安全研究人員發現微軟Defender最新發布的RoguePlanet漏洞補丁雖然修復了原始提權漏洞,卻引入了新的問題,攻擊者可利用補丁後的Defender引擎將目標PC的磁盤空間耗盡。
微軟上月確認了名為「RoguePlanet」的day-0漏洞(CVE-2026-50656),該漏洞通過利用Defender惡意軟體防護引擎(mpengine.dll)中的缺陷實現權限提升。
微軟上周通過將引擎更新至1.1.26060.3008版本修復了該漏洞,更新通過Defender常規安全智能更新自動推送,最後一個受影響版本為1.1.26050.11。
然而安全研究人員Nightmare-Eclipse在逆向分析更新後的引擎時發現,微軟新增的"縱深防禦"改動引入了一個8字節資訊泄露缺陷。
該泄露目前僅可從核心驅動程式觀察到,無法從用戶模式觸發,暫被認為不可直接利用,但進一步研究仍在進行中。
更令人擔憂的是另一個問題,Defender通常對掃描和隔離的文件施加大小限制以防止儲存過度占用,但這些限制不適用於緩存的Zone.Identifier備用數據流(ADS)。
攻擊者可搭建一個惡意SMB伺服器,託管一個附帶超大Zone.Identifier ADS的文件,通過故意延遲特定讀取操作同時保持SMB會話存活,Defender會持續鎖定緩存文件而不清理,導致磁盤占用不斷膨脹直至寫滿。
該行為已在Windows 11 25H2和Windows Server 2025上復現成功,研究人員還在調查同一技術是否可通過WebDAV實現,若可行則可完全擺脫SMB依賴,通過網際網路直接攻擊。







