意延迟特定读取操作同时保持 SMB 会话活跃,Defender 会将缓存文件保持锁定状态而非清理,导致磁盘使用量持续膨胀直至硬盘满载。研究员表示,该行为可在 Windows 11 25H2 和 Windows Server 2025 上复现,并正在研究该技术是否可通过 WebDAV 实现,从而彻底移除 SMB 依赖,使恶意软件能够直接通过互联网传播。
微软响应现状
截至目前,微软尚未在其 RoguePlanet 漏洞公告中就磁盘耗尽问题作出公开回应。
via Neowin